Hoppa till innehåll 
WordPress HTTPS skyddar inloggningsdata, kontaktformulär och cookies och hjälper mig att öka rankningen och konverteringen. I den här guiden visar jag dig den fullständiga övergången från HTTP till HTTPS i WordPress - med certifikat, URL-konvertering, 301-omdirigeringar, fix för blandat innehåll och rena SEO-steg.
Centrala punkter
- SSL Aktivera korrekt och täck domänen
- Webbadresser konvertera till WordPress
- 301 Forcerad vidarebefordran
- Blandat innehåll Riktad rättelse
- SEO Dra åt och kontrollera
Varför HTTPS är viktigt för WordPress
Utan kryptering kan angripare kapa sessioner eller läsa formulär, vilket är anledningen till att jag säkrar hela Transmission mellan webbläsare och server med TLS. HTTPS förhindrar varningsmeddelanden i webbläsaren, ökar förtroendet och förstärker signaler som sökmotorer värderar positivt. Många API:er, betaltjänster och webbläsarfunktioner kräver ändå säkra anslutningar. Jag drar också nytta av HTTP/2 och HTTP/3, som laddar snabbare under TLS och möjliggör parallellisering. En ren övergång till HTTPS förhindrar duplicerat innehåll, eftersom jag kan begränsa alla varianter till en unik Kanon (Kanonisk).
Förbered backup och SSL-certifikat
Innan jag ändrar några inställningar gör jag en fullständig säkerhetskopia av filerna och databasen så att jag alltid kan komma åt dem. Säkring kan returnera. Jag beställer eller aktiverar sedan ett certifikat - Let's Encrypt räcker ofta utan extra kostnad, alternativt använder jag ett DV/OV/EV-certifikat beroende på mina krav. Många webbhotell tillhandahåller en guide som utfärdar och förnyar certifikat automatiskt. Om du behöver steg-för-steg-hjälp kan du använda den här handledningen på Installera gratis SSL. Jag kontrollerar sedan om certifikatkedjan är komplett och om både www- och apexdomäner (utan www) omfattas av certifikatet; jag tar också hänsyn till underdomäner som staging eller cdn och behåller deras Giltighet i en överblick.
Val av certifikat och nyckelhantering
Förutom den initiala aktiveringen noterar jag också några detaljer som saknas i många instruktioner: Behöver jag ett wildcard-certifikat (*.domain.tld) för många subdomäner eller räcker det med ett SAN-certifikat med flera explicita värdnamn? Av prestandaskäl använder jag ECDSA-certifikat (elliptiska kurvor) i stället för klassiska RSA-nycklar när det är möjligt - de är mindre och påskyndar TLS-handskakningen. Jag skyddar den privata nyckeln strikt (filbehörighet 600, endast serveranvändare) och jag dokumenterar Förnyelse-kedja: Går den automatiska förnyelsen verkligen igenom, även om ett CDN eller en omvänd proxy är ansluten uppströms? För ACME-utmaningar kontrollerar jag om omdirigeringar, prisgränser eller underhållssidor stör valideringen. Jag aktiverar också OCSP-häftning och moderna protokoll (TLS 1.2/1.3) direkt i webbservern så att webbläsare kan bearbeta certifikatkontroller snabbare.
Ändra WordPress webbadresser
Jag loggar in på instrumentpanelen och öppnar Inställningar → Allmänt, sedan ställer jag in "WordPress-adress (URL)" och "Webbplatsadress (URL)" till https://. Efter att ha sparat loggar jag in igen om sessionen startas om. Därefter raderar jag webbläsarens cache och, om tillgängligt, cachen i mitt cacheplugin så att besökarna omedelbart får den säkra versionen. Därefter tar jag en titt på widgets, menyer och hårda länkar, eftersom de fortfarande kan innehålla http-länkar. För media i inlägg redigerar jag enskilt innehåll eller planerar en ren Sök i databasen (se nedan).
