O melhor guia para HTTPS e SSL para WordPress
Publicados: 2021-12-30Você já notou que a maioria dos seus sites favoritos tem um URL que começa com HTTPS? É mais provável que você perceba quando o S, que indica que um URL é seguro, não está presente. Isso porque o Google agora sinaliza sites sem um certificado SSL – um componente importante de um site seguro. Como a segurança do site é tão importante, é crucial que você entenda HTTPS e SSL para WordPress.
Se você administra um site WordPress, vai querer que ele tenha SSL e HTTPS para maior segurança e confiança do visitante. Como um bônus adicional, seu site terá uma classificação de pesquisa de SEO mais alta. Portanto, se você estiver pronto para adicionar uma camada extra de segurança e proteção tanto para o seu site quanto para os usuários que o visitam, continue lendo.
O que é HTTPS e SSL?
HTTPS e SSL para WordPress andam de mãos dadas. Por si só, HTTP (o prefixo de URL original) significa protocolo de transferência de hipertexto. A instalação de um certificado SSL (secure sockets layer) em seu site o protege. Quando você tem o certificado SSL ou TLS adequado instalado em seu site, o prefixo de URL muda de HTTP para HTTPS: protocolo de transferência de hipertexto seguro.
Vamos nos aprofundar no que são HTTPS e SSL e como eles funcionam. De acordo com a Mozilla Developer Network (MDN):
HTTPS (HyperText Transfer Protocol Secure) é uma versão criptografada do protocolo HTTP. Ele usa SSL ou TLS para criptografar toda a comunicação entre um cliente e um servidor. Essa conexão segura permite que os clientes troquem dados confidenciais com segurança com um servidor, como ao realizar atividades bancárias ou compras online.
Essencialmente, HTTPS significa que seu site é criptografado de ponta a ponta. Isso significa que apenas os dois clientes em cada extremidade da transação podem ler os dados. Se um usuário ou entidade mal-intencionada interceptasse a comunicação, não receberia nada além de uma confusão de caracteres aleatórios e distorcidos.
Agora, vamos pular para a definição de SSL do MDN:
Secure Sockets Layer, ou SSL, era a antiga tecnologia de segurança padrão para criar um link de rede criptografado entre um servidor e um cliente, garantindo que todos os dados transmitidos sejam privados e seguros. A versão atual do SSL é a versão 3.0, lançada pela Netscape em 1996, e foi substituída pelo protocolo Transport Layer Security (TLS).
Quando se trata de TLS versus SSL, o TLS é essencialmente a continuação do SSL. Assim como o SSL, o TLS estabelece uma conexão criptografada entre um servidor e um cliente. Os dois protocolos resultam em melhor segurança para o seu site WordPress.
Você precisa de HTTPS e SSL?
A resposta curta é sim: você precisa de HTTPS e SSL. Além de construir confiança com seus visitantes, a segurança do site é uma competência de SEO sólido. Em 2018, o Google começou a sinalizar sites sem certificado SSL ou TLS. Isso desencoraja os usuários a navegar para sites que não possuem um certificado SSL.
Anos atrás, os certificados SSL eram caros – milhares de dólares, na verdade. Grandes sites que geraram receita, como Facebook e Amazon, exibiam o ícone de cadeado na janela do navegador do usuário. Isso porque eles tinham orçamento para comprar o certificado. Por outro lado, o site WordPress do usuário médio simplesmente tinha um prefixo HTTP. Atualmente, os certificados SSL são necessários e acessíveis.
Embora o WordPress agora instale automaticamente certificados SSL em cada novo site, você pode ter um domínio mais antigo ou um site estabelecido há muito tempo que precisa ser protegido. É possível obter um certificado SSL gratuito para o seu site WordPress, se você ainda não tiver um. A maioria dos hosts também oferece um certificado SSL gratuito ou com desconto como parte de seus pacotes de hospedagem. Com HTTPS e SSL para WordPress agora tão acessíveis, não há motivo para deixar seu site vulnerável.
Como instalar SSL para WordPress
Quer saber como instalar SSL para WordPress? Vamos orientá-lo através das etapas e mostrar como isso é feito.
