Mixed Content in WordPress beheben: HTTPS korrekt erzwingen

Sie haben ein SSL-Zertifikat aktiviert, aber der Browser zeigt Ihre WordPress-Website trotzdem als „Nicht sicher“ an? Oder das Schloss-Symbol erscheint nicht korrekt? Dann liegt die Ursache häufig bei sogenanntem Mixed Content.

Mixed Content bedeutet: Die Website selbst wird zwar über https:// geladen, einzelne Bestandteile der Seite werden aber weiterhin über unsichere http://-Adressen eingebunden. Das können Bilder, CSS-Dateien, JavaScript-Dateien, Schriftarten, Videos, iframes oder externe Ressourcen sein.

Kurz erklärt: Mixed Content entsteht, wenn eine HTTPS-Seite noch einzelne Inhalte über HTTP lädt. Dadurch kann der Browser Sicherheitswarnungen anzeigen oder unsichere Inhalte blockieren.

Warum Mixed Content problematisch ist

HTTPS schützt die Verbindung zwischen Besucher und Website. Wenn jedoch einzelne Elemente weiterhin per HTTP geladen werden, ist die Seite nicht vollständig verschlüsselt. Das kann Sicherheit, Vertrauen, SEO und Nutzererfahrung beeinträchtigen.

Mixed Content kann folgende Folgen haben:

  • Browser zeigt „Nicht sicher“ oder Warnhinweise an,
  • Schloss-Symbol erscheint nicht korrekt,
  • Bilder oder Skripte werden blockiert,
  • Layout kann fehlerhaft aussehen,
  • Formulare wirken unsicher,
  • Besucher verlieren Vertrauen,
  • Tracking oder externe Funktionen funktionieren nicht korrekt,
  • technische SEO-Qualität leidet.

Besonders bei Kontaktformularen, Login-Seiten, Kundenbereichen und WooCommerce-Shops sollte Mixed Content konsequent behoben werden.

Typische Ursachen für Mixed Content

Mixed Content entsteht häufig nach der Umstellung einer bestehenden Website von HTTP auf HTTPS. Alte Links bleiben in Datenbank, Theme, Widgets oder Pagebuildern gespeichert.

Häufige Ursachen:

  • Bilder wurden früher mit http:// eingebunden,
  • interne Links enthalten noch HTTP-Adressen,
  • Theme-Optionen speichern alte URLs,
  • Pagebuilder speichern Pfade in eigenen Datenstrukturen,
  • CSS-Dateien enthalten absolute HTTP-Pfade,
  • JavaScript-Dateien werden extern per HTTP geladen,
  • Google Fonts oder andere externe Schriftarten werden unsicher eingebunden,
  • Widgets enthalten hartcodierte HTTP-Links,
  • alte Shortcodes oder HTML-Blöcke enthalten HTTP-Adressen,
  • Cache-Dateien enthalten noch alte Pfade.

Aktiver und passiver Mixed Content

Nicht jeder Mixed-Content-Fehler ist gleich kritisch. Grundsätzlich unterscheidet man zwischen passiven und aktiven Inhalten.

Art Beispiele Risiko
Passiver Mixed Content Bilder, Videos, Audiodateien Kann Warnungen auslösen und Vertrauen beeinträchtigen.
Aktiver Mixed Content JavaScript, CSS, iframes, externe Skripte Kritischer, da Funktionen und Sicherheit direkt betroffen sein können.

Moderne Browser blockieren besonders aktive unsichere Inhalte häufig automatisch. Dadurch kann eine Website plötzlich fehlerhaft aussehen oder bestimmte Funktionen funktionieren nicht mehr.

1. Prüfen, ob SSL korrekt aktiv ist

Bevor Sie Mixed Content beheben, sollte das SSL-Zertifikat selbst korrekt funktionieren. Rufen Sie Ihre Website mit https:// auf:

https://www.ihredomain.ch

Prüfen Sie:

  • lädt die Website grundsätzlich per HTTPS?
  • ist das Zertifikat gültig?
  • funktioniert HTTPS mit und ohne www?
  • wird HTTP automatisch auf HTTPS weitergeleitet?
  • zeigt der Browser eine konkrete Zertifikatswarnung oder Mixed-Content-Warnung?