Säker inloggning och administration
För adminområdet verkställer jag TLS med ett litet tillägg i wp-konfig.php. För att göra detta lägger jag till följande ovanför raden "/* Det var allt, sluta redigera! */" och laddar upp filen:
define('FORCE_SSL_ADMIN', true);
Detta innebär att inloggning, cookies och hela backend körs strikt via HTTPS. Om en omvänd proxy eller ett CDN-lager är anslutet uppströms ser jag till att WordPress tolkar rubriken "X-Forwarded-Proto: https" korrekt. Annars behandlar applikationen felaktigt anslutningen som osäker och ställer in cookies utan Säker-flagga.
Säkrare WordPress-konstanter och proxy-detektering
Om jag inte kan nå webbadresserna i backend (t.ex. loopa genom plugins), ställer jag tillfälligt in explicita konstanter i wp-config.php och eliminerar därmed felaktiga inställningar:
define('WP_HOME', 'https://deinedomain.de');
define('WP_SITEURL', 'https://deinedomain.de');
Jag lägger också till detektering bakom proxyservrar så att is_ssl() korrekt:
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] === 'https') {
$_SERVER['HTTPS'] = 'on';
}
Detta förhindrar felaktig generering av blandat innehåll i backend och säkerställer att auth-cookies konsekvent länkas till Säker-attribut levereras.
Konfigurera 301-omdirigeringar i .htaccess
För att säkerställa att alla förfrågningar permanent går till den säkra versionen har jag skapat en Vidarebefordran från http till https. I en klassisk Apache-miljö öppnar jag .htaccess i WordPress-roten och lägger till reglerna ovanför WordPress-blocket:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Med Nginx sker vidarebefordran i serverkonfigurationen (server { listen 80; return 301 https://$host$request_uri; }). För detaljer, varianter och felsökning hittar du en tydlig guide till HTTPS vidarebefordran. Viktigt: Jag håller omdirigeringskedjan kort, dvs http→https och, om nödvändigt, www→non-www eller vice versa i ett hopp, så att det inte finns några onödiga hopp i omdirigeringskedjan. Laddningstid öka.
Strategi för ren omdirigering utan loopar
Förutom den grundläggande vidarebefordran ställer jag in konsekvensregler: Antingen www eller icke-www - aldrig både och. Med Apache löser jag detta i ett steg med en värdkontroll:
RewriteEngine On
RewriteCond %{HTTPS} !=on [OR]
RewriteCond %{HTTP_HOST} !^deinedomain\.de$ [NC]
RewriteRule ^ https://deinedomain.de%{REQUEST_URI} [L,R=301]
Jag tar emot frågesträngar (UTM-parametrar) automatiskt, minskar omdirigeringarna till ett hopp och undviker loopar genom att inte aktivera några konkurrerande regler i plugin-programmet eller CDN. Om en edge-proxy använder "Flexible SSL" (Browser→CDN krypterad, CDN→Origin okrypterad) växlar jag till "Full (strict)" så att TLS verkställs för både besökaren och ursprunget - annars finns det risk för loop-problem och blandade protokoll.
Identifiera och eliminera blandat innehåll
Efter omdirigeringen kontrollerar jag sidan med webbläsarverktygen för "blandat innehåll", dvs. innehåll som fortfarande kan nås via http laddas. Bilder, teckensnitt, skript eller stylesheets i teman, sidbyggare eller widgetar påverkas ofta. Jag korrigerar hårdkodade webbadresser genom att ändra dem till https i redigeraren, i anpassaren eller i plugin-inställningarna. Verktyg som "Really Simple SSL" hjälper på kort sikt, men en permanent upprensning av källorna är bättre. Blockerat innehåll orsakar stylingfel eller dolda funktioner, så jag städar upp allt tills webbläsaren inte blockerar något innehåll. Varningar visar mer.
