0) Делаем бекап сайта (база данных, файлы сайта)

1) Временно выключаем плагины защиты (iThemes Security, Better WP Security, etc) или деактивируем, либо переносим папку с плагином за пределы каталога сайта

2) В настройках сайта (http://example.org/wp-admin/options-general.php) в поле «Адрес WordPress (URL)» указываем https.

3) Делаем резервную копию .htaccess файла, очищаем его и оставляем только:

SetEnvIf X-HTTPS 1 HTTPS=1

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

4) Редактируем файл wp-config.php:

a) Добавляем директиву WP_HOME (если её не было) и указываем для имени сайта протокол https

define('WP_HOME', 'https://example.org');

b) У директивы WP_CONTENT_URL указываем протокол https вместо http

define( 'WP_CONTENT_URL', 'https://example.org/wp-content' );

Сохраняем, закрываем, обновляем файл на хостинге.

5) Редактируем файл wp-settings.php:

Где-нибудь вверху добавляем следующую директиву (если её еще не было в этом файле):

define( 'FORCE_SSL_ADMIN', true );

Сохраняем, закрываем, обновляем файл на хостинге.

Проверяем.

6) Включаем плагины защиты. Указываем в их настройках необходимость работы через SSL
ssl