Ein SSL-Zertifikat verschlüsselt 2026 die Verbindung zwischen Browser und Server. Ohne SSL zeigt Chrome ein „Nicht sicher“-Warnung in der Adresszeile — Besucher springen sofort ab, Google straft im Ranking, Datenschutzbehörden mahnen ab. Als WordPress-Spezialist aus Landau erkläre ich, wie Sie SSL in WordPress richtig einrichten, welche typischen Stolperfallen auftreten und wann der Profi-Service sinnvoller ist als Selbst-Bastelei.
Was ist SSL und warum 2026 Pflicht?
SSL steht für Secure Sockets Layer, heute korrekt TLS (Transport Layer Security). Ein SSL-Zertifikat sorgt dafür, dass Daten zwischen Browser und Server verschlüsselt übertragen werden. In der Browser-Adresszeile erscheint das Schloss-Symbol und die URL beginnt mit https statt http.
Was ohne SSL passiert: Chrome zeigt eine prominente „Nicht sicher“-Warnung neben der Adresszeile. Bei jedem Formular-Feld erscheint zusätzlich eine rote Warnung. Mobile Browser blockieren teilweise sogar den Zugriff. Studien zeigen: Sites ohne SSL verlieren bis zu 80 Prozent ihrer Besucher schon vor dem ersten Klick.
Aus Google-Ranking-Sicht ist SSL seit 2014 ein Ranking-Faktor und seit 2018 für jede Site mit Formularen oder Login praktisch Pflicht. Aus DSGVO-Sicht ist SSL spätestens seit 2018 Mindeststandard — wer personenbezogene Daten ohne Verschlüsselung überträgt, riskiert Bußgelder bis zu 20 Millionen Euro. 2026 gibt es keinen sachlichen Grund mehr, eine Site ohne SSL zu betreiben.
Let’s Encrypt vs kostenpflichtige Zertifikate
| Zertifikat-Typ | Kosten | Wofür sinnvoll |
|---|---|---|
| Let’s Encrypt DV | kostenlos | 95 % aller WordPress-Sites |
| Kommerzielles DV-Zertifikat | 10 – 40 €/Jahr | Selten sinnvoll, identisch zu Let’s Encrypt |
| OV-Zertifikat (Organization Validation) | 50 – 150 €/Jahr | Unternehmen, die Vertrauen zeigen wollen |
| EV-Zertifikat (Extended Validation) | 200 – 500 €/Jahr | Banken, große E-Commerce-Shops |
| Wildcard-Zertifikat | Let’s Encrypt kostenlos oder 100 €+/Jahr | Multi-Subdomain-Setups |
Für 95 Prozent aller WordPress-Sites reicht Let’s Encrypt vollkommen aus. Das kostenlose Zertifikat ist technisch identisch mit kommerziellen DV-Zertifikaten — der Browser zeigt das gleiche Schloss-Symbol, die Verschlüsselung ist gleich stark, der Vertrauensindex bei Google ist gleich. Einziger Unterschied: Let’s Encrypt-Zertifikate laufen nur 90 Tage und erneuern sich automatisch, kommerzielle Zertifikate haben in der Regel 12-Monats-Laufzeiten.
OV- und EV-Zertifikate haben 2026 deutlich an Bedeutung verloren. Browser zeigen den früher prominenten grünen Firmennamen nicht mehr in der Adresszeile an. Sie lohnen sich nur noch in extremen B2B-Kontexten oder bei Banken — für 99 Prozent aller KMU sind sie pure Geldverschwendung.
SSL beim Hoster aktivieren
Bei allen modernen deutschen Hostern lässt sich Let’s Encrypt 2026 per einem Klick im Kunden-Panel aktivieren. Die Details unterscheiden sich nur leicht.
KAS → Domains → SSL/TLS → Let’s Encrypt aktivieren. Dauer: 2 Minuten.
mStudio → Domain → SSL-Tab → Let’s Encrypt. Automatische Erneuerung inklusive.
Kundencenter → SSL → Let’s Encrypt zuweisen. Aktivierung dauert 5-10 Minuten.
Vertrag → SSL-Tab → kostenlos aktivieren (auch bei Ionos-Tarifen ohne SSL-Versprechen).
