TLS für WordPress aktivieren

WordPress kontrolliert TLS nicht direkt — die Konfiguration liegt beim Server. Diese Anleitung zeigt, wie Sie WordPress korrekt auf HTTPS umstellen, Mixed Content beheben und die Konfiguration absichern.

WordPress · Schritt für Schritt

WordPress und TLS — Serverebene ist entscheidend

WordPress selbst konfiguriert kein TLS. Die Verschlüsselung wird auf Serverebene (Apache oder Nginx) terminiert, bevor eine Anfrage WordPress erreicht. Was WordPress steuert: ob URLs HTTPS verwenden, ob der Admin-Bereich nur über HTTPS erreichbar ist, und wie Mixed-Content-Probleme behoben werden.

Diese Anleitung zeigt die vier Schritte für eine vollständige HTTPS-Migration: wp-config.php anpassen, Weiterleitungen setzen, Mixed Content bereinigen und verifizieren. Das Zertifikat selbst muss vorher auf Serverebene installiert sein.

Für die TLS-Protokollkonfiguration (TLS 1.3, Cipher Suites) lesen Sie die Anleitung für Ihren Server: Nginx oder Apache.
1 Schritt 1 von 4

FORCE_SSL_ADMIN in wp-config.php aktivieren

FORCE_SSL_ADMIN erzwingt HTTPS für alle Admin-Anfragen. Ohne diese Einstellung wäre es möglich, den Login-Bereich über HTTP aufzurufen — selbst wenn das Frontend HTTPS nutzt. Setzen Sie gleichzeitig WP_HOME und WP_SITEURL auf HTTPS.

wp-config.php FORCE_SSL_ADMIN
# wp-config.php — vor der Zeile "/* That's all, stop editing! */"

# HTTPS für den Admin-Bereich erzwingen
define( 'FORCE_SSL_ADMIN', true );

# WordPress-URL und Site-URL auf HTTPS setzen
define( 'WP_HOME', 'https://ihre-domain.de' );
define( 'WP_SITEURL', 'https://ihre-domain.de' );

# Hinter Reverse Proxy: HTTPS korrekt erkennen
if ( isset( $_SERVER['HTTP_X_FORWARDED_PROTO'] ) && $_SERVER['HTTP_X_FORWARDED_PROTO'] === 'https' ) {
    $_SERVER['HTTPS'] = 'on';
}
Reverse Proxy (Cloudflare, Load Balancer)

Hinter einem Reverse Proxy sendet der Server HTTP an WordPress — der X-Forwarded-Proto-Header verrät WordPress, dass die externe Verbindung HTTPS war. Die if-Bedingung im Codeblock oben ist dafür nötig.

2 Schritt 2 von 4

Plugin Really Simple SSL installieren

Really Simple SSL ist die komfortabelste Lösung für Shared-Hosting-Umgebungen. Es erkennt automatisch das installierte Zertifikat, setzt WordPress- und Site-URL auf HTTPS und aktiviert HTTP-zu-HTTPS-Weiterleitungen. Für Server mit direktem Zugriff empfehlen wir stattdessen die .htaccess-Variante.

.htaccess (Apache — ohne Plugin) HTTP → HTTPS
# .htaccess — HTTP zu HTTPS weiterleiten (Apache)
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

# Alternativ: www-Weiterleitung kombinieren
RewriteCond %{HTTP_HOST} ^www.(.+)$ [NC]
RewriteRule ^ https://%1%{REQUEST_URI} [R=301,L]
Nginx: HTTP-zu-HTTPS-Weiterleitungen in der Nginx-Konfiguration setzen, nicht in .htaccess. Nutzen Sie return 301 https://$host$request_uri; im HTTP-Server-Block.
3 Schritt 3 von 4

Mixed Content prüfen und beheben

Mixed Content entsteht, wenn HTTP-URLs noch in der Datenbank oder im Theme-Code stecken. Browser blockieren aktiven Mixed Content (Scripts) vollständig. Das WordPress-Plugin Better Search Replace oder WP-CLI migrieren alle URLs in der Datenbank sicher.

