Como corrigir a mensagem do site “Não seguro” no Chrome

Publicados: 2024-11-11

A mensagem do site “não seguro” no Chrome parece bastante assustadora para os visitantes – o suficiente para mandar a maioria deles embora. Como resultado, você pode dizer adeus às conversões, vendas, novos assinantes ou qualquer outra coisa que esteja tentando realizar.

Em outras palavras, não importa quanto trabalho você tenha investido na otimização do texto do anúncio, do design UX ou do desempenho do site, uma mensagem “não seguro” torna seu site quase inútil. Parece preocupante? Felizmente, tanto a causa quanto a solução são bastante simples.

Esta mensagem de erro aparece quando há um problema com o certificado SSL (Secure Sockets Layer) ou com a configuração HTTPS do seu site.

Neste artigo, discutiremos tudo o que você precisa saber sobre a mensagem de site “não seguro” no Chrome, incluindo o que significa e como corrigi-la. Também falaremos sobre outras medidas de segurança que você pode tomar para proteger ainda mais seu site, bem como quais ferramentas você deve usar (como o pacote Jetpack Security).

O que significa a mensagem do site “não seguro”?

A mensagem “não seguro” no Chrome pode aparecer para qualquer site, seja ele construído em WordPress ou qualquer outra plataforma. Indica que o site não está usando HTTPS ou não possui um certificado SSL ativo.

Página da Web com opções de segurança visualizadas no navegador mostrando que a conexão NÃO é segura.

Usar HTTPS agora é essencialmente um requisito para todos os proprietários de sites. Os motores de busca irão penalizá-lo – diminuindo suas classificações e alertando os visitantes do site – se você não tiver uma.

E é seguro dizer que se um visitante vir um desses avisos, provavelmente não permanecerá no site. Às vezes, o navegador nem permite.

Se você encontrar esse erro em seu site, pare tudo e encontre uma solução.

O que é HTTPS?

HTTPS é a versão segura do HTTP. Significa “protocolo de transferência de hipertexto seguro”. Ao usar HTTPS, um site oferece canais de comunicação mais seguros para os dados que envia e recebe.

É o padrão moderno para proteger os visitantes, e tanto os navegadores quanto os mecanismos de pesquisa exigem essencialmente que você o use.

Para habilitar HTTPS para seu site, primeiro você precisará de um certificado SSL. Este é um tipo de certificado digital que verifica a identidade e propriedade do seu site.

Os hosts da web mais confiáveis ​​oferecem configuração automática de certificado SSL e farão isso gratuitamente como parte do seu plano de hospedagem. Eles cuidarão da maior parte do trabalho, incluindo a renovação do certificado dentro do prazo.

Este é apenas um dos muitos motivos para escolher um ótimo provedor de hospedagem.

Por que o HTTPS é crucial para a segurança do site?

Há muito que você pode fazer para melhorar a segurança do seu site. Você pode manter seu software atualizado, ativar a autenticação de dois fatores, usar um plugin de segurança, fazer backup regular do site e muito mais.

Mas habilitar HTTPS é uma das medidas mais básicas, porém impactantes, que você pode tomar. Além de evitar um aviso de “não seguro”, você desejará usar HTTPS porque:

  • Facilita a criptografia de dados. Com o HTTPS habilitado, todos os dados transmitidos entre os visitantes e o servidor do site serão criptografados. Isso significa que, mesmo que alguém consiga interceptar os dados, não conseguirá entendê-los.
  • Evita a adulteração de dados. A criptografia de dados também ajuda a evitar adulterações. Alguns ataques cibernéticos comuns (como ataques de repetição ou injeções de pacotes) envolvem alterações nos dados em trânsito para explorar vulnerabilidades.
  • Fornece autenticação de dados. Com HTTPS, você pode ter certeza de que está se conectando ao site pretendido e não a um esquema de phishing ou algum outro tipo de conteúdo falso.
  • Permite sinais de confiança e segurança. Configurar um certificado SSL e usar HTTPS fará com que alguns navegadores exibam sinais de confiança na barra de navegação. Ver esses sinais pode ajudar a tranquilizar os visitantes e dar-lhes mais confiança para fazer uma compra ou realizar outra ação importante.

