Ich bekomme im Browser eine Sicherheitswarnung. Was ist das und was muss ich tun?

Wenn ich mich im Backend anmelden möchte, bekomme ich im Anmeldeformular den Hinweis, das meine Website unsicher ist. Was ist denn da eigentlich unsicher und wie behebe ich das Problem?

Wenn du deine Website unverschlüsselt betreibst, können Zugangsdaten, die du in das Anmeldeformular einträgst sowie persönliche Daten, die Besucher in Web-Formulare eintragen, von jedem mitgelesen werden, der sich im gleichen Netzwerk befindet. Auch der Inhalt der Webseiten wird im Klartext übertragen.

Zur Verschlüsselung von Webseiten benötigst du einen Schlüssel, ein SSL-Zertifikat. Das wird von unabhängigen Unternehmen ausgestellt (kostenlos von Let’s Encryt und kostenpflichtig von anderen Firmen, die mehr oder weniger genau prüfen, ob dir auch die Webseite tatsächlich gehört und dafür mehr oder weniger Gebühren erheben) und im Webserver eingebunden werden. Das gibst du normalerweise per Mausklick im Kundenmenü deines Webhosters in Auftrag, der die Einrichtung automatisiert durchführt. Die Durchführung kann schon mal eine Stunde dauern und du kannst (abgesehen von der Bestätigung des Webhosters oer E-Mail) selber testen, ob das Zertifikat eingerichtet ist, indem du eine Webseite mit https://… aufrufst. Im Browser sollte ein Schlösschen angezeigt werden, dass die Verschlüsselung der Übertragung bestätigt.

Ist das Zertifikat ausgestellt (und bitte wirklich erst dann!), kannst du deine WordPress-Website umstellen. Dazu änderst du im Menü Einstellungen > Allgemein zunächst die Website- und WordPress-URL auf https.
Rufst du nun Webseiten auf, werden z.B. Bilder nicht angezeigt, weil sie in der Datenbank mit der http://-Adresse abgelegt sind und sich das nur durch Änderung der Einstellungen nicht ändert. Browser zeigen keine gemischten Inhalte (mal verschlüsselt, mal unverschlüsselt) an, weil für den Nutzer dann nicht klar wäre, was eigentlich sicher übertragen wird und was nicht. Deshalb musst du in einem weiteren Schritt alle Vorkommen deiner URL mit http gegen https austauschen.
Da WordPress URLs auch in serialisierten Datenfeldern ablegt (ein Datenfeld enthält verschiedene Informationen) solltest du die Anpassungen nicht selber in der Datenbank durchführen, sondern ein Skript verwenden, das mit serialisierten Daten umgehen kann. Hier hat sich das Plugin Better Search Replace bewährt, bei dem du angibst (sinngemäß, natürlich mit deiner Domain) http://example mit https://example zu ersetzen. Achte darauf, alle Tabellen zu markieren und das Häkchen bei „Testlauf“ herauszunehmen; Tippfehler in der URL sind schwer zu korrigieren – besser zweimal prüfen, bevor du den Befehl ausführst. (Überhaupt sind vor solchen Eingriffen Backups sinnvoll.)

Anschließend sollten deine Webseiten alle korrekt übertragen werden und im Browser vor der URL ein Schloss-Icon 🔒 anzeigen.

Verschlüsselt übertragene Webseiten werden übrigens von Suchmaschinen wie Google mit einem besseren Ranking bewertet und Browser ermöglichen eine optimierte Übertragung mit dem Protokoll http/2 – beides zusätzliche Gründen, die neben dem wichtigen Sicherheitsaspekt für die Verschlüsselung sprechen.