Checklista för yrkesverksamma med blandat innehåll
- Jag aktiverar CSP-direktivet som ett test
uppgradering-osäkra-förfrågningari endast rapportläge för att se vad webbläsaren automatiskt uppgraderar till https - sedan rensar jag källorna permanent. - Typsnitt och externa stilar kräver ofta CORS-rubriker; utan
Access-kontroll-Allow-Originde visas som blockerade. - Jag känner igen CSS-bakgrundsbilder med absoluta http-länkar i utvecklarverktyg och ersätter dem med relativa sökvägar eller https.
- iframes (t.ex. kartor, videor) måste också tala https, annars kommer webbläsaren att dölja dem.
- I teman undviker jag hårdkodade sökvägar och använder funktioner som
home_url(),site_url(),plugins_url()ochcontent_url()så att WordPress levererar rätt bas-URL.
Steg-för-steg-översikt
I följande tabell sammanfattas alla uppgifter som ingår i omställningen i ett kompakt format och hjälper mig att Sekvens som ska uppfyllas.
| Steg | Rekommendation/förklaring |
|---|---|
| Skapa säkerhetskopia | Innan varje förändring är klar Säkring av filer och databas |
| Konfigurera SSL-certifikat | Aktivera Let's Encrypt eller betalversionen hos hostern |
| Anpassa webbadresser | Ställ in till https i backend under Inställningar → Allmänt |
| Ställ in omdirigeringar | Konfigurera .htaccess eller Nginx-serverblock för 301 till HTTPS |
| Kontrollera blandat innehåll | Ersätt hårda http-länkar i innehåll, teman och plugins |
| Ersätt databasen | Ersätt alla http-förekomster med en säkerhetskopia och ett välrenommerat verktyg |
| Uppdatera Google/SEO | Anpassa Search Console-egenskaper, webbplatskarta, analys och kanonikaler |
Ersätt databasens webbadresser på ett snyggt sätt
Ibland ligger http-länkar vilande i widgetar, kortkoder eller användardefinierade fält, så jag använder en beprövad och testad Verktyg som "Better Search Replace". Jag söker efter "http://deinedomain.de" och ersätter det med "https://deinedomain.de", först i torrkörning, sedan på riktigt med säkerhetskopiering. För seriellt omdöpande via WP-CLI använder jag "wp search-replace", vilket är mycket snabbare för stora sidor. Serialiserade arrayer och objekt måste hanteras korrekt, så jag förlitar mig på verktyg som hanterar detta korrekt. Efter bytet kontrollerar jag slumpmässiga stickprov i frontend och i viktiga Layouter.
Databas: Vad jag inte blint ersätter
Jag rör bara GUID-kolumnen i wp_posts när jag faktiskt ändrar domänen. Den rena protokolländringen till https kräver vanligtvis ingen Ändra GUID:erna, eftersom de främst fungerar som en unik identifierare. Innan en global ersättning kontrollerar jag också om plugins refererar till externa slutpunkter (webhooks, API:er) med http - jag föredrar att uppdatera dessa specifikt och testa returkanalen. För stora projekt planerar jag en kort innehållsfrysningsfas så att inga nya inlägg med gamla scheman skapas under sökutbytet. Jag använder WP-CLI för att säkerställa hastighet och reproducerbarhet:
wp sök-ersätt 'http://deinedomain.de' 'https://deinedomain.de' --alla-tabeller-med-prefix --precis --dry-run
wp sök-ersätt 'http://deinedomain.de' 'https://deinedomain.de' --alla-tabeller-med-prefix --precis
SEO-kontroller efter övergången
Efter ändringen skapar jag en ny fastighet med https i Search Console och skickar in en uppdaterad Sitemap på. Jag kontrollerar interna länkar, kanoniska taggar, hreflang-referenser och open graph-taggar för https. Tracking snippets (analytics, tag manager, pixel) måste också använda den säkra adressen. I SEO-plugins kontrollerar jag omdirigeringsregler och ser till att det inte finns några "mjuka 404:or". Om räknare för sociala delningar är viktiga testar jag hur verktyget fungerar med den nya Adress handtag.
