Porque você deveria instalar e mover seu WordPress do HTTP para HTTPS? Desde que a Google anunciou em 2017 que o uso de conexão segura HTTPS seria um sinal de ranking para um site na internet, ficou claro que estava sendo empurrado um novo padrão de segurança.

Mesmo ja tendo 2 anos deste anúncio, ainda muitas páginas estão usando o HTTP sem segurança. Por isso resolvi neste artigo explicar as diferenças e o porquê de se adotar este padrão de forma definitiva. Veremos também como instalar o certificado SSL e ativa-lo no seu WordPress.

SSL e HTTPS

O termo SSL é a abreviação para Secure Sockets Layer, o padrão da tecnologia de segurança para estabelecer conexão com criptografia entre um servidor de uma página web e um navegador (Chrome, Safari, Firefox, etc). Esta conexão criptografada garante que todos os dados enviados e recebidos fiquem em segurança, evitando qualquer interferência que comprometa a privacidade.

O HTTPS por outro lado é um esquema de URI que tem sintaxe similar ao HTTP, porém sinaliza para o navegador que ele deve usar a camada de segurança SSL durante o tráfego de informações.

Portanto, o SSL é o padrão de criptografia para conexões via HTTPS.

Como SSL Funciona?

O certificado SSL padrão deve conter seu nome, nome da sua empresa, endereço, cidade, estado e país. O certificado tem uma data em que expira e também tem informações da autoridade de certificação responsável pela sua emissão.

Quando o navegador se conecta a um site na internet, ele captura as informações do certificado SSL e verifica se sua data de emissão não está expirada. Também verifica se a autoridade de emissão está na lista de autoridades conhecidas e se a URI é a correta para aquele certificado. Se qualquer destes cheques de verificação falhar, um alerta será enviado para o usuário para que ele saiba que aquele site não é protegido por SSL.

Diferença Entre HTTP e HTTPS

Existem diversas diferenças entre o HTTP e HTTPS porém as mais importantes são:

  • Esquema da URL: Uma URL com HTTPS inicia com https:// e HTTP apenas com http://.
  • Segurança: Páginas acessadas via HTTP são inseguras e sujeitas a ataques hackers, os quais podem ganhar acesso a suas informações. Por exemplo, uma página da sua conta bancária, os dados trafegariam de forma insegura.
  • Camadas da Rede: O HTTP trabalha na camada de aplicação, a mais alta do protocolo TCP/IP. O SSL trabalha em uma camada inferior do protocolo porém faz a criptografia da mensagem antes do envio e tem o trabalho de a descriptografar quando ela é recebida. Por isso o HTTPS não é um protocolo separado e sim o uso do HTTP em cima de uma conexão com criptografia SSL.

Por que Usar HTTPS?

O uso do HTTPS é especialmente importante em redes sem criptografia. Por exemplo, em redes Wi-Fi, se você não usa o HTTPS, alguém pode espionar todo o seu tráfego e roubar os seus dados.

Quando uma página é servida com HTTPS, está garantido que ninguém vai alterar as informações transmitidas. Qualquer negócio sério online deve usar o SSL pois é uma garantia para a empresa e para proteção dos dados de seus usuários.

Além disso, hoje em dia muitas empresas já se recusam de fazer negócios quando os padrões de segurança não são garantidos, como por exemplo o uso do SSL.

O uso do SSL é um certificado de garantia de segurança mínima.

Como Comprar Um Certificado SSL

Existem diversos tipos de certificados SSL, categorizados em três tipos: Validador de domínio, de organização e validação estendida.

O tipo “validador de domínio” é o mais básico de todos e mais barato de se comprar. Ele envolve uma segurança básica, são emitidos rapidamente e requisitam um teste básico para verificar o domínio. Por exemplo você pode comprar um certificado SSL para seu domínio seusite.com e apenas ter que verificar recebendo um email de confirmação em [email protected].

O tipo de SSL validador de organização inclui autenticação do negócio por trás do domínio na internet. Isso é uma prova em um nível superior de segurança e dão aos clientes uma segurança em que podem confiar seus dados.