Usando um plug-in
Vamos começar instalando o SSL para WordPress usando um plugin. Para este tutorial, estamos usando SSL realmente simples. Este plugin move automaticamente seu site WordPress para SSL. Portanto, se sua URL ainda exibir HTTP em vez de HTTPS, este plug-in cuidará do problema e ajudará você a proteger seu site.
Vamos lá.
1. Navegue até a página do plugin SSL Really Simple e clique em Download. Salve o arquivo .zip do plugin em seu computador.
2. Abra uma nova guia do navegador, faça login no painel do WordPress e clique em Plugins.
3. Na tela Plugins, clique em Adicionar novo.
4. Na página Adicionar plug-ins, clique em Carregar plug-in.
5. Em seguida, carregue o arquivo .zip associado ao seu plugin. Escolha seu arquivo e clique em Instalar agora.
6. O WordPress exibirá uma página que mostra o progresso do upload. Depois que o plug-in for carregado, basta clicar em Ativar plug-in.
Possíveis ajustes de plug-in
7. Como você pode ver, já existe um certificado SSL detectado no site em que estou trabalhando. Mas se ainda não tivéssemos SSL, as próximas etapas que precisaríamos cobrir seriam:
- Alterando quaisquer referências http:// em arquivos .css e .js para https://
- Removendo quaisquer scripts, folhas de estilo ou imagens originadas em um domínio sem SSL
- Faça login novamente (porque assim que você ativar o plugin, o WordPress irá desconectar você)
Quando estiver pronto, clique em Ativar SSL para finalizar a instalação. Este plugin mudará sua URL padrão para HTTPS.
8. Agora, o SSL está ativado. A janela do plug-in me mostra quais etapas precisam ser seguidas para proteger ainda mais o site. O Really Simple SSL fornece artigos e recursos para me ajudar a ajustar minhas configurações de segurança para um nível ideal. Posso passar por eles um por um para otimizar minha segurança.
Você está executando o Divi no seu site WordPress? Alguns usuários com Divi enfrentam problemas com conteúdo misto ao instalar o Really Simple SSL. Se for esse o caso, o cache Divi deve ser limpo para corrigir o problema. Leia mais sobre como resolver o problema aqui.
Revise as configurações do plug-in SSL
Agora, é hora de navegar até a página principal de Plugins e verificar as configurações do seu plugin SSL. Basta clicar em Configurações para começar. Você verá a mesma lista de verificação de recursos de antes. Basta rolar a página para baixo para ver onde você pode alternar as configurações.
As configurações padrão do plugin devem ser adequadas, mas você sempre pode fazer ajustes. Principalmente, você deseja certificar-se de que o fixador de conteúdo misto esteja marcado. Muito provavelmente, esse já estará selecionado. Se não estiver, verifique e salve a página.
Certifique-se de ler qualquer documentação anexada antes de alterar suas configurações.
É isso! Você instalou o SSL para WordPress via plugin.
Instalação manual
Agora, vamos ver como instalar o SSL para WordPress manualmente. Começaremos abrindo uma nova guia do navegador e navegando até SSL For Free (ZeroSSL).
1. Na página inicial, insira a URL do seu site na barra de texto e clique em Criar certificado SSL gratuito.
2. Você será solicitado a criar uma conta. Depois de fazer isso, o site irá redirecioná-lo para a página inicial do ZeroSSL. A partir daí, clique em Novo certificado.
3. Na próxima página, você pode inserir seu domínio na caixa de texto e clicar em Próxima etapa.
4. Você pode escolher entre criar um certificado de 90 dias gratuitamente ou um certificado de 1 ano (pago). Se você escolher um que dure 90 dias, precisará voltar e gerar outro a cada 90 dias. Depois de selecionar a opção com a qual deseja ir, clique em Próxima etapa.
5. Em seguida, você pode fazer com que o programa gere automaticamente uma solicitação de assinatura de certificado (CSR), se desejar. Você também pode preencher manualmente suas informações. O objetivo disso é verificar sua identidade e o fato de que você, de fato, é o proprietário do domínio para o qual está gerando o SSL. Você será solicitado a selecionar o plano desejado.
