So füge ich in wenigen Minuten SSL zu WordPress hinzu (kostenloses Zertifikat, kein Code) 

Müssen Sie SSL zu WordPress hinzufügen, damit Ihre Website das sichere HTTPS-Schloss anzeigt?

Die meisten WordPress-Hoster bieten mittlerweile ein kostenloses SSL-Zertifikat zu jedem Plan an. Alles, was Sie tun müssen, ist, es in Ihrem Hosting-Dashboard zu aktivieren und WordPress zu zwingen, über HTTPS zu laden.

In dieser Anleitung führe ich Sie durch jeden Schritt, einschließlich der Verwendung des kostenlosen Really Simple SSL-Plugins und der Behebung von „Nicht sicher“-Warnungen in Chrome.

Was ist ein SSL-Zertifikat in WordPress?

Ein SSL-Zertifikat ist eine kleine Datendatei, die die Verbindung zwischen dem Browser eines Besuchers und Ihrer WordPress-Site verschlüsselt. SSL steht für Secure Sockets Layer, das Sicherheitsprotokoll, das Informationen während der Übertragung zwischen beiden schützt.

Wir alle teilen Daten, wenn wir surfen, und auf E-Commerce-Websites sind dies oft sensible Informationen wie Kartendetails oder Anmeldeinformationen.

Plain HTTP sendet diese Daten offen, wodurch sie für jeden, der die Verbindung beobachtet, exponiert sind. Ein SSL-Zertifikat, auch bekannt als HTTPS, schließt diese Lücke.

Ihre Website benötigt ein Zertifikat, das von einer anerkannten Zertifizierungsstelle ausgestellt wurde. Sobald es verifiziert ist, zeigt Ihr Browser ein Vorhängeschloss in der Adressleiste an und die URL wechselt von HTTP zu HTTPS.

Der Schutz erfolgt durch Verschlüsselung. Wenn Sie eine SSL-zertifizierte Website besuchen, prüft Ihr Browser das Zertifikat und verschlüsselt dann Ihre Daten mit dem öffentlichen Schlüssel der Website, sodass niemand dazwischen sie lesen kann. Die Website entschlüsselt sie bei Ankunft mit einem passenden privaten Schlüssel.

Warum jede WordPress-Site SSL benötigt

Jede Website sollte über SSL/HTTPS laufen, da Google eine sichere Verbindung mittlerweile als grundlegenden Webstandard betrachtet.

Laut Googles HTTPS-Transparenzbericht werden etwa 95 % oder mehr des gesamten Chrome-Datenverkehrs jetzt über HTTPS geladen. Wenn Ihre Website noch auf HTTP läuft, kann Chrome eine Warnung „Nicht sicher“ anzeigen, die das Vertrauen der Besucher untergräbt.

SSL ist am wichtigsten, wenn Sie Folgendes sammeln:

• Kreditkartendetails
• Zahlungsinformationen
• Anmeldedaten

Ein verifiziertes Zertifikat schützt diese Daten, und viele Zahlungsdienste verlangen HTTPS, bevor sie überhaupt Zahlungen annehmen. Wenn Sie einen Shop betreiben, ist SSL ein Teil einer größeren Aufgabe, daher lohnt es sich zu wissen, wie man einen WooCommerce-Shop von Ende zu Ende sichert.

Diese „Nicht sicher“-Markierung tut mehr, als nur schlecht auszusehen. Sie veranlasst Leute, die Seite zu verlassen, bevor sie ein Wort lesen, was heimlich das Engagement und die Konversionen senkt. SSL ist eine Grundlage, nicht die ganze Arbeit, daher passt es natürlich zu den umfassenderen Schritten, um Ihre gesamte Website vor Hackern zu schützen.