Finjustera flöden, robotar och kanoniska texter
Jag kontrollerar om RSS/Atom-flöden är tillgängliga via https och levererar giltigt innehåll. I en statiskt underhållen robots.txt anpassar jag sitemap-sökvägar till https om det behövs. Jag ställer in kanoniska webbadresser konsekvent absolut med https så att sökmotorer tolkar signaler otvetydigt. hreflang-par (flerspråkiga webbplatser) får inte skilja sig åt i protokollet, annars uppstår inkonsekvens.
Caching, CDN och prestanda under HTTPS
HTTPS är också värdefullt när det gäller hastighet, eftersom HTTP/2/3 möjliggör multiplexering och komprimering av rubriker via en Anslutning. Jag är uppmärksam på TLS-sessionsåterupptagning, OCSP-häftning och moderna chiffersviter, vilket påskyndar handskakningarna. Ett CDN levererar statiska tillgångar närmare besökaren, men måste köras konsekvent på https. I cachningsplugins aktiverar jag alternativet "Cache för HTTPS", om det finns tillgängligt, och rensar gamla artefakter. Jag mäter sedan med verktyg som Lighthouse och jämför Tider före och efter förändringen.
CDN/Proxy-funktioner
Med ett uppströms CDN ställer jag alltid in "Full (strict)" på Origin, laddar upp certifikatet där eller använder ett Origin-certifikat och tillåter bara att https levereras. Jag kontrollerar om CDN cachelagrar omdirigeringar (annars ser jag gamla tillstånd) och rensar edge-cacherna efter övergången. Brotli-komprimering, HTTP/3/QUIC och 0-RTT kan också hjälpa till - men det är viktigt att sidomfattande regler inte längre injicerar http-resurser. Slutligen skickar jag den korrekta Klientens IP-header (t.ex. X-Forwarded-For) och konfigurera webbservern så att loggar visar den verkliga besökarens IP.
HSTS och andra säkerhetshuvuden
Om webbplatsen körs helt på HTTPS aktiverar jag HTTP Strict Transport Security (HSTS) så att webbläsare bara använder HTTPS-variant. Jag ställer in rubriken så här, till exempel: Strict-Transport-Security: max-age=31536000; includeSubDomains; preload - men bara om alla underdomäner verkligen är säkert tillgängliga. För möjligheter och fallgropar rekommenderar jag guiden Aktivera HSTS. Dessutom ställer jag in säkerhetsrubriker som X-Content-Type-Options, X-Frame-Options och en strikt policy för innehållssäkerhet som tillåter https-källor. Dessa rubriker stärker skyddet mot innehållsinjektion, clickjacking och MIME-Sniffning.
Finjustera säkerhetsrubriken
Utöver HSTS lägger jag till en pragmatisk headerkonfiguration: Policy för hänvisningar: strikt-origin-när-kors-origin begränsar överföringen av känsliga banor, Policy för behörigheter begränsar webbläsarens API:er (t.ex. kamera, mikrofon), och en måttlig CSP med standard-src 'self' https: förhindrar oönskade utländska källor. Jag börjar med Endast rapportJag samlar in överträdelser och skärper sedan riktlinjerna. På så sätt förhindrar jag att säkerhetsrubriker oavsiktligt "förstör" webbplatsen.
Testning, övervakning och felsökning
Jag testar bytet i ett privat fönster och på mobila enheter så att inga gamla Cookies eller cacheminnen. Loggen i webbläsarens konsol visar snabbt varningar för blandat innehåll och blockerade resurser. Jag använder "curl -I http://deinedomain.de" för att kontrollera om en 301 till https-versionen äger rum och om andra kedjor uppstår. Jag övervakar sedan felloggar på servern och 404-rapporter i SEO-plugin eller i Search Console. Om enskilda plugins inte längre laddas kontrollerar jag deras externa Beroenden och uppdatera den till den senaste versionen.