WP-CLI / Better Search Replace Mixed Content
# MySQL: Alle HTTP-URLs in der Datenbank ersetzen
# Plugin: Better Search Replace (empfohlen)
# Search: http://ihre-domain.de
# Replace: https://ihre-domain.de
# Tabellen: wp_posts, wp_postmeta, wp_options, wp_usermeta

# Alternativ per WP-CLI
wp search-replace 'http://ihre-domain.de' 'https://ihre-domain.de' --all-tables
Machen Sie immer ein Datenbank-Backup, bevor Sie Search Replace ausführen. Serialisierte Daten in WordPress werden von Better Search Replace korrekt behandelt — bei direktem SQL-Ersetzen können serialisierte Arrays korrupt werden.
4 Schritt 4 von 4

Konfiguration verifizieren

Prüfen Sie nach der Migration: HTTP-Weiterleitungen funktionieren, der Browser zeigt kein Warnsymbol, die DevTools-Console zeigt keine Mixed-Content-Fehler. Der Wolf-Agents Web Security Check prüft zusätzlich die TLS-Konfiguration auf Serverebene.

Terminal + Browser DevTools Verifizierung
# 1. HTTP-zu-HTTPS-Weiterleitung prüfen
curl -sI http://ihre-domain.de | grep -E "HTTP|Location"

# Erwartete Ausgabe:
# HTTP/1.1 301 Moved Permanently
# Location: https://ihre-domain.de/

# 2. HTTPS funktioniert
curl -sI https://ihre-domain.de | grep "HTTP"
# HTTP/2 200

# 3. Mixed Content per Browser DevTools prüfen
# F12 → Console → nach "Mixed Content" suchen
Nächster Schritt: Server-seitige TLS-Konfiguration

Für ein A+ bei Qualys SSL Labs muss auch der Server korrekt konfiguriert sein. Lesen Sie die Anleitung für Apache oder Nginx.

Wie steht Ihre Domain bei TLS-Konfiguration?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Häufig gestellte Fragen

Warum konfiguriert WordPress TLS nicht selbst?

WordPress ist eine PHP-Anwendung — TLS wird auf Serverebene (Apache oder Nginx) terminiert, bevor die Anfrage WordPress erreicht. WordPress selbst sieht nur eine HTTP-Verbindung vom lokalen Server. Die TLS-Konfiguration (Protokollversionen, Cipher Suites, Zertifikate) liegt vollständig beim Webserver.

Was macht FORCE_SSL_ADMIN in wp-config.php?

FORCE_SSL_ADMIN erzwingt HTTPS für alle Admin-Anfragen (wp-admin, wp-login.php). Ohne diese Einstellung könnten Anmeldedaten über HTTP übertragen werden, selbst wenn das Frontend HTTPS nutzt. Setzen Sie immer beide Konstanten: define('FORCE_SSL_ADMIN', true) und passen Sie die WordPress- und Site-URL auf HTTPS an.

Was ist Mixed Content und wie behebe ich es?

Mixed Content entsteht, wenn eine HTTPS-Seite Ressourcen (Bilder, CSS, JavaScript) über HTTP lädt. Browser blockieren "aktiven" Mixed Content (Scripts, Frames) vollständig und warnen bei "passivem" Mixed Content (Bilder). Lösung: Alle Ressourcen-URLs in der Datenbank von http:// auf https:// migrieren — das Plugin Better Search Replace erledigt das zuverlässig.

Was macht das Plugin Really Simple SSL genau?

Really Simple SSL erkennt das vorhandene Zertifikat, setzt WordPress- und Site-URL auf HTTPS, aktiviert 301-Weiterleitungen von HTTP zu HTTPS und behebt häufige Mixed-Content-Probleme automatisch. Es ist eine komfortable Lösung für Shared-Hosting-Umgebungen, wo kein direkter Server-Zugriff möglich ist.

Muss ich das Zertifikat selbst installieren oder macht das WordPress?

Das Zertifikat wird auf Serverebene installiert — nicht von WordPress. Bei Shared Hosting erledigt das meist das Hosting-Control-Panel (cPanel, Plesk, IONOS etc.) automatisch über Let's Encrypt. Auf eigenem Server (VPS, Dedicated) verwenden Sie Certbot oder Caddy. WordPress nutzt das fertig installierte Zertifikat.

Wie erkenne ich, dass HTTPS auf WordPress korrekt funktioniert?

Prüfen Sie: 1. Das Schloss-Symbol im Browser zeigt keine Warnung. 2. Der Browser-Inspektor (F12 → Console) zeigt keine Mixed-Content-Fehler. 3. HTTP-Aufrufe werden auf HTTPS weitergeleitet (301). 4. Der Wolf-Agents Web Security Check zeigt eine gültige TLS-Konfiguration.