Die meisten Leute fügen SSL hinzu, wenn sie eine Website einrichten oder neu starten, was der unordentliche Moment ist, den Besucher nicht sehen sollten. Ich lasse das Frontend hinter einer gebrandeten „Coming Soon“-Seite mit SeedProd versteckt, während ich das Zertifikat aktiviere und gemischte Inhalte bereinige.

SeedProd ist ein Drag-and-Drop-Website-Builder für WordPress, und seine „Coming Soon“- und Wartungsmodus-Seiten ermöglichen es Ihnen, in wenigen Minuten eine polierte Warteseite einzurichten. Besucher sehen eine ordentliche „Wir starten bald“-Nachricht anstelle einer halbfertigen Website, die Sicherheitswarnungen ausgibt.

Müssen Sie ein SSL-Zertifikat kaufen?

Für die meisten Websites, nein. Das kostenlose Zertifikat Ihres Hostinganbieters reicht aus, und Sie müssen keines bezahlen.

Das verwirrt viele Leute. Ich habe Website-Besitzer gesehen, die ein Zertifikat für 200 US-Dollar gekauft haben, ohne zu erkennen, dass das kostenlose Let’s Encrypt-Zertifikat, das ihr Hoster bereits anbietet, die gleiche Arbeit geleistet hätte. Ein kostenloses Zertifikat verschlüsselt den Datenverkehr genauso wie ein kostenpflichtiges.

Kostenpflichtige Zertifikate haben immer noch ihren Platz, wenn Sie zusätzliche Validierung oder eine Garantie wünschen. Die Preise reichen stark, von unter 10 US-Dollar pro Jahr für ein einfaches domänenvalidiertes Zertifikat bis weit über 100 US-Dollar für Organisations- oder erweiterte Validierung. Für einen Standard-Blog oder eine kleine Website ändert dieser Aufwand selten etwas daran, was ein Besucher sieht.

Eine kurze Anleitung zu den Haupttypen, wenn Sie sich für eine kostenpflichtige Option entscheiden:

• Domänenvalidiert (DV): Gut für Blogs, persönliche Websites und die meisten kleinen Unternehmenswebsites.
• Organisations- oder erweiterte Validierung (OV/EV): Lohnt sich für Geschäfte, Mitgliedschaften und Websites, die Anmeldungen oder Zahlungen abwickeln.
• Wildcard oder Multi-Domain: Nützlich, wenn Sie Subdomains wie blog.example.com oder mehrere Domains unter einem Dach betreiben.

Wenn Sie unsicher sind, beginnen Sie mit dem kostenlosen Zertifikat. Sie können es später immer noch aufrüsten. Hier erfahren Sie, wie Sie das kostenlose aktivieren.

Wie erhält man ein kostenloses SSL-Zertifikat?

Die meisten Hoster bündeln mittlerweile ein kostenloses Zertifikat, sodass Sie in den meisten Fällen nur einen Schalter umlegen müssen. Die kostenlosen Zertifikate stammen von Let’s Encrypt, einer gemeinnützigen Zertifizierungsstelle, die SSL für kleine Websites kostenlos und automatisch gemacht hat.

Diese WordPress-Hosting-Unternehmen beinhalten alle ein kostenloses SSL-Zertifikat in ihren Tarifen:

• Bluehost
• SiteGround
• HostGator
• WP Engine
• InMotion Hosting

Am Beispiel von Bluehost gehen Sie im Dashboard zum Bereich Websites und klicken Sie unter Ihrer Website auf die Schaltfläche Einstellungen.

Wechseln Sie von dort zum Tab Sicherheit und aktivieren Sie das kostenlose SSL-Zertifikat. In den meisten Fällen aktiviert Bluehost dies automatisch für Sie.

Wenn Ihr Hoster nicht Bluehost ist, können die Schritte etwas anders aussehen. Sie können Ihren Hosting-Anbieter bitten, es zu aktivieren, wenn Sie es in Ihrem Admin-Bereich oder cPanel nicht finden können.

