Stell dir vor, du hast gerade deine neue, schicke WordPress-Website gelauncht. Alles glänzt, die Bilder sind gestochen scharf, die Texte sitzen – und dann das: Deine Besucher bekommen plötzlich eine Warnung im Browser. „Nicht sicher“, „Gemischte Inhalte blockiert“ oder im Original: „Blocked mixed active content“. Herzlichen Glückwunsch, du bist im Club der Webentwickler:innen, die sich mit dem Thema Mixed Content herumschlagen dürfen! Aber keine Sorge, ich nehme dich heute mit auf eine Reise durch die Untiefen von HTTP, HTTPS, Zertifikaten und WordPress-Eigenheiten. Am Ende weißt du nicht nur, wie du das Problem löst, sondern auch, warum es überhaupt existiert – und wie du deine Website zukunftssicher machst.
Bevor wir in die Praxis einsteigen, lass uns kurz klären, was es mit diesem „Mixed Content“ eigentlich auf sich hat. Und warum moderne Browser so allergisch darauf reagieren.
Mixed Content bedeutet, dass auf einer eigentlich sicheren Website (also mit HTTPS geladen) unsichere Ressourcen (HTTP) eingebunden werden. Das können Bilder, Skripte, Stylesheets, Fonts oder sogar Videos sein. Die Folge: Browser wie Chrome, Firefox oder Safari blockieren diese Inhalte – und zeigen deinen Besucher:innen eine Warnung an. Das sieht nicht nur unschön aus, sondern kann auch das Vertrauen in deine Website massiv schädigen.
-
Warum ist Mixed Content ein Problem?
Stell dir vor, du hast ein schickes, sicheres Haus (deine HTTPS-Website) – aber die Fenster (Bilder, Skripte) stehen sperrangelweit offen. Über diese offenen Fenster könnten Angreifer Schadcode einschleusen, Daten abgreifen oder deine Seite manipulieren. Laut Mozilla ist Mixed Content eine der häufigsten Ursachen für Sicherheitslücken auf modernen Websites.
-
Wie häufig ist das Problem?
Eine Studie von Imperva zeigt, dass rund 43% aller Websites mit SSL-Zertifikat mindestens eine unsichere Ressource einbinden. Besonders betroffen: WordPress-Seiten, da hier oft externe Plugins, Themes oder Medienquellen genutzt werden.
-
Was blockieren Browser genau?
Browser unterscheiden zwischen passivem (z.B. Bilder, Videos) und aktivem Mixed Content (z.B. Skripte, iframes, Stylesheets). Aktiver Mixed Content wird komplett blockiert, passiver oft nur mit Warnung angezeigt. Seit 2020 blockiert Chrome aber auch immer mehr passiven Mixed Content (Quelle).
Jetzt, wo du weißt, warum das Thema so wichtig ist, lass uns gemeinsam herausfinden, wie du Mixed Content auf deiner WordPress-Seite aufspürst und endgültig beseitigst.
1. Mixed Content erkennen – so findest du die Übeltäter
-
Browser-Entwicklertools nutzen
Öffne deine Website im Chrome, Firefox oder Edge und drücke
F12(oder Rechtsklick > „Untersuchen“). Im Tab „Konsole“ oder „Console“ findest du Warnungen wie:
Mixed Content: The page at 'https://deine-seite.de' was loaded over HTTPS, but requested an insecure script 'http://unsichere-quelle.de/script.js'. This request has been blocked; the content must be served over HTTPS.
Hier siehst du genau, welche Ressourcen betroffen sind. -
Online-Scanner verwenden
Tools wie Why No Padlock? oder SSL Labs scannen deine Seite und listen unsichere Inhalte auf. Praktisch, wenn du nicht jede Unterseite manuell prüfen willst.
-
WordPress-Plugins zur Analyse
Plugins wie Really Simple SSL oder SSL Insecure Content Fixer helfen dir, Mixed Content zu erkennen und teilweise sogar automatisch zu beheben. Aber Vorsicht: Nicht jedes Plugin ist ein Allheilmittel – manchmal ist Handarbeit gefragt.
2. Ursachen für Mixed Content in WordPress
-
Falsch eingebundene Medien
Bilder, Videos oder PDFs, die noch mit
http://statthttps://eingebunden sind. Das passiert oft, wenn du vor dem Umstieg auf HTTPS Inhalte hochgeladen hast. -
Externe Ressourcen
Schriften, Skripte oder Stylesheets von Drittanbietern (z.B. Google Fonts, jQuery-CDNs), die nicht über HTTPS ausgeliefert werden. Besonders tückisch: Manche Plugins oder Themes laden externe Ressourcen, ohne auf das Protokoll zu achten.