Como saber se o site que você está visitando usa HTTPS?

Se estiver usando o Chrome, você pode clicar no ícone no lado esquerdo da barra de navegação. Isso fica ao lado do endereço do site que você está visitando.

Página da Web localizada em Jetpack.com com visualização de opções de segurança no navegador mostrando que a conexão é segura.

Clicar nesse ícone mostrará se o site usa uma conexão segura e possui um certificado SSL válido. Se você vir a mensagem “não seguro”, significa que há um problema com a configuração HTTPS ou com o certificado SSL.

Para visitantes do site: o que fazer quando você vê uma mensagem “não seguro”

Se você encontrar uma mensagem “não seguro” no Chrome, evite visitar esse site até que o proprietário o corrija. Normalmente indica um problema com o certificado SSL do site ou com a configuração HTTPS.

Em alguns casos, isso pode ser um simples descuido. Se o proprietário do site se esquecer de renovar o certificado SSL, isso pode levar a um caso em que o site é seguro, mas o Chrome ainda avisa os usuários até que o problema seja resolvido.

Como usuário final, você tem algumas maneiras de tentar determinar se um erro “não seguro” é um erro. No Chrome, você pode verificar o certificado SSL do site e ver se seus detalhes correspondem ao site e se ele expirou:

Página da Web localizada em Jetpack.com com visualização de opções de segurança e detalhes do certificado SSL expandidos.

Você pode usar seu julgamento para determinar se deve visitar sites marcados como “não seguros”. Mesmo assim, se você visitar um site que não seja seguro, evite inserir informações confidenciais, como senhas, até que o erro seja corrigido.

Para proprietários de sites: como corrigir a mensagem de site “não seguro” no Chrome

Se o seu site estiver exibindo um erro “não seguro”, você precisará corrigi-lo imediatamente. A maioria dos visitantes evitará o seu site e poderá acabar no site de um concorrente.

Como mencionamos anteriormente, mensagens “não seguras” no Chrome aparecem devido a problemas com o certificado SSL do site (como não ter um) ou com sua configuração HTTPS. Vamos começar falando sobre certificados.

Compre e instale um certificado SSL (ou obtenha um gratuitamente)

Usar um certificado SSL para o seu site não deve ser negociável. Se você estiver preocupado com os custos, poderá configurar certificados SSL gratuitos de autoridades como Let's Encrypt.

Esses certificados (os certificados de nível de entrada são conhecidos como certificados de validação de domínio (DV)) são ideais para sites pessoais e de pequenas empresas.

Vamos criptografar o herói da página da web com navegação e título - "Uma autoridade de certificação sem fins lucrativos que fornece certificados TLS para 450 milhões de sites."

Se você administra um site para uma grande empresa, uma loja de comércio eletrônico com tráfego considerável ou um projeto empresarial, você desejará optar por um tipo mais robusto - como um certificado SSL validado pela organização (OV) ou validação estendida.

Haverá um custo associado a isso e o aplicativo pode exigir algum nível de verificação e testes de segurança, mas muitas vezes é necessário do ponto de vista de conformidade.

Se você está procurando um host que instale um certificado SSL para você e gerencie renovações, dê uma olhada em nossos parceiros de hospedagem.

Atualize seu site para servir apenas URLs HTTPS

Depois de configurar um certificado SSL para o seu site, você também precisará configurá-lo para carregar via HTTPS. Caso contrário, você receberá mensagens de erro ao tentar acessar o site, independentemente do navegador que estiver usando.

Existem várias maneiras de configurar seu site para veicular conteúdo apenas usando HTTPS. Se o seu site usa um servidor Apache, você pode modificar seu arquivo . htaccess para redirecionar todo o conteúdo HTTP sobre HTTPS.

Se você quiser usar essa abordagem, é importante primeiro criar um backup do seu site, pois você precisará editar parte do código. No WordPress, você pode fazer isso usando o Jetpack VaultPress Backup, que também criará backups em tempo real para o seu site sempre que você fizer alterações nele.

