TLS für WordPress aktivieren
WordPress kontrolliert TLS nicht direkt — die Konfiguration liegt beim Server. Diese Anleitung zeigt, wie Sie WordPress korrekt auf HTTPS umstellen, Mixed Content beheben und die Konfiguration absichern.
WordPress und TLS — Serverebene ist entscheidend
WordPress selbst konfiguriert kein TLS. Die Verschlüsselung wird auf Serverebene (Apache oder Nginx) terminiert, bevor eine Anfrage WordPress erreicht. Was WordPress steuert: ob URLs HTTPS verwenden, ob der Admin-Bereich nur über HTTPS erreichbar ist, und wie Mixed-Content-Probleme behoben werden.
Diese Anleitung zeigt die vier Schritte für eine vollständige HTTPS-Migration: wp-config.php anpassen, Weiterleitungen setzen, Mixed Content bereinigen und verifizieren. Das Zertifikat selbst muss vorher auf Serverebene installiert sein.
FORCE_SSL_ADMIN in wp-config.php aktivieren
FORCE_SSL_ADMIN erzwingt HTTPS für alle Admin-Anfragen. Ohne diese Einstellung wäre es möglich, den Login-Bereich über HTTP aufzurufen — selbst wenn das Frontend HTTPS nutzt. Setzen Sie gleichzeitig WP_HOME und WP_SITEURL auf HTTPS.
# wp-config.php — vor der Zeile "/* That's all, stop editing! */"
# HTTPS für den Admin-Bereich erzwingen
define( 'FORCE_SSL_ADMIN', true );
# WordPress-URL und Site-URL auf HTTPS setzen
define( 'WP_HOME', 'https://ihre-domain.de' );
define( 'WP_SITEURL', 'https://ihre-domain.de' );
# Hinter Reverse Proxy: HTTPS korrekt erkennen
if ( isset( $_SERVER['HTTP_X_FORWARDED_PROTO'] ) && $_SERVER['HTTP_X_FORWARDED_PROTO'] === 'https' ) {
$_SERVER['HTTPS'] = 'on';
} Hinter einem Reverse Proxy sendet der Server HTTP an WordPress — der X-Forwarded-Proto-Header verrät WordPress, dass die externe Verbindung HTTPS war. Die if-Bedingung im Codeblock oben ist dafür nötig.
Plugin Really Simple SSL installieren
Really Simple SSL ist die komfortabelste Lösung für Shared-Hosting-Umgebungen. Es erkennt automatisch das installierte Zertifikat, setzt WordPress- und Site-URL auf HTTPS und aktiviert HTTP-zu-HTTPS-Weiterleitungen. Für Server mit direktem Zugriff empfehlen wir stattdessen die .htaccess-Variante.
# .htaccess — HTTP zu HTTPS weiterleiten (Apache)
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
# Alternativ: www-Weiterleitung kombinieren
RewriteCond %{HTTP_HOST} ^www.(.+)$ [NC]
RewriteRule ^ https://%1%{REQUEST_URI} [R=301,L] return 301 https://$host$request_uri; im HTTP-Server-Block. Mixed Content prüfen und beheben
Mixed Content entsteht, wenn HTTP-URLs noch in der Datenbank oder im Theme-Code stecken. Browser blockieren aktiven Mixed Content (Scripts) vollständig. Das WordPress-Plugin Better Search Replace oder WP-CLI migrieren alle URLs in der Datenbank sicher.
# MySQL: Alle HTTP-URLs in der Datenbank ersetzen
# Plugin: Better Search Replace (empfohlen)
# Search: http://ihre-domain.de
# Replace: https://ihre-domain.de
# Tabellen: wp_posts, wp_postmeta, wp_options, wp_usermeta
# Alternativ per WP-CLI
wp search-replace 'http://ihre-domain.de' 'https://ihre-domain.de' --all-tables Konfiguration verifizieren
Prüfen Sie nach der Migration: HTTP-Weiterleitungen funktionieren, der Browser zeigt kein Warnsymbol, die DevTools-Console zeigt keine Mixed-Content-Fehler. Der Wolf-Agents Web Security Check prüft zusätzlich die TLS-Konfiguration auf Serverebene.
# 1. HTTP-zu-HTTPS-Weiterleitung prüfen
curl -sI http://ihre-domain.de | grep -E "HTTP|Location"
# Erwartete Ausgabe:
# HTTP/1.1 301 Moved Permanently
# Location: https://ihre-domain.de/
# 2. HTTPS funktioniert
curl -sI https://ihre-domain.de | grep "HTTP"
# HTTP/2 200
# 3. Mixed Content per Browser DevTools prüfen
# F12 → Console → nach "Mixed Content" suchen Wie steht Ihre Domain bei TLS-Konfiguration?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.
Häufig gestellte Fragen
Warum konfiguriert WordPress TLS nicht selbst?
WordPress ist eine PHP-Anwendung — TLS wird auf Serverebene (Apache oder Nginx) terminiert, bevor die Anfrage WordPress erreicht. WordPress selbst sieht nur eine HTTP-Verbindung vom lokalen Server. Die TLS-Konfiguration (Protokollversionen, Cipher Suites, Zertifikate) liegt vollständig beim Webserver.
Was macht FORCE_SSL_ADMIN in wp-config.php?
FORCE_SSL_ADMIN erzwingt HTTPS für alle Admin-Anfragen (wp-admin, wp-login.php). Ohne diese Einstellung könnten Anmeldedaten über HTTP übertragen werden, selbst wenn das Frontend HTTPS nutzt. Setzen Sie immer beide Konstanten: define('FORCE_SSL_ADMIN', true) und passen Sie die WordPress- und Site-URL auf HTTPS an.
Was ist Mixed Content und wie behebe ich es?
Mixed Content entsteht, wenn eine HTTPS-Seite Ressourcen (Bilder, CSS, JavaScript) über HTTP lädt. Browser blockieren "aktiven" Mixed Content (Scripts, Frames) vollständig und warnen bei "passivem" Mixed Content (Bilder). Lösung: Alle Ressourcen-URLs in der Datenbank von http:// auf https:// migrieren — das Plugin Better Search Replace erledigt das zuverlässig.
Was macht das Plugin Really Simple SSL genau?
Really Simple SSL erkennt das vorhandene Zertifikat, setzt WordPress- und Site-URL auf HTTPS, aktiviert 301-Weiterleitungen von HTTP zu HTTPS und behebt häufige Mixed-Content-Probleme automatisch. Es ist eine komfortable Lösung für Shared-Hosting-Umgebungen, wo kein direkter Server-Zugriff möglich ist.
Muss ich das Zertifikat selbst installieren oder macht das WordPress?
Das Zertifikat wird auf Serverebene installiert — nicht von WordPress. Bei Shared Hosting erledigt das meist das Hosting-Control-Panel (cPanel, Plesk, IONOS etc.) automatisch über Let's Encrypt. Auf eigenem Server (VPS, Dedicated) verwenden Sie Certbot oder Caddy. WordPress nutzt das fertig installierte Zertifikat.
Wie erkenne ich, dass HTTPS auf WordPress korrekt funktioniert?
Prüfen Sie: 1. Das Schloss-Symbol im Browser zeigt keine Warnung. 2. Der Browser-Inspektor (F12 → Console) zeigt keine Mixed-Content-Fehler. 3. HTTP-Aufrufe werden auf HTTPS weitergeleitet (301). 4. Der Wolf-Agents Web Security Check zeigt eine gültige TLS-Konfiguration.