Manuell via certbot über SSH. Anleitung in der Hetzner-Doku, dauert 15 Minuten.
Komplett automatisch. Sie müssen nichts tun, läuft im Hintergrund.
Bei Discount-Hostern wie Strato oder älteren Anbietern ohne native Let’s-Encrypt-Integration ist die Aktivierung aufwendiger. Hier lohnt sich oft ein Hoster-Wechsel zu einem moderneren Anbieter wie All-Inkl oder Mittwald — in der Wartung deutlich entspannter. Wir empfehlen in der Hosting-Beratung typischerweise All-Inkl oder Mittwald.
SSL in WordPress einbinden
Sobald das Zertifikat auf Hoster-Ebene aktiv ist, muss WordPress lernen, dass die Site jetzt unter https läuft. Das geht in fünf konkreten Schritten.
Im WordPress-Backend unter Einstellungen → Allgemein die Werte für WordPress-Adresse und Website-Adresse von http:// auf https:// ändern. Speichern.
Alte http-Links in der Datenbank durch https-Links ersetzen. Mit Plugin „Better Search Replace“ oder per WP-CLI. Wichtig: vorher Backup machen, sonst kann die Site brechen.
Eine Redirect-Regel in die .htaccess-Datei einfügen, die alle http-Aufrufe permanent auf https umleitet. Garantiert, dass niemand mehr auf der unverschlüsselten Version landet.
Das einfachste Setup für Anfänger. Erkennt das Zertifikat automatisch, setzt alle internen Links um, fixt Mixed-Content-Warnungen on-the-fly. Kostenlos in der Standard-Version.
Inkognito-Modus öffnen, Site aufrufen, Schloss-Symbol in der Adresszeile prüfen. Sollte grün/grau und ohne Warnungen erscheinen. Dann sind alle Klicks innerhalb der Site auch verschlüsselt.
Mixed Content beheben
Der häufigste Stolperstein nach der SSL-Umstellung: Mixed Content. Das bedeutet, dass die Site selbst per https läuft, aber einzelne Ressourcen (Bilder, Skripte, eingebettete Videos) noch von http-URLs geladen werden. Browser zeigen dann statt des grünen Schlosses ein Warn-Dreieck oder gar nichts.
Die schnellste Lösung: „Really Simple SSL“ oder „SSL Insecure Content Fixer“ installieren. Beide Plugins ersetzen on-the-fly alle http-Ressourcen durch https-Versionen. Funktioniert in über 90 Prozent der Fälle automatisch. Bei hartnäckigen Fällen hilft die Browser-Konsole — sie listet jede einzelne unsichere Ressource auf, die dann manuell gefixt werden kann.
Wer es sauber haben will: das Plugin nur als Übergangslösung nutzen und parallel mit „Better Search Replace“ in der Datenbank alle http-zu-https-Ersetzungen permanent machen. Anschließend kann das Plugin deaktiviert werden — die Site hat dann keine Mixed-Content-Probleme mehr und braucht keinen Plugin-Overhead.
Search Console und SEO nach SSL-Umstellung
Nach der SSL-Umstellung muss Google die neue HTTPS-Site als eigenständige „Property“ in der Search Console kennen. Sonst geht der SEO-Verlauf scheinbar verloren — tatsächlich wird er nur unter der alten HTTP-Property weitergeführt, was unübersichtlich ist.
Konkret: in der Search Console eine neue Property für die HTTPS-Version anlegen, Sitemap der HTTPS-Site einreichen, Eigentümerschaft verifizieren. Die alte HTTP-Property bleibt erhalten, sammelt aber keine neuen Daten mehr. Wer es perfekt machen will, kombiniert beide Properties in einer „Domain-Property“ (per DNS-Verifikation) — dort werden HTTP und HTTPS automatisch zusammengeführt.
Rankings sollten innerhalb von 2 bis 4 Wochen nahtlos auf die HTTPS-Version übertragen werden. Wichtig ist, dass die 301-Weiterleitungen von HTTP auf HTTPS funktionieren — Google nutzt diese, um den SEO-Wert zu übertragen. Ohne korrekte 301-Redirects kann die Site temporär Ranking-Positionen verlieren.