Em seguida, conecte-se ao site via protocolo de transferência de arquivos (FTP). Navegue até o diretório raiz do site e procure o arquivo .htaccess dentro dele.

Abra esse arquivo usando um editor de texto. Deve ser parecido com a captura de tela abaixo, talvez com algumas configurações personalizadas dependendo da configuração do seu site:

Captura de tela de um arquivo .htaccess com regras do WordPress em vigor.

Agora, copie o seguinte trecho de código e adicione-o antes da linha # END do WordPress, tomando cuidado para não tocar em nenhum outro código:

 RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Esse código implementa redirecionamentos 301 ou permanentes para rotear todo o tráfego HTTP por meio de HTTPS. Usamos um redirecionamento 301 porque esta deve ser uma mudança permanente e, dessa forma, você está passando o valor do seu link para as URLs HTTPS.

Se você tiver um site WordPress, também poderá usar um plugin para servir apenas tráfego HTTPS. Por exemplo, Really Simple SSL permite que você instale um certificado SSL gratuito a partir do painel, bem como adicione redirecionamentos 301 ao seu site sem a necessidade de mexer nos arquivos manualmente.

Herói da página da web do plugin SSL realmente simples com título e uma variedade de ícones e recursos.

Verifique se há conteúdo misto

Em certos casos, problemas com a configuração do seu site podem fazer com que algum conteúdo seja carregado por HTTPS, mas não todo. Isso resulta em um erro de conteúdo misto, que pode aparecer na forma de uma mensagem de site “não seguro” no Chrome.

Para verificar se há erro de conteúdo misto, você pode acessar o site usando o Chrome e abrir as ferramentas de desenvolvedor do navegador inspecionando uma de suas páginas.

Vá para a guia Segurança e verifique o que diz em Visão geral de segurança Recursos .

Captura de tela das ferramentas para desenvolvedores do Chrome - guia Segurança mostrando certificado SSL válido e informações de conexão segura.

Idealmente, você verá uma mensagem “segurança completa”. Um aviso de conteúdo misto significa que você precisará revisar a forma como seu site usa HTTPS. Também pode ser um problema com recursos de terceiros que seu site usa e que são carregados por HTTP.

Você pode usar o console da ferramenta do desenvolvedor para ver quais recursos estão sendo carregados no seu site. O console destacará recursos de conteúdo misto para que você possa identificá-los facilmente.

O código que compartilhamos anteriormente sobre como rotear o tráfego HTTP sobre HTTPS para servidores Apache deve funcionar para todo o conteúdo. Se você usou esse código, verifique se ele foi adicionado corretamente ao arquivo .htaccess do site.

Para usuários do WordPress, há motivos adicionais pelos quais você pode receber um aviso de conteúdo misto. Às vezes, arquivos de mídia antigos se apegam teimosamente ao uso de HTTP. Pode ser necessário reenviar esses arquivos ou usar um plug-in como Really Simple SSL para forçar o carregamento de todo o conteúdo por HTTPS.

Verifique se o seu site é reconhecido pelo Chrome como seguro

Depois de implementar qualquer uma das correções acima, você desejará verificar se o erro persiste no Chrome. Se você ainda vir a mensagem do site “não seguro”, significa que a correção que você implementou não funcionou.

Como as mensagens “não seguras” estão vinculadas a certificados SSL ou problemas de HTTPS, você deseja garantir que ambos estejam funcionando em seu site. Se você tiver um certificado válido configurado e todo o conteúdo estiver configurado corretamente para carregar via HTTPS, a mensagem de erro deverá desaparecer completamente.

Medidas adicionais de segurança importantes para proprietários de sites

Usar um certificado SSL e HTTPS são ótimas medidas de segurança. Mas há muito mais que você pode fazer para manter seu site seguro e proteger os visitantes de agentes mal-intencionados.

Vejamos algumas maneiras eficazes de proteger ainda mais o seu site.

1. Instale um plugin de segurança para fornecer proteção 24 horas por dia, 7 dias por semana

Este conselho é para sites WordPress. Mesmo que você não use o WordPress, existem muitas ferramentas e serviços de segurança incríveis que você pode aproveitar para proteger seu site – é apenas uma questão de encontrar as opções certas.