-
Veraltete Plugins oder Themes
Alte Themes oder Plugins, die noch hartkodierte HTTP-Links enthalten. Hier hilft oft nur ein Update – oder ein Blick in den Code.
-
Falsche WordPress-Einstellungen
Die WordPress-Adresse (URL) und Website-Adresse (URL) unter Einstellungen > Allgemein müssen auf
https://stehen. Sonst werden interne Links weiterhin unsicher ausgeliefert.
3. Mixed Content beheben – Schritt für Schritt
-
WordPress-URLs auf HTTPS umstellen
Gehe zu Einstellungen > Allgemein und stelle sicher, dass beide Felder mit
https://beginnen. Falls nicht, passe sie an und speichere die Änderungen. Achtung: Danach kann ein erneuter Login nötig sein. -
Medien-URLs in der Datenbank korrigieren
Alte Medien werden oft mit
http://gespeichert. Mit einem Plugin wie Better Search Replace kannst du in der Datenbank allehttp://deine-seite.dedurchhttps://deine-seite.deersetzen. Backup nicht vergessen! -
Externe Ressourcen prüfen und ersetzen
Stelle sicher, dass alle externen Skripte, Fonts und Stylesheets über HTTPS geladen werden. Falls der Anbieter kein HTTPS unterstützt, solltest du die Ressource ersetzen oder lokal hosten.
-
Plugins und Themes aktualisieren
Halte alle Plugins und Themes aktuell. Viele Entwickler haben in den letzten Jahren HTTPS-Unterstützung nachgerüstet. Bei hartnäckigen Fällen hilft manchmal nur ein Wechsel zu einem moderneren Theme oder Plugin.
-
Automatische Umleitung auf HTTPS einrichten
Mit einer
.htaccess-Regel kannst du alle Anfragen auf HTTPS umleiten. Beispiel für Apache-Server:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Bei NGINX sieht das so aus:
if ($scheme = http) {
return 301 https://$host$request_uri;
}
-
Content Security Policy (CSP) nutzen
Mit einer CSP kannst du erzwingen, dass nur sichere Inhalte geladen werden. Beispiel:
Content-Security-Policy: upgrade-insecure-requests;
Das sorgt dafür, dass alle HTTP-Ressourcen automatisch auf HTTPS umgeleitet werden – sofern verfügbar.
4. Typische Stolperfallen und Profi-Tipps
-
CDNs und externe Dienste
Viele nutzen Content Delivery Networks (CDNs) für Bilder, Skripte oder Videos. Achte darauf, dass dein CDN HTTPS unterstützt und alle Links entsprechend angepasst sind. Bei Diensten wie Cloudflare kannst du „Automatic HTTPS Rewrites“ aktivieren.
-
Google Fonts & Drittanbieter-Schriften
Google Fonts werden heute standardmäßig über HTTPS ausgeliefert. Prüfe aber, ob dein Theme oder Page Builder noch alte HTTP-Links verwendet. Im Zweifel: Fonts lokal hosten!
-
Alte Einbettungen und Shortcodes
Manche Page Builder oder Shortcodes speichern URLs als HTTP. Hier hilft oft ein Suchen & Ersetzen in der Datenbank – oder ein Plugin wie „Velvet Blues Update URLs“.
-
SVGs und eingebettete Medien
SVGs, die externe Ressourcen (z.B. Fonts, Bilder) referenzieren, können ebenfalls Mixed Content verursachen. Prüfe SVG-Dateien auf externe HTTP-Links.
-
SSL-Zertifikat korrekt einrichten
Ein gültiges SSL-Zertifikat ist die Grundvoraussetzung. Kostenlose Zertifikate gibt’s z.B. bei Let’s Encrypt. Prüfe mit SSL Labs, ob alles korrekt eingerichtet ist.
5. Übersicht: Maßnahmen gegen Mixed Content
| Maßnahme | Beschreibung | Schwierigkeit |
|---|---|---|
| WordPress-URLs auf HTTPS umstellen | Basis-Einstellung in WordPress, damit alle internen Links sicher sind. | Einfach |
| Medien-URLs in der Datenbank ersetzen | Alte HTTP-Links durch HTTPS ersetzen, z.B. mit Plugin. | Mittel |
| Externe Ressourcen prüfen | Alle Skripte, Fonts, Stylesheets auf HTTPS umstellen oder lokal hosten. | Mittel |
| Plugins & Themes aktualisieren | Veraltete Komponenten können Mixed Content verursachen. | Einfach |
| HTTPS-Umleitung per .htaccess/NGINX | Alle Anfragen auf HTTPS umleiten, damit niemand versehentlich HTTP nutzt. | Mittel |
| Content Security Policy (CSP) | Browserseitige Absicherung gegen unsichere Inhalte. | Fortgeschritten |
6. Fazit: Sicherheit ist kein Hexenwerk – aber Pflicht!
Mixed Content ist einer der häufigsten Stolpersteine beim Umstieg auf HTTPS – und leider auch einer der gefährlichsten. Die gute Nachricht: Mit ein bisschen Know-how, den richtigen Tools und etwas Geduld bekommst du das Problem in den Griff. Und deine Besucher:innen danken es dir mit mehr Vertrauen, besseren Rankings und weniger Support-Anfragen.
