Markiert Google Ihre Website als „Nicht sicher“? (& Wie Sie das beheben)

Die Warnung „Nicht sicher“ auf der eigenen Website ist beängstigend. Als dies bei einer meiner WordPress-Websites geschah, dachte ich für einen Moment, meine Website sei gehackt worden.

Diese Website war jedoch zu alt und ich hatte vergessen, sie auf eine sichere HTTPS-Verbindung umzustellen, was inzwischen für alle Browser eine Standardanforderung ist.

Glücklicherweise ist die Behebung dieser „Nicht sicher“-Warnung eigentlich recht einfach.

In diesem Leitfaden führe ich Sie durch die einfachen Schritte, um das beruhigende Vorhängeschloss-Symbol wiederherzustellen und sicherzustellen, dass Ihre Website für alle sicher ist.

Warum zeigt Google „Nicht sicher“ auf Ihrer Website an?

Wenn ich die Warnung „Nicht sicher“ auf einer Website sehe, weiß ich, dass dies normalerweise eines bedeutet: Die Website ist nicht vollständig verschlüsselt. Google zeigt diese Warnung an, wenn eine Website kein HTTPS verwendet oder etwas mit ihrem SSL-Zertifikat nicht stimmt.

Zur Referenz: HTTPS (Hypertext Transfer Protocol Secure) ist die sichere Version von HTTP. Es verwendet ein sogenanntes SSL/TLS-Zertifikat, um die Verbindung zwischen Ihrer Website und Ihren Besuchern zu verschlüsseln.

Lassen Sie mich Ihnen die vier häufigsten Gründe nennen, warum diese Warnung auf WordPress-Websites angezeigt wird:

• Ihre Website hat kein SSL-Zertifikat. SSL-Zertifikate verschlüsseln die Verbindung zwischen Ihrer Website und den Besuchern. Ohne eines davon gehen Browser davon aus, dass Ihre Website unsicher ist, da alle eingegebenen Daten, wie z. B. persönliche Details, abgefangen werden könnten. Dies ist der häufigste Grund für die Warnung.
• Ihr SSL-Zertifikat ist abgelaufen oder ungültig. Ein SSL-Zertifikat kann installiert sein, aber es kann abgelaufen sein oder nicht korrekt eingerichtet worden sein. Dies ist eines der ersten Dinge, die ich überprüfe. Sie können dieses SSL-Problem normalerweise erkennen, indem Sie auf das Vorhängeschloss-Symbol in der Adressleiste Ihres Browsers klicken.
• Ihre Website hat Probleme mit gemischten Inhalten. Selbst mit einem gültigen SSL-Zertifikat kann Ihre Website immer noch als „Nicht sicher“ angezeigt werden, wenn sie Inhalte (wie Bilder oder Skripte) über HTTP lädt. Dies geschieht häufig, wenn eine Website auf HTTPS umgestellt wird, aber alte Links nicht aktualisiert werden.
• Ihre Website hat HTTP-URLs in den WordPress-Einstellungen. Ich überprüfe immer die WordPress-Adresse und die Website-Adresse unter Einstellungen » Allgemein. Wenn diese immer noch auf HTTP eingestellt sind, kann Ihre Website weiterhin Sicherheitswarnungen auslösen, auch wenn SSL korrekt funktioniert.

Nachdem ich nun erklärt habe, was die Warnung „Nicht sicher“ verursacht, schauen wir uns an, wie man sie behebt und verhindert, dass sie wieder auftritt.

So beheben Sie die Warnung „Nicht sicher“ in Google Chrome

Die Behebung der Warnung „Nicht sicher“ umfasst vier wichtige Schritte: Installation eines SSL-Zertifikats, Aktualisierung Ihrer WordPress-URLs, Behebung von Mixed-Content-Fehlern und Umleitung des gesamten Traffics von HTTP auf HTTPS.

Glücklicherweise ist die Behebung normalerweise nicht kompliziert. In den meisten Fällen läuft es darauf hinaus, ein SSL-Zertifikat zu aktivieren, einige WordPress-Einstellungen zu aktualisieren oder sogenannte gemischte Inhalte zu bereinigen.

Ich habe diesen Fehlerbehebungsprozess auf Dutzenden von Websites durchlaufen – sowohl auf meinen eigenen als auch für andere – und ich zeige Ihnen genau, was Sie tun müssen, um Ihre Website zu sichern und diese Warnung endgültig zu beseitigen.