Se você não souber por onde começar, procure ferramentas que incluam alguns dos recursos que discutiremos nesta seção. Como usuário do WordPress, sua melhor aposta é encontrar soluções de segurança que protejam seu site em diversas frentes.

Jetpack Security é um conjunto de ferramentas WordPress projetadas para proteger seu site contra invasores e restaurar seu conteúdo caso algo dê errado. Inclui uma solução de backup em tempo real, verificação e correções de malware em tempo real e proteção contra spam, juntamente com monitoramento de tempo de inatividade, um registro de atividades e proteção contra ataques de força bruta.

Página do plug-in Jetpack Security com título, parágrafo e ícone de escudo.

Você também pode escolher produtos individuais no pacote se tiver preocupações específicas de segurança. Por exemplo, o VaultPress Backup é oferecido como um plugin dedicado. Sozinho ou como parte do Jetpack Security, ele fornece backups em tempo real – para que todas as alterações feitas, comentários recebidos ou pedidos feitos sejam sempre seguros.

Enquanto isso, o Jetpack Scan aproveita o maior banco de dados de vulnerabilidades do WordPress (que recebe atualizações regulares) para verificar se o seu site está vulnerável de alguma forma. Você também pode usar o plugin para corrigir a maioria dos problemas conhecidos com apenas alguns cliques.

O pacote Jetpack também inclui o Akismet Anti-Spam. Este plugin usa aprendizado de máquina para revisar envios de texto em seu site (comentários, formulários e até mesmo registros de usuários) e bloqueia automaticamente spam com 99,99% de precisão e sem CAPTCHA irritante .

O Akismet Anti-Spam bloqueia cerca de sete milhões e meio de envios de spam por hora na rede de sites que o utilizam. Ele também aprende continuamente a detectar novas formas de spam, graças a todos esses dados.

2. Mantenha software, temas e plug-ins atualizados

Se estiver usando o WordPress, você vai querer ter certeza de que todos os seus componentes estão sempre atualizados – o software principal, bem como os plug-ins e temas que você instala e ativa.

Você pode verificar rapidamente as atualizações disponíveis acessando o painel e navegando até a guia Atualizações . Isso lhe dará uma visão geral de todos os elementos do seu site que requerem atualizações.

Página de atualizações do painel do WordPress mostrando atualizações disponíveis para plug-ins Jetpack Boost e WooCommerce.

As atualizações de software são essenciais porque geralmente incluem correções de segurança. Os desenvolvedores podem encontrar vulnerabilidades das quais não estavam cientes inicialmente ou podem fechar brechas de segurança encontradas pelos invasores.

Quanto mais tempo um plugin ou tema ficar sem atualização, maior será a probabilidade de ele ficar vulnerável. O mesmo acontece com o WordPress. Se você ainda usa o WordPress 5.0, por exemplo, você está aberto a uma longa lista de vulnerabilidades conhecidas.

Claro, antes de atualizar qualquer coisa, você vai querer fazer um backup para poder restaurar caso a atualização cause um erro. Se você possui o Jetpack VaultPress Backup, o trabalho já está feito para você.

Em qualquer caso, você deve atualizar o WordPress com frequência. Idealmente, você deve verificar se há atualizações sempre que fizer login no painel.

3. Use autenticação de dois fatores (2FA) para acesso administrativo

Todos com acesso administrativo ao seu site devem usar 2FA. Isso adiciona outro fator de segurança além das senhas e torna mais difícil para os invasores obterem acesso ao site, mesmo que obtenham as credenciais do usuário.

Você provavelmente já usa 2FA em alguns dos sites que visita. As implementações podem variar, pois alguns sites solicitarão que você use um aplicativo de autenticação, enquanto outros enviarão códigos de verificação por e-mail ou SMS.

Embora o 2FA possa tornar as coisas um pouco mais difíceis para alguns usuários, é essencial para qualquer pessoa com acesso ao back-end do site. Estas são as contas de usuário com mais privilégios administrativos. Se os invasores obtiverem acesso a eles, poderão causar muitos danos ao seu site.