Wenn das Zertifikat selbst fehlerhaft ist, müssen zuerst SSL und Domainkonfiguration geprüft werden. Mixed Content ist erst der nächste Schritt.

2. WordPress-Adresse auf HTTPS stellen

Prüfen Sie in WordPress die Website-URLs:

Einstellungen > Allgemein

Dort sollten beide Felder mit https:// beginnen:

  • WordPress-Adresse (URL)
  • Website-Adresse (URL)

Beispiel:

https://www.ihredomain.ch

Achtung: Ändern Sie diese URLs nur, wenn Sie sicher sind, dass SSL korrekt aktiv ist. Falsche URL-Einstellungen können dazu führen, dass Sie sich nicht mehr korrekt einloggen können.

3. Mixed Content im Browser finden

Der schnellste Weg zur Fehlersuche ist die Entwicklerkonsole Ihres Browsers.

So gehen Sie vor:

  1. Öffnen Sie die betroffene Seite im Browser.
  2. Drücken Sie F12 oder klicken Sie mit der rechten Maustaste und wählen Sie Untersuchen.
  3. Öffnen Sie den Reiter Console beziehungsweise Konsole.
  4. Suchen Sie nach Meldungen mit Mixed Content.
  5. Notieren Sie die betroffenen HTTP-Adressen.

Typische Meldung:

Mixed Content: The page at 'https://www.ihredomain.ch/' was loaded over HTTPS, but requested an insecure image 'http://www.ihredomain.ch/wp-content/uploads/bild.jpg'.

Diese Meldung zeigt meist direkt, welche Datei noch unsicher geladen wird.

4. Mixed Content mit Online-Tools prüfen

Zusätzlich zur Browser-Konsole können externe Prüfwerkzeuge helfen. Diese scannen eine URL und zeigen unsichere Inhalte an. Solche Tools sind besonders hilfreich, wenn Sie mehrere Seiten kontrollieren möchten.

Achten Sie jedoch darauf: Ein Tool prüft meist nur die angegebene URL. Wenn Mixed Content nur auf Unterseiten, Blogartikeln, Produktseiten oder Landingpages vorkommt, müssen diese separat geprüft werden.

5. Einfache Lösung: SSL-Plugin verwenden

Für viele WordPress-Websites ist ein SSL-Plugin die einfachste Lösung. Plugins wie Really Simple SSL können typische HTTPS-Probleme erkennen, Weiterleitungen setzen und Mixed Content teilweise automatisch korrigieren.

Typischer Ablauf:

  1. Installieren Sie ein geeignetes SSL-Plugin.
  2. Aktivieren Sie die SSL-Konfiguration.
  3. Prüfen Sie die Empfehlungen des Plugins.
  4. Leeren Sie den Cache.
  5. Testen Sie die Website erneut im Browser.

Diese Methode ist besonders für Einsteiger bequem. Der Nachteil: Manche Korrekturen erfolgen dynamisch zur Laufzeit und lösen nicht immer die eigentliche Ursache in der Datenbank.

6. Saubere Lösung: HTTP-URLs in der Datenbank ersetzen

Wenn Ihre Website früher unter HTTP betrieben wurde, können alte URLs in der Datenbank gespeichert sein. Eine saubere Lösung ist dann, interne URLs von http:// auf https:// zu ersetzen.

Geeignete Plugins dafür sind zum Beispiel:

  • Better Search Replace,
  • Search & Replace Everything,
  • WP-CLI search-replace für fortgeschrittene Nutzer.

Beispiel:

Suchen nach Ersetzen durch
http://www.ihredomain.ch https://www.ihredomain.ch
http://ihredomain.ch https://www.ihredomain.ch
Wichtig: Erstellen Sie vor jeder Datenbank-Ersetzung ein vollständiges Backup. Führen Sie zuerst einen Testlauf aus, bevor Änderungen endgültig gespeichert werden.