Wenn Ihr Hoster überhaupt kein SSL anbietet, können Sie eines von Zertifizierungsstellen wie Comodo, GeoTrust, GlobalSign und RapidSSL kaufen oder ein kostenloses direkt von Let’s Encrypt erhalten.

Eine wichtige Information: Let’s Encrypt-Zertifikate laufen alle 90 Tage ab. Managed Hosts erneuern sie automatisch, sodass die meisten Leute sich nie um die Erneuerung kümmern müssen. Wenn Sie das Zertifikat selbst auf Ihrem eigenen Server eingerichtet haben, müssen Sie die Erneuerung automatisieren, sonst ist Ihre Website am Tag des Ablaufs nicht mehr erreichbar.

Lassen Sie uns nun WordPress über HTTPS mit Ihrem neuen Zertifikat laden.

Wie fügt man SSL automatisch zu WordPress hinzu (Plugin-Methode)

Nachdem das Zertifikat bei Ihrem Hoster aktiviert wurde, besteht die nächste Aufgabe darin, WordPress für jede URL auf Ihrer Website HTTPS verwenden zu lassen.

Der einfachste Weg ist das Really Simple SSL Plugin. Es ist eines der besten WordPress-Plugins dafür und erledigt die meiste Arbeit für Sie. Wenn Sie neu bei der Installation von Plugins sind, führt Sie diese Schritt-für-Schritt-Anleitung durch den Prozess.

Nachdem Sie das Plugin aktiviert haben, öffnen Sie dessen Einstellungen in Ihrem WordPress-Dashboard. Really Simple SSL erkennt Ihr Zertifikat, erzwingt HTTPS für alle Ihre URLs und aktiviert dann automatisch die HTTP-zu-HTTPS-Weiterleitung.

Das Plugin schreibt auch alte HTTP-URLs um, die in Ihren Beiträgen und Einstellungen fest codiert sind, und korrigiert sie im laufenden Betrieb, während Seiten geladen werden. Das erspart Ihnen eine manuelle Datenbank-Suche und -Ersetzung, was der Schritt ist, den die meisten Leute übersehen.

Selbst eine einzige verbleibende HTTP-URL veranlasst einen Browser, die Seite als unsicher zu behandeln. Really Simple SSL kümmert sich darum, aber wenn doch einmal etwas durchrutscht, zeigt Ihnen das Inspektionswerkzeug des Browsers, wo es zu finden ist.

Wie fügt man SSL manuell zu WordPress hinzu (Fortgeschritten)

Die oben genannte Plugin-Methode ist der einfachste Weg. Sie möchten Ihre Website aber vielleicht auch manuell von HTTP auf HTTPS umstellen.

Dies beinhaltet die Bearbeitung von WordPress-Dateien. Folgen Sie dieser Anleitung also nur, wenn Sie sich damit wohlfühlen, Code-Schnipsel einzufügen.

Gehen Sie zuerst zur Seite Einstellungen » Allgemein in Ihrem Dashboard. Ändern Sie sowohl das WordPress-Adresse-Feld als auch das Website-Adresse-Feld von HTTP zu HTTPS.

Nachdem Sie gespeichert haben, meldet sich WordPress ab und Sie müssen sich erneut anmelden.

Fest codierte URLs in Ihrer Datenbank aktualisieren: Diese beiden Felder decken nur Ihre Haupt-Website-Adresse ab. Ältere Websites haben auch HTTP-URLs, die in Beiträgen, Seiten und Optionen gespeichert sind, und diese werden nicht automatisch aktualisiert.

Dies ist der Schritt, den manuelle Befürworter am häufigsten überspringen, und deshalb sehen sie danach immer noch gemischte Inhalte. Führen Sie eine Suche und Ersetzung in der Datenbank durch, um http:// durch https:// zu ersetzen, indem Sie ein Plugin wie Better Search Replace oder den WP-CLI-Befehl wp search-replace 'http://example.com' 'https://example.com' verwenden. Sichern Sie Ihre Datenbank vorher.