Verificação de domínio e SSL para instalação manual do WordPress
6. Agora você será solicitado a verificar seu domínio. Você pode fazer isso de três maneiras:
- Através da verificação de e-mail
- Adicionando um novo registro CNAME em seu servidor host
- Via upload de arquivo HTTP
Dependendo da opção escolhida, siga as instruções fornecidas no site.
7. Assim que seu domínio for verificado, o site irá gerar seu certificado SSL. Você pode baixar seu certificado e clicar em Próxima etapa.
8. Agora, você precisará fazer o upload do certificado SSL para o seu cPanel. Esse processo pode parecer um pouco diferente dependendo de qual host você usa. Para obter instruções passo a passo, procure seu host nesta lista do ZeroSSL, que o orientará na finalização da instalação do SSL para WordPress.
Para os propósitos deste artigo, mostrarei como é através do meu cPanel Bluehost.
9. Primeiro, navegue até o seu cPanel e role para baixo até a seção SEGURANÇA. Clique em SSL/TLS.
10. Clique em “Gerar, visualizar, carregar ou excluir certificados SSL”.
11. Agora você verá uma lista de certificados atualmente em seu servidor. Role para baixo até a seção chamada “Fazer upload de um novo certificado”.
12. Agora, você tem algumas opções. Você também pode:
- Descompacte o certificado SSL que você baixou do ZeroSSL e carregue o arquivo .crt.
- Ou você pode abrir o arquivo .crt em um editor de texto básico. Copie o texto completo do certificado, volte ao seu cPanel e cole-o na caixa de texto rotulada “Fazer upload de um novo certificado”. Isso inclui o texto do cabeçalho e do rodapé que denota o início e o fim do certificado.
13. Clique em Carregar certificado. Depois disso, você deve verificar novamente se a instalação foi bem-sucedida. Você pode verificar seu certificado em seu painel ZeroSSL. Como alternativa, tente navegar até sua URL com o prefixo https:// para ver se funciona para você.
É isso!
Perguntas frequentes sobre SSL e HTTPS
Agora, vamos dar uma olhada em algumas perguntas frequentes sobre HTTPS e SSL para WordPress.
Como saber se meu site possui um Certificado SSL?
Abra uma nova janela do navegador e navegue até o seu site. Olhe para a esquerda do seu prefixo de URL. A janela do seu navegador deve exibir um ícone de cadeado ao lado do URL. Como alternativa, clique na caixa de texto e você poderá ver o HTTPS exibido.
SSL e HTTPS tornarão meu site mais lento?
SSL e HTTPS podem tornar seu site um pouco mais lento. No entanto, se os visitantes do seu site estão encontrando a tela de erro do Google que os impede de acessar seu site HTTP em primeiro lugar, isso é mais um problema. Ou você sacrificará uma pequena quantidade de velocidade por um site seguro em que os usuários confiam ou terá de lidar com uma alta taxa de rejeição de um site não seguro.
Instalei o Certificado SSL, mas meu site ainda está mostrando que é inseguro. O que eu faço agora?
Verifique novamente se sua instalação foi bem-sucedida. Você pode fazer isso no WordPress navegando até a página de configurações do seu plugin ou verificando sua instalação manual por meio do painel ZeroSSL. Pode haver algumas configurações que você precisa alternar ou talvez seja necessário executar a solução de problemas.
Se você estiver vendo erros de SSL contínuos em seu site, talvez seja necessário:
- Forçar redirecionamentos HTTP para HTTPS
- Corrigir erros de conteúdo misto (imagens quebradas)
- Inspecione plugins e temas existentes em busca de erros
- Corrigir um loop de redirecionamento
- Solucione ainda mais o seu certificado SSL, que pode estar mostrando um aviso de certificado inválido (nesse caso, você pode renová-lo)
Para inspecionar erros de SSL, você pode clicar com o botão direito do mouse em seu site e selecionar Inspecionar no menu suspenso. Os erros são destacados em vermelho. Você pode relatar erros ao autor de um plugin ou tema, seu provedor de hospedagem na web ou sua equipe de suporte técnico, dependendo de onde e como seu site está hospedado e configurado.