Se você usa o WordPress, pode aproveitar o plug-in Jetpack para exigir que o administrador faça login com uma conta do WordPress.com. Você pode então ativar um requisito para autenticação em duas etapas.

Opções de login do WordPress.com no plugin Jetpack com todas as opções ativadas.

Este recurso está disponível com o plugin Jetpack gratuito, para que qualquer pessoa possa usá-lo. É uma maneira rápida e simples de criar um processo de login no WordPress mais seguro.

Segurança

Nós protegemos seu site. Você administra seu negócio.

O Jetpack Security oferece segurança abrangente e fácil de usar para sites WordPress, incluindo backups em tempo real, firewall de aplicativos da Web, verificação de malware e proteção contra spam.

Proteja seu site

4. Instale um firewall de aplicativo web (WAF)

Um firewall de aplicativo da web é um software que monitora e bloqueia conexões ao seu site com base em um conjunto de regras. Os melhores produtos e plug-ins WAF conseguem bloquear muito tráfego malicioso, normalmente porque possuem bancos de dados enormes de invasores conhecidos.

Dependendo do WAF, ele também poderá identificar padrões de ataque ou atividades suspeitas do usuário. No geral, usar o WAF certo pode aumentar drasticamente a segurança do site.

Se você estiver usando o WordPress, o plug-in Jetpack inclui um WAF que você pode ativar para ajudar a proteger seu site. É uma opção que você pode ativar diretamente nas configurações do plugin.

Configurações do plug-in Jetpack com o Web Application Firewall do Jetpack ativado (e a opção "Compartilhar dados básicos com o Jetpack" selecionada)

Usar o firewall Jetpack permite aproveitar um enorme banco de dados de invasores conhecidos. Para ativar regras automáticas, você precisará de uma licença do Jetpack Scan ou do Jetpack Security.

5. Faça backup regularmente do seu site

Ter backups recentes do seu site é uma das melhores maneiras de contornar problemas e vulnerabilidades de segurança. Se os invasores conseguirem obter acesso, muitas vezes você poderá resolver o problema restaurando um backup recente e implementando medidas de segurança adicionais desse ponto em diante.

O maior problema com os backups é que muitas vezes você perderá dados ao restaurar seu site para um estado anterior. Isto é particularmente verdadeiro se o último backup feito foi há semanas.

Jetpack VaultPress Backup oferece backups em tempo real para sites WordPress. Isso significa que toda vez que você fizer uma alteração no site, o plugin a salvará.

Página da Web do Jetpack VaultPress Backup com título, parágrafo e elemento de bloco de imagem/ícone à direita.

O VaultPress Backup elimina o problema de não ter acesso aos backups recentes. Ele também armazena backups fora do site, portanto, se algo acontecer ao seu servidor, as cópias do seu site ainda estarão seguras.

Segurança Jetpack para sites WordPress

Jetpack Security oferece um conjunto completo de produtos que podem ajudá-lo a proteger seu site WordPress. Isso inclui Jetpack Scan, VaultPress Backup, Akismet Anti-Spam e muito mais.

Você pode usar o Jetpack Scan para executar verificações automáticas de malware e vulnerabilidades em seu site e corrigir rapidamente a maioria dos problemas com apenas alguns cliques. O plugin aproveita o maior banco de dados conhecido de vulnerabilidades de segurança do WordPress para manter seu site seguro.

Página da Web do Jetpack Scan com título, parágrafo e elemento de bloco de imagem/ícone à direita.

O Jetpack Scan também oferece acesso a regras automáticas para o firewall do aplicativo web do plug-in. Essas regras ajudam a proteger seu site contra invasores graças ao crescente banco de dados de atores maliciosos conhecidos do Jetpack.

Com o VaultPress Backup, você fica tranquilo sabendo que sempre que fizer alterações em seu site, o plugin o manterá seguro. Essa tecnologia de backup em tempo real permite que você nunca perca dados importantes se precisar restaurar seu site para um estado anterior.

