Mixed Content HTTPS beheben: Anleitung für WordPress

Mixed Content entsteht, wenn eine über HTTPS gesicherte Website einzelne Ressourcen über das unverschlüsselte HTTP-Protokoll nachlädt. Das können Bilder, Stylesheets, Schriftarten oder Skripte sein. Der Browser erkennt diese Inkonsistenz und reagiert je nach Ressourcentyp unterschiedlich.

Es gibt zwei Arten von Mixed Content:

• Aktiver Mixed Content (Scripts, CSS): Wird von Chrome, Firefox und Safari komplett blockiert. Die betroffenen Ressourcen laden nicht, was zu fehlerhaften Layouts oder kaputten Funktionen führt.
• Passiver Mixed Content (Bilder, Videos, Audio): Das Verhalten variiert je nach Browser. Chrome versucht, Bilder automatisch über HTTPS zu laden. Firefox zeigt eine Warnung (Weltkugel statt Schloss). Safari blockiert zunehmend auch passiven Content. In jedem Fall stuft der Browser die Verbindung als "Nicht sicher" ein.

Für Ihre Besucher wirkt eine "Nicht sicher"-Warnung abschreckend. Aus meiner Erfahrung verlassen die meisten Nutzer eine Website sofort wieder, wenn der Browser eine Sicherheitswarnung anzeigt — das Vertrauen ist in Sekundenbruchteilen weg. Außerdem ist HTTPS ein bestätigtes SEO-Ranking-Signal. Google gewichtet es zwar gering (es betrifft weniger als 1 % der Suchanfragen), doch der größere Schaden entsteht indirekt: Nutzer, die eine Warnung sehen, springen häufiger ab — und diese erhöhte Absprungrate signalisiert Google, dass Ihre Seite weniger relevant ist.

Bevor Sie Mixed Content beheben können, müssen Sie die betroffenen Ressourcen identifizieren. Ich nutze dafür in meinem Alltag zwei bewährte Wege.

Methode 1: Browser-Entwicklertools

Öffnen Sie die Entwicklertools Ihres Browsers mit F12 (Windows) oder Cmd+Option+I (Mac). Wechseln Sie zum Tab "Console" (Konsole). Mixed-Content-Warnungen werden dort in gelb oder rot angezeigt. Jede Warnung enthält die exakte URL der betroffenen Ressource. Notieren Sie sich diese URLs, um die Fehlerquellen systematisch zu beheben.

Methode 2: Online-Tools

Wenn Sie nicht jede Seite einzeln prüfen möchten, helfen Online-Scanner. Ich setze gerne Why No Padlock und den Jitbit SSL Check ein. Beide scannen Ihre Website automatisch und listen alle unsicheren Ressourcen auf. Besonders praktisch: Jitbit crawlt bis zu 200 Unterseiten und zeigt die Ergebnisse übersichtlich auf einen Blick.

Methode 1: Plugin verwenden (empfohlen für Einsteiger)

Der einfachste Weg führt über das Plugin Really Simple SSL (seit 2024 unter dem Namen Really Simple Security weiterentwickelt). Es erkennt Mixed Content automatisch und leitet alle HTTP-Anfragen intern auf HTTPS um. Darüber hinaus kann es Let's-Encrypt-Zertifikate verwalten und bietet zusätzliche Sicherheitsfunktionen wie Login-Schutz. Installation: Gehen Sie im WordPress-Backend zu Plugins > Installieren, suchen Sie nach "Really Simple Security" und aktivieren Sie es.

Wichtig: Really Simple SSL behebt Mixed Content nicht dauerhaft in der Datenbank, sondern leitet Anfragen zur Laufzeit um. Für eine saubere Lösung empfehle ich Methode 2 als zweiten Schritt.

Methode 2: URLs in der Datenbank ersetzen

Für eine dauerhafte Lösung ersetzen Sie alle HTTP-URLs direkt in der WordPress-Datenbank. Installieren Sie das Plugin Better Search Replace. Gehen Sie zu Werkzeuge > Better Search Replace und ersetzen Sie http://ihre-domain.de durch https://ihre-domain.de. Wählen Sie alle Tabellen aus und führen Sie zuerst einen Testlauf durch. Wenn alles korrekt aussieht, starten Sie den echten Durchlauf.

Methode 3: .htaccess-Weiterleitung

Ergänzend können Sie in Ihrer .htaccess-Datei eine globale Weiterleitung von HTTP auf HTTPS einrichten. Fügen Sie folgenden Code vor dem WordPress-Block ein:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Diese Regel leitet alle HTTP-Anfragen automatisch auf HTTPS um. Externe Ressourcen, die über HTTP eingebunden sind, werden dadurch allerdings nicht erfasst. Dafür müssen Sie die URLs direkt im Quellcode oder der Datenbank ändern.

Sie kommen nicht weiter oder haben keine Lust auf technisches Gefummel? Auf meiner Seite Website reparieren lassen finden Sie alle Infos zu meinem Reparatur-Service – transparente Festpreise, Einschätzung in 24h.

Wenn Sie keine WordPress-Seite betreiben, sondern eine statische Website mit HTML-Dateien, müssen Sie den Quellcode direkt bearbeiten. Ich gehe dabei so vor: Öffnen Sie alle HTML- und CSS-Dateien in einem Code-Editor und suchen Sie nach http://. Ersetzen Sie jede gefundene Referenz durch https:// oder durch eine protokollrelative URL (//).

Achten Sie besonders auf eingebettete Inhalte wie iFrames, extern geladene Schriftarten und Tracking-Skripte. Prüfen Sie vor dem Ersetzen, ob die externe Quelle tatsächlich HTTPS unterstützt. Falls nicht, suchen Sie eine Alternative oder laden Sie die Ressource lokal.

Vorbeugen ist einfacher als reparieren. Ich rate meinen Kunden zu diesen Gewohnheiten, um Mixed Content dauerhaft zu vermeiden:

• Relative URLs verwenden: Nutzen Sie in WordPress und Ihren Templates relative Pfade (/images/bild.webp) statt absoluter URLs mit Protokoll. So entstehen keine Konflikte zwischen HTTP und HTTPS.
• Medien immer über HTTPS einbinden: Wenn Sie Bilder, Videos oder Skripte von externen Quellen einbetten, prüfen Sie, ob die URL mit https:// beginnt.
• SSL-Zertifikat aktuell halten: Richten Sie die automatische Erneuerung ein. In meinem Artikel Let's Encrypt automatisch verlängern erkläre ich, wie das funktioniert.
• Nach Plugin-Updates prüfen: Manche Plugins fügen bei Updates HTTP-Ressourcen ein. Prüfen Sie Ihre Seite nach jedem größeren Update kurz mit den Entwicklertools.
• Content-Security-Policy Header setzen: Fortgeschrittene Nutzer können den HTTP-Header Content-Security-Policy: upgrade-insecure-requests einrichten. Der Browser versucht dann automatisch, alle HTTP-Anfragen auf HTTPS umzuschreiben.