SSL und HTTPS in WordPress einrichten: Meine ehrliche Anleitung ohne Tech-Gebrabbel

SSL und HTTPS in WordPress einrichten: Meine ehrliche Anleitung ohne Tech-Gebrabbel

Inhaltsverzeichnis

Ich hab’s selbst erlebt: dieses klamme Gefühl, wenn der Browser plötzlich „Nicht sicher“ anzeigt. Da steht’s in Rot und leuchtet dir entgegen, als wollte es sagen: „Na, wieder kein SSL-Zertifikat eingerichtet?“ Ich gebe zu, damals hab ich’s erst mal weggeklickt. Bis ich kapiert hab, dass HTTPS nicht nur Deko ist, sondern Schutz, Vertrauen und Google-Futter in einem.

Warum SSL kein Luxus ist, sondern Pflicht

Ich hab noch die Zeiten im Kopf, als Webseiten mit „http“ starteten und keiner mit der Wimper zuckte. Heute sieht’s anders aus. Chrome, Firefox und Co. markieren Seiten ohne SSL als unsicher. Da gehen sofort die Alarmglocken an, und zack, die Besucher sind weg. Kein Witz, das killt Vertrauen schneller, als du „Zertifikat“ sagen kannst.

SSL (Secure Sockets Layer) bzw. sein moderner Nachfolger TLS sorgt dafür, dass Daten zwischen Browser und Server verschlüsselt werden. Also dass niemand dazwischenlauschen kann. Und HTTPS ist das sichtbare Ergebnis davon. Es sagt deinen Besuchern: Hier bist du sicher, dein Passwort, deine Kreditkartendaten und deine Anmeldung sind geschützt. Wenn du also noch auf „http“ surfst, ist das sowas wie mit offener Haustür schlafen. Theoretisch möglich, praktisch dumm.

Wahl des richtigen SSL-Zertifikats

Bevor du irgendwo klickst, kommt die erste Frage: Welches SSL-Zertifikat brauchst du? Klingt technisch, ich weiß, aber die Basics sind fix erklärt. Es gibt drei Arten:

  • Domain Validated (DV): Das einfache Zertifikat. Reicht für Blogs, kleine Shops und einfache Websites. Schnell beantragt, oft kostenlos.
  • Organization Validated (OV): Etwas mehr Prüfung, zeigt, dass dein Unternehmen existiert. Ideal für mittlere Firmenseiten.
  • Extended Validation (EV): Das teure Ding mit grünem Balken im Browser (zumindest früher). Nur sinnvoll, wenn du große Umsätze machst oder sehr vertrauenswürdige Signale brauchst.

Für die meisten WordPress-Seiten reicht DV völlig aus. Zum Beispiel ein kostenloses Zertifikat von Let’s Encrypt. Das gibt’s bei vielen Hostern automatisch, etwa bei neu-protec. Damit sparst du nicht nur Geld, sondern auch graue Haare.

SSL einrichten über den Hosting-Anbieter

Die einfachste Variante: dein Hosting-Provider erledigt das für dich. Logg dich ins Kundenmenü ein, such die SSL-Option und aktiviere sie. Boom, fertig. Natürlich gibt’s Unterschiede. Manche Anbieter aktivieren Zertifikate automatisch, andere verlangen zwei Klicks und eine kurze Wartezeit. Es kann sein, dass du noch auf HTTPS umstellen musst, aber das ist kein Drama.

Ich erinnere mich, wie ich beim ersten Versuch zehn Minuten in den Einstellungen gesucht hab. Am Ende war’s ein simpler Schalter mit der Aufschrift „SSL aktivieren“. Danach noch die Umleitung auf HTTPS einstellen und das war’s. Wenn du ehrlich bist, dauert der Kaffee länger zu brühen.

SSL manuell einrichten

Falls dein Hoster das nicht anbietet, geht’s auch manuell. Du brauchst ein Zertifikat von Let’s Encrypt oder einem anderen Anbieter. Das lädst du dir herunter, bestehend aus einem öffentlichen und einem privaten Schlüssel. Diese Dateien gehören auf deinen Server. Klingt wild, ist aber reine Fleißarbeit. Wenn du FTP kennst, schaffst du das. Eine ausführliche Schritt-für-Schritt-Anleitung findest du z. B. bei WPBeginner.

Bei Apache oder Nginx Servern musst du dann die Konfigurationsdateien anpassen. Das sieht so in etwa aus:


server {
    listen 443 ssl;
    server_name deine-domain.de;
    ssl_certificate /etc/ssl/deine-domain.crt;
    ssl_certificate_key /etc/ssl/deine-domain.key;
}

Das ist das technische Herzstück. Danach den Server neustarten, Webseite aufrufen und beten – äh, testen. Wenn alles passt, lädt deine Seite endlich mit https://.