Hier sind die Schritte, die ich behandeln werde:

• Schritt 1. Holen Sie sich ein kostenloses SSL-Zertifikat für Ihre Website
• Schritt 2. Aktualisieren Sie Ihre WordPress-URLs, um HTTPS zu verwenden
• Schritt 3. Beheben Sie Probleme mit gemischten Inhalten in WordPress
• Schritt 4. Richten Sie eine HTTP-zu-HTTPS-Weiterleitung in WordPress ein
• Schritt 5. Testen Sie Ihre SSL-Einrichtung auf Sicherheitsprobleme
• Häufig gestellte Fragen zu SSL und WordPress-Fehlern
• Zusätzliche Ressourcen für WordPress-Sicherheit

Schritt 1. Holen Sie sich ein kostenloses SSL-Zertifikat für Ihre Website

Das Erste, was ich tue, wenn ich eine "Nicht sicher"-Warnung behebe, ist zu prüfen, ob ein SSL-Zertifikat installiert ist. Diese kleine Sicherheitstechnologie verschlüsselt Daten zwischen Ihrer Website und den Besuchern – und sie ermöglicht HTTPS.

Vor Jahren konnten SSL-Zertifikate teuer sein. Einige Unternehmen verlangen immer noch einen Aufpreis, aber die gute Nachricht ist, dass Sie keines bezahlen müssen, besonders wenn Sie gerade erst anfangen.

Die meisten WordPress-Hosting-Anbieter bieten mittlerweile kostenlose SSL-Zertifikate für ihre Tarife an. Ich habe diese Option auf Dutzenden von Websites verwendet, und in den meisten Fällen dauert die Aktivierung nur ein paar Klicks über Ihr Hosting-Dashboard.

Wenn Sie Bluehost verwenden, melden Sie sich einfach in Ihrem Konto an und rufen Sie Ihre Website-Einstellungen auf. Klicken Sie dann auf die Registerkarte "Sicherheit".

Von dort aus sehen Sie die Option, das kostenlose SSL-Zertifikat zu aktivieren. Schalten Sie es einfach ein und Sie sind bereit.

Hinweis: Der Vorgang ist für andere Hoster ähnlich. Wenn Sie einen anderen Anbieter verwenden, befindet sich die SSL-Einstellung fast immer im Sicherheitsbereich Ihres Hosting-Dashboards.

Für Hoster, die cPanel verwenden, müssen Sie es über Ihr Hosting-Dashboard starten. Scrollen Sie nach unten zum Tab 'Sicherheit' und klicken Sie auf das SSL/TLS-Symbol.

Und wenn Ihr Hoster kein kostenloses SSL anbietet, machen Sie sich keine Sorgen – Sie können trotzdem eines über Let’s Encrypt erhalten.

Wir haben ein detailliertes Tutorial, das Ihnen genau zeigt, wie Sie das tun: Kostenloses SSL in WordPress mit Let’s Encrypt hinzufügen.

Schritt 2. Aktualisieren Sie Ihre WordPress-URLs, um HTTPS zu verwenden

Selbst mit einem SSL-Zertifikat kann Ihre Website immer noch als „Nicht sicher“ geladen werden, wenn die WordPress-Einstellungen falsch sind. Sie können dies beheben, indem Sie die URL Ihrer Website aktualisieren.

Gehen Sie einfach zur Seite Einstellungen » Allgemein in Ihrem WordPress-Dashboard.

Stellen Sie dann sicher, dass sowohl das Feld „WordPress-Adresse (URL)“ als auch das Feld „Website-Adresse (URL)“ https:// anstelle von http:// verwenden.

Vergessen Sie nicht, auf die Schaltfläche „Änderungen speichern“ zu klicken, um Ihre Einstellungen zu speichern.

WordPress wird nun https:// für alle URLs auf Ihrer Website verwenden. Einige HTTP-URLs können jedoch immer noch in Ihrer WordPress-Datenbank gespeichert sein, was zu zukünftigen Problemen führen kann.

Als Nächstes zeige ich Ihnen, wie Sie diese URLs einfach beheben können.