SSL-Probleme und Lösungen
Drei Probleme tauchen in der Praxis immer wieder auf. Wer die Diagnose schnell stellen kann, spart Stunden Frust.
Problem eins: Endlosschleife nach Aktivierung. Die Site lädt ewig und der Browser meldet „zu viele Weiterleitungen“. Ursache ist meist eine Konflikt zwischen .htaccess-Redirect und der Plugin- oder Theme-Logik. Lösung: .htaccess-Regel temporär deaktivieren, dann das Plugin „Really Simple SSL“ für die saubere Konfiguration nutzen.
Problem zwei: Zertifikat-Warnung obwohl SSL aktiv ist. Ursache meist ein abgelaufenes oder falsch konfiguriertes Zertifikat. Bei Let’s Encrypt: im Hoster-Panel die Erneuerung manuell anstoßen. Bei kommerziellen Zertifikaten: Laufzeit prüfen und Verlängerung beantragen. Notfalls Cache leeren — manchmal hängt der Browser auf einer alten Version.
Problem drei: Site funktioniert auf Desktop, nicht auf Mobile. Ursache ist oft ein Server-Konfigurationsproblem, das nur unter bestimmten User-Agents auftaucht. Lösung: SSL-Test bei SSL Labs durchführen (https://ssllabs.com/ssltest/), nach Fehlern in der Konfiguration suchen, beim Hoster Support einschalten.
Wartung und Erneuerung des Zertifikats
Let’s Encrypt-Zertifikate laufen 90 Tage und müssen alle 60 bis 90 Tage erneuert werden. Bei modernen Hostern (All-Inkl, Mittwald, Raidboxes) passiert das automatisch im Hintergrund. Sie merken nichts davon — bis es einmal nicht klappt.
Typische Erneuerungs-Probleme: DNS-Konfiguration hat sich geändert, neue Domain wurde nicht in die Zertifikats-Abfrage aufgenommen, Hosting-Vertrag wurde umgestellt. Folge: das Zertifikat läuft aus, die Site zeigt eine Browser-Warnung, Conversions stürzen ab.
Unser Wartungsvertrag ab 29,99 Euro pro Monat schützt davor. Wir überwachen Zertifikats-Laufzeiten täglich, greifen ein, sobald sich Probleme abzeichnen, und stellen sicher, dass keine Browser-Warnung jemals einen Kunden erschreckt. Ohne Monitoring fällt das oft erst auf, wenn Kunden anrufen — dann ist es bereits zu spät und Conversions sind verloren.
Häufige Fragen zu WordPress-SSL
Was kostet ein SSL-Zertifikat für WordPress?+
Ist SSL Pflicht für meine WordPress-Site?+
Was ist Mixed Content und wie löse ich es?+
Verliere ich Google-Rankings durch SSL-Umstellung?+
Wie oft muss ich das SSL-Zertifikat erneuern?+
Kann ich SSL selbst einrichten?+
Was kostet SSL-Service bei einer Agentur?+
Fazit: SSL ist 2026 schnell und günstig eingerichtet
Ein SSL-Zertifikat ist 2026 mit Let’s Encrypt kostenlos verfügbar und bei modernen Hostern in wenigen Minuten aktiviert. Die WordPress-Konfiguration läuft in fünf klaren Schritten, Mixed-Content-Probleme lassen sich mit Standard-Plugins lösen. Wer Standard-Setup hat, schafft die komplette Umstellung in 30 bis 60 Minuten.
Wer es sauber und sorgenfrei haben will, lässt es einrichten und beauftragt die Wartung. Unser Wartungsvertrag ab 29,99 Euro pro Monat überwacht Zertifikats-Laufzeiten, repariert Erneuerungs-Probleme bevor sie auffallen und stellt sicher, dass keine Browser-Warnung jemals einen potenziellen Kunden abschreckt.
SSL-Setup und Wartung ab 29,99 €/Monat
Let’s Encrypt-Einrichtung, automatische Erneuerung, Mixed-Content-Fix, SSL-Monitoring. Aus Landau in der Pfalz für deutsche KMU.