7. Better Search Replace sicher verwenden

So gehen Sie mit Better Search Replace vorsichtig vor:

  1. Erstellen Sie ein vollständiges Backup von Dateien und Datenbank.
  2. Installieren Sie das Plugin Better Search Replace.
  3. Gehen Sie zu Werkzeuge > Better Search Replace.
  4. Tragen Sie bei Suchen nach Ihre alte HTTP-Adresse ein.
  5. Tragen Sie bei Ersetzen durch die neue HTTPS-Adresse ein.
  6. Wählen Sie die relevanten Tabellen aus.
  7. Aktivieren Sie zunächst den Testlauf.
  8. Prüfen Sie die Anzahl der gefundenen Treffer.
  9. Wenn alles plausibel ist, führen Sie die Ersetzung ohne Testlauf aus.
  10. Leeren Sie anschliessend Cache und prüfen Sie die Website.

Verwenden Sie möglichst vollständige Domainangaben. Ersetzen Sie nicht blind jedes http:// durch https://, weil externe URLs betroffen sein könnten, die unter HTTPS eventuell nicht erreichbar sind.

8. Pagebuilder und Theme-Optionen prüfen

Pagebuilder wie Elementor, Divi, WPBakery oder andere Layoutsysteme speichern URLs häufig in eigenen Datenfeldern, CSS-Dateien oder Cache-Strukturen. Deshalb kann Mixed Content trotz Datenbank-Ersetzung weiter bestehen.

Prüfen Sie bei Pagebuildern:

  • globale Theme-Optionen,
  • Header- und Footer-Vorlagen,
  • Hintergrundbilder,
  • Custom CSS,
  • Templates,
  • Popup-Builder,
  • gespeicherte Bibliothekselemente,
  • regenerierte CSS-Dateien.

Bei Elementor hilft häufig:

  • Elementor > Werkzeuge > CSS & Daten regenerieren,
  • Elementor-Cache leeren,
  • Website-Cache leeren,
  • Browser-Cache leeren.

9. Theme-Dateien und Widgets kontrollieren

Manche HTTP-Links sind nicht in der Datenbank, sondern direkt in Theme-Dateien, Widgets oder Custom-Code hinterlegt. Das betrifft besonders ältere Websites oder individuell angepasste Themes.

Mögliche Stellen:

  • header.php,
  • footer.php,
  • functions.php,
  • Custom HTML Widgets,
  • Theme-Optionen,
  • Customizer-Felder,
  • Footer-Copyright-Felder,
  • Tracking-Code-Felder,
  • eingebundene Schriftarten oder Skripte.

Hartcodierte HTTP-Links müssen manuell korrigiert werden. Nutzen Sie dabei nach Möglichkeit ein Child Theme, damit Änderungen bei Theme-Updates nicht verloren gehen.

10. Externe Ressourcen prüfen

Nicht jeder Mixed-Content-Fehler kommt von Ihrer eigenen Domain. Manchmal werden externe Dateien unsicher eingebunden.

Beispiele:

  • externe Bilder,
  • alte Tracking-Skripte,
  • Schriftarten,
  • iframes,
  • Videos,
  • Bewertungswidgets,
  • Chat-Widgets,
  • alte CDN-Adressen.

Wenn ein externer Dienst kein HTTPS unterstützt, sollten Sie ihn nicht weiter per HTTP einbinden. Suchen Sie eine HTTPS-fähige Alternative oder entfernen Sie die Einbindung.

11. HTTP auf HTTPS weiterleiten

Zusätzlich zur Korrektur der Inhalte sollte HTTP dauerhaft auf HTTPS weitergeleitet werden. Das verhindert, dass Besucher oder Suchmaschinen alte HTTP-Adressen verwenden.

Eine Weiterleitung kann je nach Setup erfolgen über:

  • cPanel,
  • .htaccess,
  • WordPress-Plugin,
  • Serverkonfiguration,
  • CDN oder Proxy, falls genutzt.

Wichtig ist, dass die Weiterleitung sauber und eindeutig ist. Vermeiden Sie Weiterleitungsketten wie HTTP ohne www → HTTPS ohne www → HTTPS mit www, wenn eine direkte Weiterleitung möglich ist.

12. Cache vollständig leeren

Nach der Korrektur von Mixed Content sollten alle Caches geleert werden. Sonst können alte HTTP-Verweise weiterhin ausgeliefert werden.