Com o Jetpack Security, você também tem monitoramento de tempo de inatividade e um registro de atividades que permite verificar tudo o que está acontecendo no seu site e identificar quais ações (e quem as realizou) podem ter causado o problema. Cada vez que alguém faz login em seu site, atualiza uma página, altera uma configuração ou adiciona código a um arquivo principal, tudo estará no log de atividades.

Jetpack Security é a solução de segurança ideal e abrangente para WordPress, com mais de 27 milhões de instalações e contando.

Perguntas frequentes

Se você ainda tiver dúvidas sobre como corrigir a mensagem de site “não seguro” no Chrome e como proteger seu site em geral, esta seção irá respondê-las.

O que é HTTPS e como ele difere do HTTP?

HTTPS é a versão segura do HTTP. Os dados que você envia ou recebe por HTTPS são criptografados para evitar adulterações. Um site que usa HTTPS também significa que possui um certificado SSL válido.

Como um certificado SSL protege as informações de um site?

Um certificado SSL é um certificado digital que prova que um site é autêntico. Ele pode proteger informações em um site, permitindo o uso de HTTPS. Conexões HTTPS seguras são menos vulneráveis ​​a ataques cibernéticos.

Como posso adquirir um certificado SSL para meu site?

Dependendo do seu site e do escopo, pode ser necessário pagar por um certificado SSL. Mas muitos sites podem usar um site gratuito. Algumas autoridades certificadoras, como Let's Encrypt, oferecem certificados gratuitos que você pode configurar facilmente em seu site.

Posso usar um certificado SSL gratuito e ele é seguro?

Você pode usar um certificado SSL gratuito para a maioria dos sites, embora não seja recomendado para projetos com maiores necessidades de segurança, como grandes lojas de comércio eletrônico. Para a maioria dos sites, um certificado SSL gratuito irá satisfazer todos os seus requisitos.

Os certificados SSL podem expirar? Em caso afirmativo, posso automatizar a renovação?

Os certificados SSL expiram. Eles precisam ser renovados periodicamente por uma questão de segurança, para que o proprietário do site possa verificar se ainda opera o site. Mesmo assim, você pode automatizar o processo de renovação da maioria dos certificados. Se você usar um host que oferece um certificado gratuito, é provável que ele também o renove.

O que devo fazer se meu site exibir um aviso de “conteúdo misto”?

Se o seu site mostrar um aviso de conteúdo misto, verifique se todos os seus componentes estão carregando por HTTPS. Talvez seja necessário implementar um redirecionamento para forçar as solicitações a passarem por HTTPS ou identificar o conteúdo que está causando o erro e substituí-lo.

Que outras práticas recomendadas devo seguir para proteger meu site?

Além de usar um certificado SSL e HTTPS, é sempre melhor fazer backups regulares do seu site. Você também deve configurar um WAF para bloquear tráfego malicioso, usar ferramentas de prevenção de spam, habilitar 2FA e manter os componentes do seu site atualizados.

Que tipos de ferramentas são recomendadas para aumentar a segurança do site?

Ao procurar soluções de segurança para o seu site, considere opções que oferecem backups em tempo real, scanners de malware e vulnerabilidades, logs de atividades, 2FA e WAF. O Jetpack Security inclui todos esses recursos e muito mais.

Jetpack Security: a maneira rápida e fácil de proteger seu site WordPress

A mensagem do site “não seguro” no Chrome é um dos vários erros de SSL que você pode encontrar. Certificados SSL e HTTPS são medidas de segurança essenciais para sites modernos, mas não são as únicas coisas que podem proteger seu site.

Depois de configurar um certificado SSL e ativar o HTTPS, você desejará passar para outras medidas de segurança. Com o Jetpack Security, você pode implementar diversas melhorias de segurança com um único conjunto de ferramentas. Isso inclui backups em tempo real e verificação de malware, monitoramento de tempo de inatividade, proteção contra ataques de força bruta, registros de atividades e muito mais.

Se você deseja manter seu site WordPress seguro, experimente o pacote Jetpack Security. Você também pode optar por acessar recursos selecionados por meio de plug-ins individuais, incluindo Jetpack VaultPress Backup, Jetpack Protect e Akismet Anti-Spam. Aumente a segurança do seu site hoje!