HTTP zu HTTPS auf Apache weiterleiten: Fügen Sie dies zu Ihrer .htaccess-Datei hinzu, damit jeder Besucher auf der sicheren Version landet.

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

Eine Einschränkung: Wenn Ihr Hoster SSL an einem Proxy beendet oder Sie Cloudflares flexibles SSL verwenden, kann diese Regel Ihre Verbindung als unsicher einstufen und die Weiterleitung in eine Schleife geraten lassen. Lassen Sie in diesen Setups Ihren Hoster oder Really Simple SSL die Weiterleitung übernehmen, anstatt die .htaccess-Datei zu bearbeiten.

HTTP zu HTTPS auf Nginx umleiten: Wenn Ihre Website Nginx verwendet, fügen Sie dies stattdessen zu Ihrer Konfigurationsdatei hinzu. Ersetzen Sie „example.com“ durch Ihre eigene Domain.

server {
listen 80;
server_name example.com www.example.com;
return 301 https://example.com$request_uri;
}

Diese Weiterleitungen beheben den Fehler „WordPress HTTPS funktioniert nicht“, da jede Seite jetzt über HTTPS geladen wird.

SSL für Admin- und Anmeldeseiten erzwingen: Um Ihre Anmeldeseiten zu sichern, fügen Sie diese Zeile zu wp-config.php hinzu, direkt über der Zeile „That’s all, stop editing!“.

define('FORCE_SSL_ADMIN', true);

Dies erzwingt SSL und HTTPS im gesamten WordPress-Adminbereich.

Behebung gängiger SSL-Probleme (Mixed-Content-Fehler)

Sobald Ihre Website über SSL läuft, sehen Sie möglicherweise immer noch Fehler bei gemischten Inhalten. Diese treten auf, wenn Bilder, Skripte oder Stylesheets immer noch über HTTP geladen werden, was dazu führt, dass das Vorhängeschloss nicht angezeigt wird, obwohl Ihr Zertifikat aktiv ist.

Einige Browser blockieren die unsicheren Ressourcen und zeigen stattdessen eine Benachrichtigung in der Adressleiste an.

Um herauszufinden, was noch über HTTP läuft, öffnen Sie das Inspektionstool Ihres Browsers und überprüfen Sie die Konsole. Jeder gemischte Inhalt wird als Warnung mit der betreffenden URL angezeigt.

Die meisten davon sind Bilder, iframes und Galerien, gelegentlich ein Skript oder Stylesheet von einem Plugin oder Theme.

Sie haben zwei Möglichkeiten, diese zu beheben. Die einfachste ist, Really Simple SSL die Arbeit erledigen zu lassen, da es HTTP-Ressourcen beim Laden von Seiten in HTTPS umschreibt. Wenn Sie das Plugin nicht verwenden, führen Sie eine Datenbank-Suche und -Ersetzung durch (Better Search Replace oder WP-CLI), um jede http://-Referenz durch https:// zu ersetzen, wodurch die URLs an der Quelle bereinigt werden.

Wenn eine einzelne Ressource sich immer noch weigert, sicher geladen zu werden, ist sie normalerweise fest in einem Widget, einer Theme-Option oder einem externen Embed-Code kodiert. Aktualisieren Sie diese eine URL von Hand und das Vorhängeschloss erscheint wieder.

So testen Sie, ob Ihr SSL funktioniert

Gehen Sie nicht davon aus, dass es funktioniert hat. Eine schnelle Überprüfung bestätigt, dass das Zertifikat aktiv ist und nichts mehr über HTTP geladen wird.