Falls du keine Lust auf Technik, Fehlersuche und stundenlanges Debugging hast – oder einfach sicher gehen willst, dass deine Website DSGVO-konform, abmahnsicher und blitzschnell läuft – dann lass uns von Nakaryu ran! Wir kümmern uns nicht nur um Mixed Content, sondern um alles, was deine Website braucht: von Design über Sicherheit bis zu Performance und SEO. Schau dir unsere Webdesign-Flatrate an – und lass uns gemeinsam digitale Erlebnisse schaffen, die begeistern!
Quellen
- Mozilla Developer Network: Mixed Content
- Imperva: Mixed Content
- Chromium Blog: No More Mixed Messages About HTTPS
- SSL Labs: SSL Test
- Why No Padlock?
- Let’s Encrypt
Fragen zum Thema
Was ist Mixed Content und warum ist es ein Problem für meine WordPress-Website?
Mixed Content bedeutet, dass auf einer eigentlich sicheren Website (HTTPS) unsichere Ressourcen (HTTP) eingebunden werden – zum Beispiel Bilder, Skripte oder Fonts. Das Problem: Browser wie Chrome oder Firefox blockieren solche Inhalte, zeigen Warnungen an und gefährden so das Vertrauen deiner Besucher:innen. Außerdem können Angreifer über unsichere Ressourcen Schadcode einschleusen oder Daten abgreifen (Quelle: Mozilla).
Wie erkenne ich Mixed Content auf meiner Website?
Du kannst Browser-Entwicklertools (F12) nutzen und im Tab „Konsole“ nach Warnungen wie „Mixed Content“ suchen. Alternativ helfen Online-Scanner wie Why No Padlock? oder SSL Labs. Für WordPress gibt es Plugins wie Really Simple SSL oder SSL Insecure Content Fixer, die Mixed Content erkennen und teilweise automatisch beheben.
Was sind die häufigsten Ursachen für Mixed Content in WordPress?
Typische Ursachen sind falsch eingebundene Medien (Bilder, PDFs mit http://), externe Ressourcen (z.B. Google Fonts, jQuery-CDNs ohne HTTPS), veraltete Plugins oder Themes mit hartkodierten HTTP-Links sowie falsche WordPress-Einstellungen (Website-Adresse nicht auf https:// gesetzt).
Wie behebe ich Mixed Content Schritt für Schritt?
1. Stelle sicher, dass die WordPress-URLs unter Einstellungen > Allgemein auf https:// stehen.
2. Ersetze alte Medien-URLs in der Datenbank (z.B. mit Better Search Replace).
3. Prüfe und ersetze externe Ressourcen durch HTTPS-Versionen oder hoste sie lokal.
4. Aktualisiere Plugins und Themes.
5. Richte eine automatische HTTPS-Umleitung per .htaccess oder NGINX ein.
6. Optional: Setze eine Content Security Policy (CSP), um unsichere Inhalte zu blockieren.
Was macht Nakaryu anders bei der Absicherung von WordPress-Websites?
Nakaryu bietet nicht nur die Behebung von Mixed Content, sondern ganzheitliche Lösungen: von DSGVO-konformer Sicherheit über modernes Webdesign bis zu Performance-Optimierung und SEO. Mit modularen Webdesign-Flatrates erhältst du individuelle Betreuung, laufende Updates und persönlichen Support – alles zum monatlichen Fixpreis, ohne versteckte Kosten. So bleibt deine Website zukunftssicher, abmahnsicher und blitzschnell.
Jetzt kostenfreies Erstgespräch sichern
Lass dich unverbindlich beraten
→ Schreib an hey@nakaryu.de, chatte bei WhatsApp, oder ruf an +49 152 58119266. Wir beraten dich gerne.
15% Rabatt auf alle Pakete
→ Für Vereine, Creator & Künstler. Schreib uns einfach an.
Weiterempfehlen lohnt sich
→ 100 € Gutschrift für jeden geworbenen Neukunden.