A validação extendida é o topo de linha. A autoridade que emite o certificado conduz uma verificação profunda do negócio antes de aprovar o certificado. Este tipo de SSL dá o maior nível de segurança e confiança.

A empresa Namecheap oferece certificados com preço acessível e um excelente suporte técnico.

Mudando Seu Site WordPress Para HTTPS

Quando você compra um certificado básico de domínio, a empresa precisa enviar um email para um endereço do tipo [email protected] ou [email protected].

Durante o processo de compra, estes são os passos comuns a serem dados:

No seu servidor de hospedagem do site, você deve gerar o CSR (Certificate Signing Request). Existem vários guias na internet mas o processo é bem fácil. Caso você tenha acesso ao terminal do seu servidor, use o seguinte comando:

openssl req -new -newkey rsa:2048 -nodes -keyout mydomain.key -out mydomain.csr

obs: Veja que mydomain.key e mydomain.csr são os nomes dos arquivos gerados e que você deverá usar nas próximas etapas da criação do certificado.

Quando der este comando, algumas perguntas serão feitas, entre elas o “Commom Name”, qual domínio você está criando o certificado. Use sempre o padrão “seusite.com”. Se o seu certificado for do tipo “wildcard”, use “*.seusite.com” no common name.

Dois arquivos texto serão gerados, o com extensão CSR é que nos interessa agora:

Se você der um “cat mydomain.csr” deverá ver o pedido de certificado que você vai usar na empresa que emite o certificado.

O arquivo mydomain.key é a chave privada que será usada no servidor de hospedagem. Guarde ele de forma segura.

Com o certificado CSR em mãos, vá até a empresa de geração de certificados e então começará o processo de validação. Um email para [email protected] ou [email protected] é a maneira mais fácil de validar porém eles oferecem outra que é criar um registro no DNS do seu domínio.

Agora com seu domínio validado a empresa de emissão enviará para você o certificado final para instalação.

Estes arquivos deverão ser instalados na configuração do seu servidor Apache.

Configurar o SSL/HTTP no WordPress

Depois que você instalar seu certificado SSL, reinicie o Apache e use seu navegador para ir até o endereço https://seusite.com

Se tudo estiver funcionando, agora temos que configurar o WordPress para sempre usar o HTTPS mesmo com pedidos de acesso ao conteúdo via HTTP.

Todas a imagens, arquivos de CSS e JavaScript no WordPress são relativos a URL de instalação, por isso os endereços base devem ser alterados de http:// para https://.

Faça login no painel de gerenciamento do seu site WordPress e vá até a parte de Configurações-> Geral.

Altere as duas caixas de texto para que seu domínio tenha o https:// na frente do nome.

wordpress https configurar

Para assegurar que todas as páginas sejam acessadas via SSL, incluindo a de gerenciamento wp-admin, edite o arquivo wp-config.php e inclua o seguinte registro:

define('FORCE_SSL_ADMIN', true);

Caso o seu WordPress utilize conteúdo, imagens, javascript e CSS, armazendos numa CDN, verifique que todas URLs de chamada tenham o https:// na frente, caso contrário o navegador dirá que sua página não está validada por SSL.

Plugin Para Ativar SSL no WordPress

O plugin Really Simple SSL ajuda a configurar de forma fácil todos as questões relativas ao seu certificado. Ele tem uma versão Pro que é paga porém a grátis já ajuda a garantir que todas as páginas do seu site serão acessadas via SSL.

Cadastrar Site SSL no Google Search Console

Com o seu certificado SSL ativo, agora o seu site terá todos os benefícios de segurança e também de posicionamento no ranking do Google.

Para que o Google “enxergue” seu site SSL, é necessário fazer o cadastro dele no Google Search Console.

Lembre-se de cadastrar a URL do seu domínio com e sem o HTTPS, do contrário o Google continuará vendo seu site apenas na versão sem segurança.

Depois de realizar o cadastro no Google Search Console, você poderá acessar diversos relatórios da análise de como o indexador do Google vê o seu site. Com estes relatórios será possível realizar ajustes de problemas e também ver oportunidades de melhorias.