Se você não é um desenvolvedor, é melhor não tentar ajustar seus plugins ou temas. É muito fácil quebrar algo que você desconhece ou que afeta seu site em grande escala.
Dependendo da ferramenta que você selecionou, você poderá obter alguma ajuda. Você pode fazer perguntas em fóruns abertos, seguir guias de solução de problemas ou entrar em contato com seu host para obter ajuda. Se você administra o Divi, temos uma equipe de bate-papo ao vivo que também pode ajudá-lo. Provavelmente, você poderá obter assistência de outra pessoa que tenha experiência no problema que está enfrentando.
Como faço para corrigir erros de conteúdo misto?
Erros de conteúdo misto ocorrem quando você instalou o SSL para WordPress, mas seu site ainda vê parte do conteúdo como inseguro. Você pode notar imagens ausentes, por exemplo. Para corrigir isso, você pode configurar seu site WordPress para exibir conteúdo misto.
Você pode corrigir erros de conteúdo misto instalando e ativando o plug-in SSL Insecure Content Fixer. Se você continuar recebendo erros de conteúdo misto, é possível que algo esteja errado em seu banco de dados. Você precisará executar algumas etapas extras para corrigir esse problema, incluindo instalar e executar o plug-in Better Search and Replace. Escrevemos uma postagem para orientá-lo na correção de erros de conteúdo misto aqui.
Como faço para forçar o HTTPS?
Para forçar o HTTPS, pode ser necessário configurar redirecionamentos automáticos de HTTP para HTTPS. Forçar redirecionamentos automáticos impedirá que os usuários abram a versão HTTP do seu site, que tecnicamente ainda existe.
Aqui está um tutorial do Name.com que o orienta pelo processo via cPanel. Como alternativa, você pode corrigir esse problema diretamente no arquivo . htacess através do seu cliente FTP. Este tutorial do Dreamhost o guiará pelas etapas para forçar seu site a carregar com segurança.
Quanto custam os certificados SSL?
Os certificados SSL variam muito de preço, desde grátis até cerca de US$ 1.000 por ano. Em média, eles tendem a ser muito mais baratos. O preço depende do serviço que você escolher e do nível de suporte necessário.
Existe uma diferença entre certificados SSL gratuitos e pagos?
Não em termos de funcionalidade. Os certificados SSL gratuitos e pagos oferecem a mesma segurança aos usuários finais. No entanto, um certificado SSL pago provavelmente terá suporte técnico adicional e validação mais completa. Se você estiver confortável com a solução de problemas do seu SSL, usar um certificado gratuito pode funcionar bem para você. Mas se você acha que pode precisar de suporte técnico contínuo e não quer ter que reinstalar um novo certificado gratuito toda vez que o atual expirar, um certificado SSL pago pode ser uma opção melhor.
Tenho que renovar meu Certificado SSL?
A renovação do certificado SSL depende do seu host. Se você estiver usando um host que inclui um certificado SSL como parte de seu plano de hospedagem, ele pode ser configurado para renovar automaticamente (e hoje em dia, muitos são configurados dessa maneira para que os usuários nunca precisem tocá-los). Se você usar a opção de certificado SSL de 90 dias ou 1 ano da ZeroSSL, precisará renovar manualmente seu certificado SSL em intervalos.
Conclusão
Agora que você sabe como instalar e solucionar problemas do seu certificado SSL, é hora de proteger seu site WordPress. HTTPS e SSL para WordPress são extremamente importantes para o sucesso e o nível de confiança do seu site com os usuários (e com o Google). Se você deseja tornar seu site viável não apenas agora, mas no futuro, certifique-se de bloqueá-lo com HTTPS e SSL.
Você teve problemas com SSL para WordPress? Como você abordou resolvê-los? Deixe-nos um comentário abaixo e deixe-nos saber.
Imagem em destaque do artigo por Eny Setiyowati / shutterstock.com