Leeren Sie:

  • WordPress-Cache,
  • Caching-Plugin,
  • Pagebuilder-Cache,
  • Theme-Cache,
  • Server-Cache, falls vorhanden,
  • CDN-Cache, falls verwendet,
  • Browser-Cache.

Testen Sie danach die Website in einem privaten Browserfenster oder auf einem anderen Gerät.

13. WooCommerce besonders sorgfältig prüfen

Bei WooCommerce-Shops ist HTTPS besonders wichtig. Warenkorb, Checkout, Kundenkonto und Zahlungsprozesse müssen vollständig verschlüsselt sein.

Prüfen Sie nach der HTTPS-Umstellung:

  • Produktseiten,
  • Warenkorb,
  • Checkout,
  • Kundenkonto,
  • Zahlungsanbieter,
  • Bestellbestätigung,
  • E-Mail-Links,
  • Webhooks,
  • Tracking- und Conversion-Skripte.

Führen Sie bei einem Shop immer eine Testbestellung durch.

14. Google Search Console und Sitemap aktualisieren

Nach der Umstellung auf HTTPS sollten Sie prüfen, ob Ihre Sitemap HTTPS-URLs enthält. SEO-Plugins erzeugen Sitemaps normalerweise automatisch mit der aktuellen Website-Adresse.

Prüfen Sie:

  • enthält die Sitemap nur HTTPS-URLs?
  • wurde die Sitemap in der Google Search Console aktualisiert?
  • gibt es 404-Fehler oder Weiterleitungsprobleme?
  • werden alte HTTP-URLs korrekt weitergeleitet?
  • sind Canonical-URLs auf HTTPS gesetzt?

Eine saubere HTTPS-Struktur hilft Suchmaschinen, die korrekten URLs zu indexieren.

15. Häufige Fehler beim Beheben von Mixed Content

  • Nur ein SSL-Zertifikat aktivieren: Alte HTTP-Links bleiben trotzdem bestehen.
  • Keine Datenbank-Sicherung: Fehlerhafte Ersetzungen lassen sich schwer rückgängig machen.
  • Blindes Ersetzen von http://: Externe URLs können beschädigt werden.
  • Cache nicht leeren: Alte Inhalte werden weiter angezeigt.
  • Pagebuilder vergessen: CSS-Dateien und Templates enthalten weiter HTTP-Pfade.
  • Nur Startseite prüfen: Mixed Content kann auf Unterseiten vorkommen.
  • WooCommerce nicht testen: Checkout-Probleme bleiben unentdeckt.
  • Keine 301-Weiterleitung: HTTP-Version bleibt erreichbar.

SEO und Vertrauen

HTTPS ist heute Standard für professionelle Websites. Mixed Content kann Vertrauen beschädigen, besonders wenn Browser Warnungen anzeigen. Besucher erwarten, dass Formulare, Logins und Shops sicher funktionieren.

Ein sauberer HTTPS-Umstieg hilft bei:

  • Vertrauen der Besucher,
  • technischer SEO-Qualität,
  • korrekter Indexierung,
  • sicherer Formularübertragung,
  • professioneller Aussenwirkung,
  • stabilen Tracking- und Shop-Funktionen.

GEO: Sichere und konsistente URLs

GEO, also Generative Engine Optimization, profitiert von klaren, stabilen und vertrauenswürdigen Website-Strukturen. Wenn Inhalte über unterschiedliche HTTP- und HTTPS-Adressen erreichbar sind oder unsichere Ressourcen blockiert werden, kann das die technische Verständlichkeit beeinträchtigen.

Saubere HTTPS-Strukturen helfen durch:

  • einheitliche URLs,
  • weniger Fehlerseiten,
  • korrekte interne Links,
  • vollständig ladende Inhalte,
  • vertrauenswürdige technische Signale,
  • bessere Erreichbarkeit wichtiger Ressourcen.

