Como Adicionar SSL ao WordPress em Minutos (Certificado Grátis, Sem Código) 

Precisa adicionar SSL ao WordPress para que seu site exiba o cadeado HTTPS seguro?

A maioria dos hosts WordPress agora inclui um certificado SSL gratuito com todos os planos. Tudo o que você precisa fazer é ativá-lo no seu painel de hospedagem e forçar o WordPress a carregar via HTTPS.

Neste guia, vou guiá-lo por cada etapa, incluindo como usar o plugin gratuito Really Simple SSL e como corrigir os avisos de “Não Seguro” no Chrome.

O que é um Certificado SSL no WordPress?

Um certificado SSL é um pequeno arquivo de dados que criptografa a conexão entre o navegador de um visitante e o seu site WordPress. SSL é a sigla para Secure Sockets Layer, o protocolo de segurança que protege as informações enquanto elas se movem entre os dois.

Todos nós compartilhamos dados ao navegar, e em sites de comércio eletrônico, muitas vezes são informações sensíveis como detalhes de cartão de crédito ou credenciais de login.

O HTTP simples envia esses dados abertamente, o que os expõe a qualquer pessoa que esteja monitorando a conexão. Um certificado SSL, também conhecido como HTTPS, fecha essa lacuna.

Seu site precisa de um certificado emitido por uma autoridade certificadora reconhecida. Uma vez verificado, seu navegador exibirá um cadeado na barra de endereço e a URL mudará de HTTP para HTTPS.

A proteção vem da criptografia. Quando você visita um site certificado por SSL, seu navegador verifica o certificado e, em seguida, embaralha seus dados com a chave pública do site para que ninguém no meio possa lê-los. O site os descriptografa na chegada usando uma chave privada correspondente.

Por Que Todo Site WordPress Precisa de SSL

Todo site deve rodar em SSL/HTTPS, porque o Google agora trata uma conexão segura como um padrão básico da web.

Cerca de 95% ou mais de todo o tráfego do Chrome agora carrega via HTTPS, de acordo com o Relatório de Transparência HTTPS do Google. Se o seu site ainda estiver em HTTP, o Chrome pode exibir um aviso de “Não Seguro” que corrói a confiança do visitante.

SSL é mais importante quando você coleta qualquer um dos seguintes itens:

• Detalhes do cartão de crédito
• Informações de pagamento
• Credenciais de login

Um certificado verificado protege esses dados, e muitos serviços de pagamento exigem HTTPS antes de permitir que você aceite pagamentos. Se você administra uma loja, o SSL é uma parte de um trabalho mais amplo, então vale a pena saber como proteger uma loja WooCommerce de ponta a ponta.

Essa bandeira de “Não Seguro” faz mais do que parecer ruim. Ela faz com que as pessoas saiam antes de lerem uma palavra, o que diminui silenciosamente o engajamento e as conversões. SSL é uma base, não o trabalho completo, então ele se combina naturalmente com as etapas mais amplas para proteger todo o seu site contra hackers.

A maioria das pessoas adiciona o SSL bem quando está configurando ou relançando um site, que é o momento confuso que os visitantes não deveriam ver. Eu mantenho o front-end escondido atrás de uma página “em breve” com a marca SeedProd enquanto ativo o certificado e corrijo qualquer conteúdo misto.

SeedProd é um construtor de sites WordPress com arrastar e soltar, e suas páginas de “em breve” e modo de manutenção permitem que você crie uma página de espera polida em poucos minutos. Os visitantes veem uma mensagem organizada de “estamos lançando em breve” em vez de um site inacabado exibindo avisos de segurança.

Você Precisa Comprar um Certificado SSL?

Para a maioria dos sites, não. O certificado gratuito do seu host é suficiente, e você não precisa pagar por um.

Isso confunde muitas pessoas. Já vi proprietários de sites comprarem um certificado de US$ 200 sem perceber que o certificado gratuito Let’s Encrypt que o host deles já oferece teria feito o mesmo trabalho. Um certificado gratuito criptografa o tráfego exatamente da mesma forma que um pago.

Certificados pagos ainda têm seu lugar se você quiser validação extra ou uma garantia. Os preços variam amplamente, de menos de US$ 10 por ano para um certificado básico validado por domínio a bem mais de US$ 100 para validação de organização ou estendida. Para um blog padrão ou um site de pequena empresa, esse gasto raramente muda algo que um visitante vê.

Um guia rápido dos principais tipos, se você optar por um pago:

• Validado por Domínio (DV): Bom para blogs, sites pessoais e a maioria dos sites de pequenas empresas.
• Validação de Organização ou Estendida (OV/EV): Vale a pena para lojas, assinaturas e sites que lidam com logins ou pagamentos.
• Wildcard ou Multi-domínio: Útil se você gerencia subdomínios como blog.exemplo.com ou vários domínios sob o mesmo teto.

