HTTPS ist nicht mehr optional
FrĂŒher war HTTPS nice to have.
Heute ist es Pflicht.
Google verlangt es.
Chrome warnt ohne.
DSGVO sowieso.
Wenn Deine WordPress-Seite noch ohne HTTPS lÀuft, hast Du ein Problem.
Nicht nur rechtlich. Auch technisch.
Was HTTPS leistet
- verschlĂŒsselt Daten zwischen Browser und Server
- schĂŒtzt Passwörter, Formulare, Cookies
- sichert IntegritÀt der Inhalte
- verbessert Vertrauen
- ist Rankingfaktor bei Google
Und: Du brauchst es fĂŒr HTTP/2, viele Payment-APIs und alles mit Login.
WordPress korrekt auf HTTPS umstellen
1. wp-config.php absichern
define('FORCE_SSL_ADMIN', true);
Sorgt dafĂŒr, dass das Backend nur per HTTPS erreichbar ist.
Vorher sicherstellen, dass SSL funktioniert.
2. URL umstellen
In der Datenbank die Site-URL anpassen.
Geht per SQL oder WP-CLI:
wp option update siteurl "https://deine-seite.de"
wp option update home "https://deine-seite.de"
3. Mixed Content vermeiden
HTTP-Links im Content? Problematisch.
Skript nachrĂŒsten:
function ds_https_content_fixer($content) {
return str_replace('http://deine-seite.de', 'https://deine-seite.de', $content);
}
add_filter('the_content', 'ds_https_content_fixer');
Oder via Datenbank einmalig ersetzen.
Am besten mit einem Tool wie Better Search Replace.
4. Weiterleitungen einbauen
Falls jemand noch http:// aufruft:
if (!isset($_SERVER['HTTPS']) || $_SERVER['HTTPS'] !== 'on') {
$redirect = "https://" . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'];
header("Location: $redirect", true, 301);
exit;
}
Oder eleganter ĂŒber .htaccess:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
SSL-Zertifikate kostenlos?
Ja. Let’s Encrypt reicht fĂŒr 99 % der FĂ€lle.
Automatisch ĂŒber deinen Hoster oder per Certbot.
Kostenpflichtige Zertifikate brauchst Du nur noch, wenn:
- Extended Validation gefordert ist
- Du spezielle APIs mit Whitelisting nutzt
- Du mit AltgerÀten zu tun hast
HĂ€ufige Probleme
| Problem | Ursache |
|---|---|
| „Nicht sicher“ im Browser | Mixed Content oder kein Redirect |
| Loop bei Weiterleitung | falsch konfigurierte siteurl |
| HTTP Assets von Plugins | Plugin lÀdt statisch mit http:// |
| Zertifikat abgelaufen | kein Auto-Renew oder Cron ausgefallen |
Mein Fazit
HTTPS ist Pflicht. Punkt.
Du sparst Dir Ărger, Abmahnungen, Kundenverluste.
Du sicherst Deine Website. Deine Kunden. Deine APIs.
Wenn Du es sauber machst, musst Du dich nie wieder drum kĂŒmmern.
Wenn Du willst, prĂŒf ich Deine Seite einmal durch. Meld Dich.