Escolha uma Página

Se você administra um website e utiliza o Google Search Console, você recebeu um email como este:

Isso significa que websites que não tem o protocolo HTTPS ativado e um certificado válido, irão exibir uma mensagem de “Site não seguro” no navegador, algo como a imagem abaixo:

E agora? Como resolver isso, de forma que seu site ofereça um ambiente seguro para seus visitantes?

Nesse post, vou responder as seguintes questões:

  • Por que meu site está inseguro?
  • Onde eu consigo um certificado?
  • Quais tipos de certificado SSL disponíveis?
  • Como ativar HTTPS no WordPress?
  • Por que devo tornar meu site seguro?

Por que meu site está inseguro?

Você está lendo este post, pois o seu navegador enviou uma requisição de conteúdo para o nosso servidor, e ele respondeu de forma apropriada.

A CODE, produziu um vídeo super didático sobre como funciona uma requisição web. Se quiser dê uma olhada aqui.

Acontece que a comunicação feita entre seu navegador e o servidor web pode ser interceptada, e uma vez que alguém tem acesso a essa troca mensagem, é possível que a mensagem seja lida.

A solução então é codificar (criptografar) a mensagem, assim um bisbilhoteiro não consegue decifrar o seu conteúdo.

Engenheiros dedicados trabalham continuamente em padronização e melhorias nos protocolos de comunicação. Desse esforço foi criado o protocolo SSL e seu sucessor TLS.

Para garantir a autenticidade de um servidor, ele deve conter um certificado. Este certificado, basicamente, comprova que ele é quem diz ser!

Isso é possível, pois existem entidades específicas em que confiamos para regularem e emitirem os certificados. Dessa forma, dizemos que o site é seguro (ou não) quando o servidor que ele está instalado tem este certificado ativo.

Grace Hopper Academy publicou uma palestra interessante sobre como funciona HTTP e SSL. Se quiser veja neste link.

Outra indicação é este vídeo do canal  TheCuriousEngineer.

É possível identificar um website seguro, a partir da sinalização que seu navegador irá exibir. Algo como na imagem abaixo:

Onde eu consigo um certificado?

Sua hospedagem web é o melhor caminho: Para conseguir um certificado, você deve verificar em sua hospedagem web se eles oferecem um plano com certificado SSL incluso.

Quais tipos de certificado SSL disponíveis?

Domain Validation (DV) – Validação de domínio

Este tipo de certificado é o mais simples e também o que tem o processo de emissão mais rápido, levando em média 30 minutos para ativá-lo.

O processo de validação do domínio é feito por e-mail, verificando se a pessoa que solicitou o certificado possui acesso administrativo as contas de e-mail do seu domínio.

Organization Validation (OV) – Validação de organização

Será necessário confirmar dados como telefone, endereço, CNPJ e nome fantasia da sua empresa, assim você demonstra um nível maior de garantia aos visitantes do seu website, comprovando que sua organização realmente existe.

Extended Validation (EV) – Validação estendida

Estes certificados possuem o maior grau de validação, com a necessidade de enviar documentos físicos da sua organização, além dos dados solicitados no tipo de validação de organização.

Sua emissão leva em média 5 dias considerando o tempo de entrega dos documentos e a ligação de confirmação da própria certificadora (call-back).

A SecNet fez um artigo legal sobre os tipos de certificado SSL aqui.

Let’s Encrypt (Grátis)

A Let’s Encrypt é uma autoridade de certificação global. Eles permitem que pessoas e empresas ao redor do mundo obtenham, renovem e gerenciem certificados SSL/TLS. Eles oferecem certificados de domínio (DV), pois é automático.

Muitas hospedagens já oferecem planos integrados com esta tecnologia. Vale a pena conferir antes de contratar um ssl pago.

Site oficial do Let’s Encrypt

Como ativar HTTPS no WordPress?

A seguir, vou te mostrar um roteiro que você pode seguir para configurar seu site.

1. Certifique-se que seu certificado é valido

Acesse seu site, com o https:// na frente. Em seguida, clique no ícone de informações ao lado do endereço do seu site.

Abrirá uma janela com informações de segurança. Clique no item “Certificado”.

Aparecerá uma outra janela, com o certificado e o status:

2. Instale o plugin Really Simple SSL

Instale o plugin Really Simple SSL. Caso ainda não saiba como instalar um plugin, clique aqui.

Após a instalação, aparecerá uma mensagem para que você confirme a ativação do SSL:

O que este plugin faz?

Segundo palavras do autor:

  • O plugin lida com vários problemas que o WordPress tem com SSL, como quando você utiliza um proxy reverso/load balancer, ou quando não são informados cabeçalhos http que o WordPress utiliza para detectar o SSL.
  • Todas as requisições que chegam até o site são redirecionadas para HTTPS. Por padrão, utiliza o redirecionamento do WordPress, mas pode utilizar .httaccess quando ativado.
  • As urls do site e do WordPress (informadas na página “Configurações”) são alteradas para HTTPS.
  • Seu conteúdo é corrigido alterando todas ocorrências de HTTP:// nas urls para HTTPS://, exceto urls para outros domínios. Tudo de forma dinâmica, não alterando o banco de dados (exceto as urls do seu site).

Veja os erros encontrados um site meu, antes de instalar o plugin:

Após o plugin ativado, os erros se foram! 🙂 🙂 🙂

3. Corrigir manualmente erros que o plugin não conseguir resolver

Ainda que o plugin resolva a maioria dos casos, alguns itens pode precisar de sua atenção. Em geral são imagens de fundo ou caminhos inseridos manualmente em seu código.

Caso você não esteja vendo o status de seguro no seu navegador, a causa do erro pode ser verificada no console do navegador. