Du hast es geschafft: Die HTTPS-Umstellung deiner WordPress-Website ist endlich durch! Die grüne Schloss-Ikone leuchtet, Google jubelt, und du fühlst dich wie der König oder die Königin des Internets. Doch dann – oh Schreck! – taucht plötzlich die gefürchtete Warnung „Nicht sicher“ auf. Mixed Content! Willkommen im Club der Web-Admins, die sich mit dem Thema Mixed Content nach HTTPS-Umstellung herumschlagen müssen. Aber keine Sorge: In diesem Guide erfährst du, wie du Mixed Content aufspürst, WordPress sauber auf HTTPS umstellst, mit Search-Replace aufräumst und mit einer Content Security Policy (CSP) für nachhaltige Sicherheit sorgst. Und das alles mit einer Prise Humor, einer ordentlichen Portion Praxiswissen und – versprochen – ohne Fachchinesisch-Overkill.
HTTPS ist heute Standard. Laut Google Transparency Report werden weltweit über 95% aller Seitenaufrufe in Chrome bereits verschlüsselt übertragen. HTTPS schützt nicht nur deine Besucher:innen, sondern ist auch ein Rankingfaktor für Google (Google Webmaster Blog). Doch die Umstellung ist oft tückisch: Alte HTTP-Links, eingebettete Bilder, externe Skripte – all das kann zu Mixed Content führen. Und das ist nicht nur unschön, sondern auch ein Sicherheitsrisiko.
Also: Was ist Mixed Content, warum ist es gefährlich, und wie wirst du es los? Lass uns gemeinsam tief eintauchen!
-
Was ist Mixed Content?
Mixed Content entsteht, wenn eine eigentlich sichere (HTTPS) Website unsichere (HTTP) Ressourcen lädt. Das können Bilder, Skripte, Stylesheets, Fonts oder iFrames sein. Browser blockieren solche Inhalte teilweise oder komplett – und zeigen Warnungen an. Das Ergebnis: Verunsicherte Besucher:innen, schlechtere SEO, und im schlimmsten Fall funktioniert deine Seite nicht mehr richtig.
-
Warum ist Mixed Content ein Problem?
- Sicherheitsrisiko: Angreifer können unverschlüsselte Inhalte manipulieren und so z.B. Schadcode einschleusen.
- Vertrauensverlust: Browser zeigen Warnungen, das Schloss-Symbol verschwindet – Besucher:innen springen ab.
- SEO-Nachteile: Google bevorzugt sichere Seiten. Mixed Content kann das Ranking verschlechtern.
- Funktionsprobleme: Blockierte Skripte oder Styles können das Layout oder Funktionen deiner Seite zerschießen.
Die gute Nachricht: Mixed Content lässt sich in WordPress meist schnell beheben – wenn du weißt, wie. Und genau das zeige ich dir jetzt Schritt für Schritt.
1. Mixed Content aufspüren: So findest du die Übeltäter
-
Browser-Entwicklertools:
Öffne deine Website im Chrome oder Firefox, drücke
F12und schau in die Konsole. Hier werden Mixed-Content-Warnungen fett und rot angezeigt – inklusive der genauen URL. Notiere dir alle betroffenen Ressourcen. -
Online-Scanner:
Tools wie Why No Padlock oder SSL Labs scannen deine Seite und listen unsichere Inhalte auf. Praktisch für einen schnellen Überblick.
-
WordPress-Plugins:
Plugins wie Really Simple SSL oder Better Search Replace helfen beim Aufspüren und Beheben von Mixed Content. Aber: Plugins sind kein Allheilmittel – oft ist Handarbeit gefragt!
2. WordPress auf HTTPS umstellen: Die Basis schaffen
-
WordPress-URL und Website-URL anpassen:
Gehe in dein WordPress-Backend unter Einstellungen > Allgemein und ändere beide URLs von
http://aufhttps://. Speichern nicht vergessen! -
SSL-Zertifikat korrekt einrichten:
Stelle sicher, dass dein Hosting-Anbieter ein gültiges SSL-Zertifikat installiert hat. Kostenlose Zertifikate gibt’s z.B. bei Let’s Encrypt.
-
Weiterleitungen einrichten:
Leite alle HTTP-Anfragen per
.htaccessoder Server-Konfiguration auf HTTPS um. Beispiel für Apache:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
3. Search & Replace: Alte HTTP-Links in der Datenbank ersetzen
Jetzt wird’s spannend: WordPress speichert interne Links, Bildpfade und eingebettete Inhalte oft als absolute URLs in der Datenbank. Nach der Umstellung auf HTTPS bleiben diese oft auf http:// stehen – und verursachen Mixed Content. Hier hilft ein Search & Replace!