Se você não tem certeza, comece com o certificado gratuito. Você sempre pode fazer um upgrade depois. Veja como ativar o gratuito.

Como Obter um Certificado SSL Gratuito

A maioria dos hosts agora inclui um certificado gratuito, então, na maioria dos casos, você apenas aperta um botão. Os certificados gratuitos vêm da Let’s Encrypt, uma autoridade sem fins lucrativos que tornou o SSL gratuito e automático para sites pequenos.

Estas empresas de hospedagem WordPress incluem um certificado SSL gratuito em seus planos:

• Bluehost
• SiteGround
• HostGator
• WP Engine
• InMotion Hosting

Usando o Bluehost como exemplo, vá para a seção Websites no seu painel e clique no botão Settings abaixo do seu site.

A partir daí, mude para a aba Security e ative o certificado SSL gratuito. Na maioria dos casos, o Bluehost ativa isso para você automaticamente.

Se o seu host não for o Bluehost, os passos podem parecer um pouco diferentes. Você pode pedir ao seu provedor de hospedagem para ativá-lo se não conseguir encontrá-lo na sua área de administrador ou cPanel.

Se o seu host não oferece SSL, você pode comprar um de autoridades como Comodo, GeoTrust, GlobalSign e RapidSSL, ou obter um gratuito diretamente da Let’s Encrypt.

Uma coisa a saber é que os certificados Let’s Encrypt expiram a cada 90 dias. Hosts gerenciados os renovam automaticamente, então a maioria das pessoas nunca mexe na renovação. Se você configurou o certificado sozinho em seu próprio servidor, precisará automatizar a renovação, ou seu site ficará fora do ar no dia em que expirar.

Agora vamos carregar o WordPress via HTTPS com seu novo certificado.

Como Adicionar SSL ao WordPress Automaticamente (Método com Plugin)

Com o certificado ativado em seu host, o próximo trabalho é fazer o WordPress usar HTTPS para cada URL em seu site.

A maneira mais fácil é o plugin Really Simple SSL. É um dos melhores plugins do WordPress para isso, e faz a maior parte do trabalho para você. Se você é novo na instalação de plugins, este guia passo a passo o orienta.

Após ativar o plugin, abra suas configurações no painel do WordPress. O Really Simple SSL detecta seu certificado e força o HTTPS em todas as suas URLs, em seguida, ativa o redirecionamento de HTTP para HTTPS automaticamente.

O plugin também reescreve URLs HTTP antigas que estão embutidas em suas postagens e configurações, corrigindo-as em tempo real conforme as páginas carregam. Isso economiza uma busca e substituição manual no banco de dados, que é a etapa que a maioria das pessoas pula.

Mesmo uma única URL HTTP restante faz com que um navegador trate a página como insegura. O Really Simple SSL cuida disso para você, mas se alguma passar, a ferramenta de inspeção do navegador apontará para ela.

Como Adicionar SSL ao WordPress Manualmente (Avançado)

O método do plugin acima é o caminho mais fácil. Mas você pode querer mover seu site de HTTP para HTTPS manualmente.

Isso envolve editar arquivos do WordPress, então siga apenas se você se sentir confortável colando trechos de código.

Primeiro, vá para a página Configurações » Geral no seu painel. Altere os campos Endereço do WordPress e Endereço do Site de HTTP para HTTPS.

Após salvar, o WordPress o desconectará e você precisará fazer login novamente.

Atualize URLs codificadas no seu banco de dados: Esses dois campos cobrem apenas o endereço principal do seu site. Sites mais antigos também têm URLs HTTP salvas em postagens, páginas e opções, e essas não serão atualizadas automaticamente.

Esta é a etapa que os seguidores manuais mais pulam, e é por isso que eles ainda veem conteúdo misto depois. Execute uma busca e substituição em todo o banco de dados para trocar http:// por https://, usando um plugin como Better Search Replace ou o comando WP-CLI wp search-replace 'http://example.com' 'https://example.com'. Faça backup do seu banco de dados primeiro.

Redirecione HTTP para HTTPS no Apache: Adicione isto ao seu arquivo .htaccess para que cada visitante acesse a versão segura.

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

Uma ressalva: se o seu host encerrar o SSL em um proxy ou você usar o SSL flexível do Cloudflare, esta regra pode ler sua conexão como insegura e criar um loop de redirecionamento. Nessas configurações, deixe seu host ou o Really Simple SSL cuidar do redirecionamento em vez de editar o .htaccess.

Redirecionar HTTP para HTTPS no Nginx: Se o seu site roda no Nginx, adicione isto ao seu arquivo de configuração em vez disso. Substitua “example.com” pelo seu próprio domínio.

server {
listen 80;
server_name example.com www.example.com;
return 301 https://example.com$request_uri;
}

Esses redirecionamentos impedem o erro de HTTPS do WordPress não funcionar, pois cada página agora carrega via HTTPS.

