HTTPS erzwingen via .htaccess

Ein SSL-Zertifikat ist installiert — aber die Site ist trotzdem unter http:// erreichbar. Damit Suchmaschinen und Browser konsistent HTTPS nutzen, musst du HTTP-Anfragen umleiten.

Methode 1: Plesk-Option (empfohlen)

1. In Plesk » Hosting-Einstellungen deiner Domain
2. Häkchen bei „Permanente SEO-sichere 301-Weiterleitung von HTTP nach HTTPS“
3. Speichern

Plesk fügt automatisch die richtigen .htaccess-Regeln ein. Sofort wirksam.

Methode 2: Manuelle .htaccess

Falls Methode 1 nicht funktioniert (z.B. komplexes Routing), kannst du selbst Hand anlegen. In httpdocs/.htaccess:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Wichtig: R=301 für permanente Umleitung — nicht 302! Suchmaschinen interpretieren 302 als „temporär“ und übertragen kein SEO-Ranking.

HSTS-Header (nächster Schritt)

Nach dem 301-Redirect kannst du den Browser anweisen, die Domain immer direkt mit HTTPS aufzurufen, ohne erst HTTP zu probieren:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

Das geht ebenfalls in .htaccess. Wirkt erst, nachdem ein Browser die Site einmal über HTTPS besucht hat — danach merkt er sich es ein Jahr.

Mixed-Content-Warnungen lösen

Nach der HTTPS-Umstellung zeigen Browser manchmal „nicht sicher“-Warnungen, weil Bilder/Skripte noch über http:// referenziert werden. Lösung:

• WordPress: Plugin Better Search Replace nutzen, alle http://deinedomain.de durch https://deinedomain.de in der DB ersetzen — danach siteurl und home in wp_options prüfen
• Static HTML: alle Asset-URLs auf https:// oder protocol-relative // umstellen
• Externe Embeds (YouTube, etc.): die liefern eh über HTTPS, hier kein Problem

Test

Mit curl -I http://deinedomain.de testen — du solltest HTTP/1.1 301 Moved Permanently und Location: https://deinedomain.de sehen. Online-Tool: SSL Labs Server Test — ein sauberes Setup gibt Note A oder A+.