-
Backup, Backup, Backup!
Bevor du irgendetwas an der Datenbank änderst: Mache ein vollständiges Backup! Plugins wie UpdraftPlus oder BackWPup sind hier Gold wert.
-
Plugin „Better Search Replace“ nutzen:
Installiere das Plugin, gehe auf Werkzeuge > Better Search Replace und suche nach
http://deinedomain.de. Ersetze es durchhttps://deinedomain.de. Wähle alle Tabellen aus, mache zuerst einen Testlauf (Häkchen setzen!), dann den echten Durchlauf. -
Alternativ: WP-CLI für Profis
Wenn du SSH-Zugang hast, geht’s auch per Kommandozeile:
wp search-replace 'http://deinedomain.de' 'https://deinedomain.de' --all-tables
Das ist schnell, mächtig – und sollte nur mit Backup und Bedacht genutzt werden!
-
Medien & Theme-Dateien prüfen:
Manche Themes oder Plugins speichern URLs in eigenen Optionen oder Dateien. Prüfe
functions.php, Customizer-Einstellungen und ggf. Page Builder-Elemente.
4. Content Security Policy (CSP): Nachhaltig gegen Mixed Content
Du willst Mixed Content nicht nur einmalig, sondern dauerhaft verhindern? Dann ist eine Content Security Policy (CSP) dein Freund. CSP ist ein HTTP-Header, der dem Browser sagt, welche Inhalte von welchen Quellen geladen werden dürfen. Mixed Content? Wird einfach blockiert!
-
CSP-Header setzen:
Füge in deiner
.htaccessoder Server-Konfiguration folgenden Header ein:
Header set Content-Security-Policy "upgrade-insecure-requests;"
Das sorgt dafür, dass alle HTTP-Ressourcen automatisch auf HTTPS umgeleitet werden – sofern möglich.
-
Feingranulare CSP-Regeln:
Du kannst auch gezielt erlauben, von welchen Domains Inhalte geladen werden dürfen. Beispiel:
Content-Security-Policy: default-src 'self'; img-src 'self' https:; script-src 'self' https://trusted.cdn.com;
Damit blockierst du unsichere Inhalte und erlaubst nur, was wirklich gebraucht wird.
-
CSP testen:
Nutze Tools wie CSP Evaluator oder Report URI, um deine Policy zu testen und zu überwachen.
| Mixed Content Typ | Gefahr | Behebung |
|---|---|---|
| Bilder | Wird oft geladen, aber Warnung im Browser | URL auf HTTPS umstellen, ggf. neu hochladen |
| Skripte | Wird meist blockiert, Seite kann „kaputt“ gehen | Script-URL auf HTTPS, ggf. externen Anbieter wechseln |
| Stylesheets | Layout-Fehler, Seite sieht „zerschossen“ aus | Stylesheet-URL auf HTTPS, Theme prüfen |
| iFrames | Externe Inhalte werden nicht angezeigt | Nur sichere Quellen einbinden |
5. Typische Stolperfallen & Profi-Tipps
-
Externe Ressourcen:
Viele Plugins und Themes binden externe Skripte oder Fonts ein. Prüfe, ob diese über HTTPS verfügbar sind – sonst gibt’s Ärger.
-
CDNs & Bildoptimierung:
Wenn du ein CDN (z.B. Cloudflare, KeyCDN) nutzt, stelle sicher, dass alle Ressourcen auch dort per HTTPS ausgeliefert werden.
-
Alte Inhalte & Shortcodes:
Gerade bei großen Websites schlummern in alten Beiträgen, Widgets oder Shortcodes noch HTTP-Links. Hier hilft ein kompletter Search & Replace – oder Handarbeit.
-
Google Search Console & Sitemap:
Reiche deine Website nach der Umstellung neu in der Search Console ein und aktualisiere die Sitemap auf HTTPS.
-
301-Weiterleitungen prüfen:
Teste mit httpstatus.io, ob wirklich alle alten HTTP-URLs sauber auf HTTPS weiterleiten.
6. Fazit: Mixed Content? Kein Grund zur Panik!
Die Umstellung auf HTTPS ist ein Muss – und Mixed Content ein lösbares Problem. Mit den richtigen Tools, etwas Geduld und einer Prise Nerd-Power bekommst du deine WordPress-Seite garantiert sauber und sicher. Und falls du doch mal nicht weiterkommst, gibt’s ja noch Profis wie uns von Nakaryu.