Empfohlene Vorgehensweise

  1. SSL prüfen: Zertifikat muss gültig und korrekt aktiv sein.
  2. WordPress-URLs prüfen: Website-Adresse und WordPress-Adresse auf HTTPS stellen.
  3. Browser-Konsole öffnen: Mixed-Content-Quellen identifizieren.
  4. Backup erstellen: Vor Datenbankänderungen zwingend sichern.
  5. Datenbank bereinigen: Alte interne HTTP-URLs durch HTTPS ersetzen.
  6. Pagebuilder prüfen: CSS und Templates regenerieren.
  7. Theme und Widgets kontrollieren: Hartcodierte HTTP-Links korrigieren.
  8. HTTP auf HTTPS weiterleiten: Saubere 301-Weiterleitung einrichten.
  9. Cache leeren: WordPress, Plugin, Server, CDN und Browser prüfen.
  10. Unterseiten testen: Nicht nur die Startseite prüfen.
  11. WooCommerce testen: Checkout und Zahlungen kontrollieren.
  12. Sitemap und Search Console prüfen: HTTPS-URLs bestätigen.

Häufige Fragen zu Mixed Content

Was ist Mixed Content?

Mixed Content entsteht, wenn eine Website per HTTPS geladen wird, aber einzelne Dateien oder Ressourcen noch per HTTP eingebunden sind.

Warum zeigt mein Browser trotz SSL „Nicht sicher“?

Häufig liegt das an Mixed Content, abgelaufenem SSL-Zertifikat, falscher Domainkonfiguration oder unsicher eingebundenen externen Ressourcen.

Wie finde ich Mixed Content?

Öffnen Sie die Entwicklerkonsole Ihres Browsers mit F12 und prüfen Sie den Reiter Console auf Mixed-Content-Warnungen.

Kann ein Plugin Mixed Content beheben?

Ja, in vielen Fällen helfen SSL-Plugins. Eine dauerhafte saubere Lösung ist jedoch oft die Korrektur alter HTTP-URLs in Datenbank, Theme und Pagebuilder.

Soll ich Better Search Replace verwenden?

Ja, wenn alte interne HTTP-URLs in der Datenbank gespeichert sind. Erstellen Sie vorher ein vollständiges Backup und führen Sie zuerst einen Testlauf durch.

Warum bleibt der Fehler nach der Korrektur bestehen?

Häufig liegt es an Cache, Pagebuilder-CSS, Theme-Optionen, Widgets oder externen Ressourcen, die weiterhin per HTTP geladen werden.

Muss ich bei WooCommerce besonders auf HTTPS achten?

Ja. Warenkorb, Checkout, Kundenkonto und Zahlungsprozesse müssen vollständig sicher per HTTPS funktionieren.

Ist Mixed Content schlecht für SEO?

Mixed Content kann Vertrauen, technische Qualität und Nutzererfahrung beeinträchtigen. Eine saubere HTTPS-Struktur ist für professionelle Websites klar zu empfehlen.

Immer noch kein sicheres Schloss?

Manchmal verstecken sich HTTP-Links in Pagebuildern, Theme-Dateien, Widgets oder alten Datenbankeinträgen. CURIAWEB unterstützt Sie gerne bei der Analyse und Behebung hartnäckiger Mixed-Content-Probleme auf Ihrer WordPress-Website.

Mixed Content Analyse anfordern
War diese Antwort hilfreich? 0 Benutzer fanden dies hilfreich (0 Stimmen)

Populärste

WordPress installieren: In wenigen Minuten zur eigenen Website

So installieren Sie WordPress über den Softaculous Auto-Installer WordPress ist das weltweit...
WordPress manuell installieren: Schritt-für-Schritt-Anleitung für maximale Kontrolle

Anleitung: WordPress manuell auf Ihrem Hosting-Konto installieren In diesem Tutorial führen...
Allgemeine WordPress-Einstellungen: Das Fundament Ihrer Website

WordPress-Konfiguration: So passen Sie die allgemeinen Einstellungen an Nachdem Sie WordPress...
Was ist ein WordPress-Plugin und wie installiert man es?

Was ist ein WordPress-Plugin und wie installiert man ein neues Plugin? Einführung Plugins...
So installieren Sie ein neues visuelles Theme in WordPress

So installieren Sie ein neues Design (Theme) in WordPress Einführung Es liegt auf der Hand,...