• Überprüfen Sie das Vorhängeschloss: Besuchen Sie Ihre Website und suchen Sie nach dem Vorhängeschloss in der Adressleiste, wobei die URL mit https:// beginnt.
• Führen Sie einen SSL Labs-Test durch: Geben Sie Ihre Domain bei SSL Labs (ssllabs.com/ssltest) ein, um einen vollständigen Bericht über Ihr Zertifikat und Ihre Konfiguration zu erhalten.
• Auf gemischte Inhalte prüfen: Öffnen Sie einige wichtige Seiten mit geöffneter Konsolenansicht des Inspektionstools und bestätigen Sie, dass keine HTTP-Warnungen angezeigt werden.

Wenn das Vorhängeschloss auf jeder Seite angezeigt wird und SSL Labs Ihnen eine gute Bewertung gibt, ist Ihre Website vollständig über HTTPS erreichbar.

FAQs zum Hinzufügen von SSL zu WordPress

Wie lange dauert es, bis SSL nach der Aktivierung auf WordPress funktioniert?

Sobald Sie das Zertifikat bei Ihrem Hoster aktiviert haben, ist es normalerweise innerhalb weniger Minuten bis zu einigen Stunden aktiv. Danach wird das Erzwingen von HTTPS mit einem Plugin wie Really Simple SSL sofort wirksam.

Muss ich meine Datenbank-URLs nach dem Hinzufügen von SSL aktualisieren, oder übernimmt das Plugin das?

Really Simple SSL schreibt alte HTTP-URLs in Ihren Inhalten automatisch um, während Seiten geladen werden. Daher berühren die meisten Leute die Datenbank nie.

Wenn Sie eine Website manuell verschieben, benötigen Sie eine Datenbank-Suche und -Ersetzung mit einem Tool wie Better Search Replace oder WP-CLI, um http:// durch https:// an der Quelle zu ersetzen.

Wird das Hinzufügen von SSL zu einer bestehenden WordPress-Website meine Links oder Bilder beschädigen?

Das sollte es nicht, solange Sie den URL-Wechsel ordnungsgemäß durchführen. Really Simple SSL schreibt interne Links und Bilder für Sie auf HTTPS um.

Das Einzige, worauf Sie achten müssen, ist gemischter Inhalt, bei dem ein verirrter Link zu einem Bild oder Skript immer noch über HTTP geladen wird. Das Beheben dieser URLs stellt das Vorhängeschloss wieder her, ohne etwas zu beschädigen.

Erneuert sich mein SSL-Zertifikat automatisch oder muss ich es selbst tun?

Wenn Ihr Hoster das Zertifikat ausgestellt hat, wird es fast immer automatisch erneuert, sodass Sie nie darüber nachdenken müssen.

Let’s Encrypt-Zertifikate laufen alle 90 Tage ab. Managed Hosts kümmern sich darum für Sie, aber wenn Sie selbst eines auf Ihrem eigenen Server installiert haben, müssen Sie die automatische Erneuerung einrichten.

Machen Sie Ihre WordPress-Website vollständig sicher

Das war's. Sobald das Vorhängeschloss auf jeder Seite angezeigt wird, vertrauen Besucher Ihrer Website mehr und Sie verlieren sie nicht mehr an Warnungen wie „Nicht sicher“.

Wenn Sie SSL als Teil eines Launches einrichten, können Sie mit SeedProd die Website hinter einer gebrandeten „Coming Soon“-Seite halten, während Sie die Arbeit abschließen. Starten Sie mit SeedProd und erstellen Sie eine in wenigen Minuten.

Wenn Sie diese Anleitung hilfreich fanden, gefallen Ihnen vielleicht auch unsere Tutorials zum Einrichten einer Geschäfts-E-Mail-Adresse und zum Erstellen einer Landingpage in WordPress.

Danke fürs Lesen! Wir würden uns freuen, Ihre Gedanken zu hören. Treten Sie also gerne der Unterhaltung auf YouTube, X und Facebook bei, um weitere hilfreiche Ratschläge und Inhalte für das Wachstum Ihres Unternehmens zu erhalten.