Nakaryu: Deine Webdesign-Profis für sichere, moderne Websites
Du willst dich nicht mit Datenbank-Suchen, CSP-Headern und SSL-Zertifikaten herumschlagen? Dann lass uns ran! Nakaryu ist deine Full-Service-Agentur für Webdesign, WordPress, WooCommerce und alles, was dazugehört. Wir sorgen für eine abmahnsichere, performante und individuelle Website – natürlich DSGVO-konform, mit persönlichem Support und monatlich buchbaren Flatrates. Klingt gut? Dann schau dir unsere Webdesign-Angebote an und lass uns gemeinsam durchstarten!
Quellen
- Google Transparency Report: HTTPS-Statistiken
- Google Webmaster Blog: HTTPS als Rankingfaktor
- Let’s Encrypt: Kostenlose SSL-Zertifikate
- Why No Padlock: Mixed Content Scanner
- SSL Labs: SSL-Test
- CSP Evaluator von Google
- Report URI: CSP Monitoring
- HTTP Status Checker
Fragen zum Thema
Was ist Mixed Content und warum tritt er nach der HTTPS-Umstellung bei WordPress auf?
Mixed Content entsteht, wenn eine eigentlich sichere (HTTPS) Website unsichere (HTTP) Ressourcen wie Bilder, Skripte oder Stylesheets lädt. Nach der HTTPS-Umstellung bei WordPress bleiben oft alte HTTP-Links in der Datenbank, in Themes oder Plugins zurück. Das führt dazu, dass Browser Warnungen anzeigen („Nicht sicher“) und Inhalte teilweise blockieren. Die Ursache sind meist nicht aktualisierte interne Links, externe Ressourcen oder falsch eingebundene Medien.
Wie kann ich Mixed Content auf meiner WordPress-Seite zuverlässig aufspüren?
Du findest Mixed Content am einfachsten mit den Browser-Entwicklertools (F12, dann Konsole), die betroffene Ressourcen anzeigen. Zusätzlich helfen Online-Scanner wie Why No Padlock oder SSL Labs. Für WordPress gibt es Plugins wie Really Simple SSL oder Better Search Replace, die beim Aufspüren und Beheben unterstützen. Wichtig: Nicht alle Probleme lassen sich automatisiert finden – manchmal ist Handarbeit gefragt!
Wie behebe ich Mixed Content in WordPress dauerhaft?
Zuerst solltest du die WordPress-URL und Website-URL unter Einstellungen > Allgemein auf https:// umstellen. Danach empfiehlt sich ein Search & Replace in der Datenbank, z.B. mit dem Plugin Better Search Replace oder per WP-CLI. Prüfe auch Theme-Dateien, Page Builder und Widgets auf alte HTTP-Links. Für nachhaltigen Schutz empfiehlt sich eine Content Security Policy (CSP), die unsichere Inhalte blockiert oder automatisch auf HTTPS umleitet.
Was bringt eine Content Security Policy (CSP) gegen Mixed Content?
Eine Content Security Policy (CSP) ist ein HTTP-Header, der dem Browser vorgibt, welche Inhalte von welchen Quellen geladen werden dürfen. Mit der Direktive upgrade-insecure-requests werden alle HTTP-Ressourcen automatisch auf HTTPS umgeleitet. So verhinderst du, dass versehentlich unsichere Inhalte eingebunden werden. Feingranulare CSP-Regeln erlauben es, nur bestimmte Domains oder Dateitypen zuzulassen – das erhöht die Sicherheit deiner Website deutlich.
Welche typischen Stolperfallen gibt es bei der HTTPS-Umstellung und wie hilft Nakaryu?
Häufige Stolperfallen sind externe Ressourcen (z.B. Fonts, Skripte), die nicht über HTTPS verfügbar sind, alte Inhalte in Beiträgen oder Widgets, sowie fehlende 301-Weiterleitungen von HTTP auf HTTPS. Auch CDNs und Bildoptimierungsdienste müssen korrekt konfiguriert sein. Nakaryu unterstützt dich als erfahrene Full-Service-Agentur bei der sicheren Umstellung, prüft alle Stolperfallen und sorgt für eine abmahnsichere, performante und individuelle Website – inklusive persönlichem Support und monatlich buchbaren Flatrates.
Jetzt kostenfreies Erstgespräch sichern
Lass dich unverbindlich beraten
→ Schreib an hey@nakaryu.de, chatte bei WhatsApp, oder ruf an +49 152 58119266. Wir beraten dich gerne.
15% Rabatt auf alle Pakete
→ Für Vereine, Creator & Künstler. Schreib uns einfach an.
Weiterempfehlen lohnt sich
→ 100 € Gutschrift für jeden geworbenen Neukunden.