Kontroll av driftsättning och löpande övervakning
- Jag aktiverar eventuellt ett kort underhållsläge innan jag byter för att skapa konsekventa omdirigeringar och cacher.
- Jag övervakar certifikatets utgång (larm) så att det inte blir några otrevliga överraskningar.
- Under de första dagarna övervakar jag 404-frekvensen, rankingkurvor, genomsökningsstatistik och Core Web Vitals för att kunna vidta tidiga motåtgärder.
- För kampanjer kontrollerar jag om UTM-parametrarna är helt bevarade via 301-omdirigering.
Specialfunktioner för multisite, proxy och staging
För multisite ändrar jag nätverksadressen till https och justerar mappningar så att alla webbplatser har en enhetlig Vidarebefordran användning. Bakom lastbalanserare eller CDN: er måste webbservern följa rubriken "X-Forwarded-Proto", annars WordPress tror att anslutningen är osäker och ställer in fel webbadresser. För staging-system använder jag mina egna certifikat eller skyddar dem med Basic Auth så att sökmotorer inte kan indexera dem. Efter live-ändringen slår jag på cachen igen, värmer upp den och övervakar belastningen. I miljöer med egna proxyservrar eller brandväggar dokumenterar jag alla ändringar så att senare driftsättningar kan använda Konfiguration ta över.
Multisite- och handelsdetaljer som ofta saknas
I inställningar för flera webbplatser uppdaterar jag per webbplats webbplatsurl och hem värden, särskilt om domänmappning är inblandad. Om en soluppgång.php eller speciella mappningsplugins, kontrollerar jag om de är https-medvetna. I butiker (t.ex. WooCommerce) ställer jag konsekvent in "Checkout" och "My account" till https, testar betalning och Webhook-returer och tacksidor. Betalningsleverantörer och leverans-API:er kräver ofta uppdaterade callback-URL:er - jag anpassar dem och verifierar signaturkontrollen efter ändringen.
Vanliga fallgropar och snabba lösningar
Felaktiga certifikat ger röda varningssignaler - Jag kontrollerar därför utgivningsperiod, kedja och om alla domäner finns med i certifikatet så att Anslutning körs utan avbrott. Saknade 301-omdirigeringar skapar duplicerat innehåll; jag reglerar detta med tydliga, korta regler och undviker flera hopp. Blandat innehåll kommer ofta från hårdkodade temafiler; här ersätter jag http-scheman eller använder schemalösa URL:er ("//...") på lämpliga ställen. Externa tjänster som fortfarande refererar till http blockerar förfrågningar; här uppdaterar jag webhooks, endpoints och nycklar. Om ett insticksprogram inte kan hantera övergången testar jag en uppdatering eller ersätter det med en lösning som har fullt stöd för HTTPS. Stöd för.
Sammanfattning: Bytte säkert till HTTPS
Jag börjar med en fullständig säkerhetskopiering, aktiverar CertifikatJag byter WordPress-URL:er till https, verkställer 301-omdirigeringar och rensar konsekvent upp blandat innehåll. Därefter ersätter jag eventuella kvarvarande http-poster i databasen, uppdaterar SEO-inställningar och mäter prestanda. HSTS och säkerhetsheaders ökar säkerheten ytterligare, så länge alla subdomäner svarar korrekt på https. När det gäller hosting förlitar jag mig på leverantörer med bra support, automatisk förnyelse och snabb TLS-provisionering, t.ex. webhoster.de, vilket gör mitt arbete mycket enklare. På så sätt är webbplatsen säker, snabb och synlig - vilket är precis vad jag förväntar mig av en hållbar webbplats. HTTPS-växling.