Forçar SSL nas páginas de administração e login: Para proteger suas páginas de login, adicione esta linha ao wp-config.php, logo acima da linha “That’s all, stop editing!”.

define('FORCE_SSL_ADMIN', true);

Isso força o SSL e o HTTPS em toda a área de administração do WordPress.

Corrigindo Problemas Comuns de SSL (Erros de Conteúdo Misto)

Depois que seu site estiver no SSL, você ainda poderá ver erros de conteúdo misto. Isso acontece quando imagens, scripts ou folhas de estilo ainda carregam via HTTP, o que impede o cadeado de aparecer, mesmo que seu certificado esteja ativo.

Alguns navegadores bloqueiam os recursos inseguros e mostram uma notificação na barra de endereço em vez disso.

Para encontrar o que ainda está em HTTP, abra a ferramenta de Inspeção do seu navegador e verifique o console. Cada item de conteúdo misto aparece como um aviso com o URL ofensivo.

A maioria deles são imagens, iframes e galerias, com um script ou folha de estilo ocasional de um plugin ou tema.

Você tem duas maneiras de corrigi-los. A mais simples é deixar o Really Simple SSL cuidar disso, pois ele reescreve recursos HTTP para HTTPS conforme as páginas carregam. Se você não estiver usando o plugin, execute uma pesquisa e substituição no banco de dados (Better Search Replace ou WP-CLI) para trocar cada referência http:// por https://, o que limpa os URLs na origem.

Se um único recurso ainda se recusar a carregar de forma segura, geralmente ele está codificado em um widget, uma opção de tema ou um embed externo. Atualize esse URL manualmente e o cadeado retorna.

Como Testar se o Seu SSL Está Funcionando

Não presuma que funcionou. Uma verificação rápida confirma que o certificado está ativo e nada mais está carregando via HTTP.

• Verifique o cadeado: Visite seu site e procure o cadeado na barra de endereço, com o URL começando em https://.
• Execute um teste SSL Labs: Digite seu domínio em SSL Labs (ssllabs.com/ssltest) para um relatório completo sobre seu certificado e configuração.
• Verifique conteúdo misto: Abra algumas páginas importantes com o console da ferramenta de Inspeção aberto e confirme que nenhum aviso HTTP aparece.

Quando o cadeado aparecer em todas as páginas e o SSL Labs lhe der uma nota limpa, seu site estará totalmente em HTTPS.

Perguntas Frequentes sobre Adicionar SSL ao WordPress

Quanto tempo leva para o SSL funcionar no WordPress depois que eu o ativo?

Assim que você ativa o certificado em seu host, ele geralmente ativa em alguns minutos a algumas horas. Depois disso, forçar o HTTPS com um plugin como o Really Simple SSL tem efeito imediato.

Preciso atualizar os URLs do meu banco de dados depois de adicionar o SSL, ou o plugin cuida disso?

O Really Simple SSL reescreve automaticamente os URLs HTTP antigos em seu conteúdo conforme as páginas carregam, então a maioria das pessoas nunca mexe no banco de dados.

Se você mover um site manualmente, precisará de uma pesquisa e substituição no banco de dados com uma ferramenta como Better Search Replace ou WP-CLI para trocar http:// por https:// na origem.

Adicionar SSL a um site WordPress existente quebrará meus links ou imagens?

Não deveria, desde que você lide com a troca de URL corretamente. O Really Simple SSL reescreve links internos e imagens para HTTPS para você.

A única coisa a observar é o conteúdo misto, onde uma imagem ou script perdido ainda carrega via HTTP. Corrigir esses URLs restaura o cadeado sem quebrar nada.

Meu certificado SSL é renovado automaticamente ou preciso fazer isso sozinho?

Se o seu provedor emitiu o certificado, ele quase sempre é renovado automaticamente, então você nunca precisa pensar nisso.

Certificados Let’s Encrypt expiram a cada 90 dias. Provedores gerenciados cuidam disso para você, mas se você instalou um por conta própria em seu próprio servidor, precisará configurar a renovação automática.

Torne seu site WordPress Totalmente Seguro

É isso. Assim que o cadeado aparecer em todas as páginas, os visitantes confiarão mais no seu site e você deixará de perdê-los para avisos de "Não Seguro".

Se você estiver configurando o SSL como parte de um lançamento, o SeedProd permite manter o site atrás de uma página de "Em Breve" personalizada enquanto você termina o trabalho. Comece com o SeedProd e crie uma em minutos.

Se você achou este guia útil, talvez também goste de nossos tutoriais sobre configurar um endereço de e-mail comercial e criar uma landing page no WordPress.

Obrigado por ler! Adoraríamos saber sua opinião, então sinta-se à vontade para participar da conversa no YouTube, X e Facebook para mais conselhos e conteúdo úteis para expandir seus negócios.