Schritt 3. Beheben Sie Probleme mit gemischten Inhalten in WordPress

Ein Grund für die Warnung „Nicht sicher“ sind gemischte Inhaltsprobleme. Dies geschieht, wenn einige Teile Ihrer Website über eine HTTP- (unsichere) URL geladen werden.

Fast alle diese URLs werden in Ihrer WordPress-Datenbank gespeichert und von Ihrem WordPress-Theme oder Ihren Plugins hinzugefügt. Möglicherweise haben Sie auch http://-URLs in Ihren Blogbeiträgen und Seiten.

Um dies zu beheben, benötigen Sie ein Such- und Ersetzungs-Plugin, um http-URLs zu finden und durch https:// zu ersetzen. Das beste Plugin für diese Aufgabe ist Alles suchen & ersetzen.

Ich verwende Search and Replace Everything, da es schnell, effizient und vom WPCode-Team entwickelt wurde, denselben Experten, die auch hinter dem beliebtesten Plugin für Code-Snippets für WordPress stehen. Noch wichtiger ist, dass es auch für Anfänger sehr einfach zu bedienen ist.

Tipp💡: Es gibt auch eine kostenlose Version von Search & Replace Everything, die Sie verwenden können.

Zuerst müssen Sie das Plugin Search and Replace Everything installieren und aktivieren. Details finden Sie in dieser Anleitung zum Installieren von WordPress-Plugins.

Nach der Aktivierung des Plugins gehen Sie zur Seite Tools » Search & Replace, um mit der Verwendung des Plugins zu beginnen.

Im Feld „Suchen nach“ müssen Sie http:// eingeben und im Feld „Ersetzen durch“ fügen Sie https:// hinzu.

Danach müssen Sie auf „Alle auswählen“ klicken, um sicherzustellen, dass alle Tabellen in Ihrer WordPress-Datenbank in die Suche einbezogen werden.

Klicken Sie abschließend auf die Schaltfläche „Vorschau Suchen und Ersetzen“.

Das Plugin führt dann die Suche durch und zeigt Ihnen eine Vorschau der Ergebnisse. So können Sie die Daten überprüfen, bevor sie dauerhaft geändert werden.

Überprüfen Sie die Ergebnisse sorgfältig und klicken Sie, sobald Sie zufrieden sind, auf die Schaltfläche "Alle ersetzen".

Das Plugin nimmt dann Änderungen an Ihrer WordPress-Datenbank vor und ersetzt alle HTTP-URLs durch HTTPS.

Für weitere Details siehe diese Anleitung zum Beheben des Mixed-Content-Fehlers in WordPress.

Schritt 4. Richten Sie eine HTTP-zu-HTTPS-Weiterleitung in WordPress ein

Nachdem ich eine Website auf HTTPS umgestellt habe, ist einer der Schritte, den ich nie überspringe, die Einrichtung einer Weiterleitung von HTTP zu HTTPS. Ohne diese könnten Personen über alte Links oder Lesezeichen immer noch auf der unsicheren Version Ihrer Website landen.

Der zuverlässigste Weg, eine Weiterleitung zu erstellen, ist das Hinzufügen einer Regel zu Ihrer .htaccess-Datei.

Hier ist der Ausschnitt, den ich auf den meisten WordPress-Websites verwende:

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Die Datei .htaccess befindet sich im Stammverzeichnis Ihrer Website. Möglicherweise müssen Sie in Ihrem Hosting-Dateimanager oder FTP-Client die Option 'Versteckte Dateien anzeigen' aktivieren, um sie zu sehen.

Für Details siehe diese Anleitung zum Beheben der WordPress .htaccess-Datei.

Wenn Ihre Website auf Nginx statt auf Apache läuft, müssen Sie die Weiterleitung anders einrichten.

Anstatt eine .htaccess-Datei zu bearbeiten, müssen Sie Ihre Nginx-Konfiguration aktualisieren.

Hier ist der Code, den ich hinzufügen würde, um allen HTTP-Traffic in Nginx auf HTTPS umzuleiten:

server {
    listen 80;
    server_name yoursite.com www.yoursite.com;
    return 301 https://yoursite.com$request_uri;
}

Sie möchten diesen Block über dem vorhandenen HTTPS-Serverblock in der Nginx-Konfigurationsdatei Ihrer Website platzieren – normalerweise zu finden unter /etc/nginx/sites-available/ oder /etc/nginx/conf.d/.