WordPress auf HTTPS umstellen

Jetzt kommt der WordPress-Teil. Melde dich im Admin-Bereich an und gehe zu Einstellungen → Allgemein. Dort siehst du zwei Felder: WordPress-Adresse (URL) und Website-Adresse (URL). Ändere beide auf „https://“. Speichern, fertig.

Achtung, manchmal spinnt WordPress danach, wenn alte Links noch mit „http“ liegen. Dann hilft das Plugin „Better Search Replace“. Damit suchst du in der Datenbank nach deinem alten Domainnamen und ersetzt ihn durch „https“. Mach ein Backup vorher, egal wie mutig du bist. Glaub mir, ich hab einmal ohne Backup gearbeitet. Das endete mit einem weißen Bildschirm und viel Fluchen. Falls du noch tiefer in das Thema einsteigen willst, lohnt sich ein Blick auf die WordPress HTTPS Anleitung von Webtimiser.

Alte HTTP-Links automatisch weiterleiten

Noch ein wichtiger Punkt: die Weiterleitungen. Ohne sie landen alte Links im Nirwana oder zeigen den unsicheren Pfad an. Lösung: eine 301-Weiterleitung in der .htaccess-Datei.


RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Diese Zeilen sorgen dafür, dass jede Anfrage automatisch auf HTTPS weiterleitet. Einmal speichern, und du bist raus aus der Gefahrenzone.

Mixed Content: Der kleine, fiese Fehlerteufel

Wenn dein SSL aktiv ist, siehst du vielleicht trotzdem kein grünes Schloss im Browser. Dann hast du irgendwo Inhalte, die noch über „http“ geladen werden – Bilder, Skripte oder Stylesheets. Dieser „Mixed Content“ macht den Browser misstrauisch.

Ich hatte mal einen hartnäckigen Fall mit einem alten Logo, das ewig aus http geladen wurde. Drei Stunden Sucherei für ein Bild. Mein Tipp: Nutze das Plugin „Really Simple SSL“. Das erkennt meist alles automatisch und macht saubere Umleitungen. Oder du arbeitest dich manuell durch den Quellcode. Mit Kaffee. Viel Kaffee.

Deine Seite testen

Wenn du denkst, du bist fertig, kommt die Kontrolle. Besuche SSLLabs, gib deine Domain ein und lass das Tool checken. Es zeigt dir, ob dein Zertifikat korrekt läuft und ob alle Protokolle stimmen. Ein A-Rating ist der Ritterschlag. Wenn du weniger bekommst, scroll runter, die Tipps zeigen dir, was hakt.

Danach Browser-Cache löschen und Seite neu laden. Sieht alles frisch und sicher aus? Sehr gut. Damit bist du offiziell aus der Unsicherheitszone. Wenn du ohnehin an deiner Website arbeitest, schau dir auch den Artikel Wie ich meiner Website Beine gemacht habe – Ladezeiten runter, Stimmung rauf an – der passt perfekt zum Thema technischer Optimierung.

Google und SEO mitnehmen

HTTPS ist nicht nur für Sicherheit da. Google liebt verschlüsselte Seiten. Der Algorithmus bevorzugt HTTPS – heißt, du kannst auf Dauer sogar leicht im Ranking zulegen. Außerdem: Besucher bleiben länger, wenn sie Vertrauen haben. Vertrauen ist Gold, egal ob du Blogposts, Produkte oder Dienstleistungen anbietest.

Ein Tipp am Rande: Melde die HTTPS-Version deiner Seite in der Google Search Console an. So weiß Google gleich, dass du modern unterwegs bist. Und wenn du ohnehin deine Struktur überarbeitest, lies den Beitrag Webseiten-Relaunch ohne Rankingverlust – so habe ich’s gemacht und daraus gelernt, um deine SEO-Ergebnisse zu sichern.

SSL automatisch verlängern

Viele Zertifikate laufen nach 90 Tagen ab, vor allem die kostenlosen von Let’s Encrypt. Keine Panik, es gibt automatische Verlängerung. Meist kümmert sich dein Hoster darum oder du aktivierst die Funktion in deiner Serververwaltung.

Ich hab’s einmal vergessen und durfte sonntagmorgens eine „Notfall-SSL-Reparatur“ starten. Kein Spaß. Automatische Verlängerung spart dir diese Erfahrung.

Fazit

SSL und HTTPS sind kein Hexenwerk. Es geht darum, deine Seite und Besucher zu schützen. Das Setup ist schnell gemacht, vor allem mit einem guten Hosting-Anbieter. Wenn du mit ordentlicher Struktur rangehst, dauert das Ganze keine Stunde.

Mach’s einfach. Die einzige falsche Entscheidung ist, es aufzuschieben. Und wenn du irgendwo festhängst, schnapp dir einen Kaffee und erinner dich: Jede sichere Seite hat mal mit einem Klick auf „SSL aktivieren“ angefangen. Falls du dich generell für effizientes Arbeiten mit WordPress interessierst, könnte dir auch der Artikel Wie automatische Angebotsformulare in WordPress mein Leben leichter machen gefallen.

Weitere Blogbeiträge