Wichtig: Denken Sie daran, 'yoursite.com' im obigen Code durch Ihren tatsächlichen Domainnamen zu ersetzen.

Nachdem Sie die Weiterleitung hinzugefügt haben, vergessen Sie nicht, Nginx neu zu laden, damit die Änderungen wirksam werden:

sudo nginx -s reload

Wenn Sie nicht sicher sind, wo Sie die Änderung vornehmen sollen, ist es eine gute Idee, Ihren Hosting-Anbieter zu kontaktieren.

Schritt 5. Testen Sie Ihre SSL-Einrichtung auf Sicherheitsprobleme

Nachdem Sie diese Änderungen vorgenommen haben, sollten Sie Ihre Website testen, um sicherzustellen, dass alles korrekt funktioniert.

Sie können den SSL Labs SSL Test verwenden, um Ihr Zertifikat zu überprüfen. Er bietet eine tiefgehende technische Analyse und eine Note (von A+ bis F) für Ihre SSL-Konfiguration, was für eine gründliche Überprüfung großartig ist.

Ein weiteres alternatives Tool, das ich oft verwendet habe, ist Why No Padlock? Ich mag dieses Tool, weil es einen einfachen, leicht verständlichen Bericht liefert, der sich perfekt zur schnellen Identifizierung verbleibender Mixed-Content-Probleme eignet.

Versuchen Sie abschließend, Ihre Website im Inkognito-Modus zu besuchen. Wenn Sie immer noch die Warnung „Nicht sicher“ sehen, müssen Sie Ihren WordPress-Cache leeren oder einige Minuten warten, bis die Änderungen wirksam werden.

Häufig gestellte Fragen zu SSL und WordPress-Fehlern

Wie viel kostet ein SSL-Zertifikat?

Während einige Anbieter dafür Gebühren verlangen, können Sie ein kostenloses SSL-Zertifikat erhalten. Die meisten Top-WordPress-Hosting-Unternehmen bieten eines kostenlos im Rahmen ihrer Tarife an. Sie können auch ein kostenloses SSL von gemeinnützigen Zertifizierungsstellen wie Let’s Encrypt erhalten.

Kann ich die Warnung „Nicht sicher“ auf meiner Website ignorieren?

Es wird nicht empfohlen, die Warnung „Nicht sicher“ zu ignorieren. Sie untergräbt das Vertrauen der Besucher, was zu höheren Absprungraten und Umsatzeinbußen führen kann. Suchmaschinen wie Google verwenden HTTPS auch als Ranking-Signal, sodass fehlendes HTTPS Ihre SEO negativ beeinflussen kann.

Wie lange dauert es, die Warnung „Nicht sicher“ zu beheben?

Bei den meisten WordPress-Websites können Sie die Warnung „Nicht sicher“ in weniger als 30 Minuten beheben. Der Prozess umfasst die Aktivierung Ihres SSL-Zertifikats über Ihren Hoster, die Aktualisierung von URLs in Ihren WordPress-Einstellungen und die Einrichtung einer Weiterleitung. Die Verwendung eines Plugins kann den Prozess der Behebung alter HTTP-Links in Ihren Inhalten beschleunigen.

Zusätzliche Ressourcen für WordPress-Sicherheit

Ich folge diesem WordPress-Sicherheitsleitfaden auf allen Websites, an denen ich arbeite. Dieser Schritt-für-Schritt-Leitfaden bietet einen einfachen Aktionsplan, um Ihre WordPress-Website ordnungsgemäß zu sichern.

Hier sind einige zusätzliche Ressourcen, die Sie hilfreich finden werden:

• So erneuern Sie ein SSL-Zertifikat (Schritt für Schritt für Anfänger)
• TLS vs. SSL: Welches Protokoll sollten Sie für WordPress verwenden?
• E-Commerce-Sicherheitstipps: So sichern Sie Ihren WordPress-Shop
• So schützen Sie Ihre WordPress-Website mit HTTP-Sicherheitsheadern (Anfänger-Leitfaden)
• Die häufigsten WordPress-Fehler und wie Sie sie beheben können

Wenn Ihnen dieser Artikel gefallen hat, abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Video-Tutorials. Sie finden uns auch auf Twitter und Facebook.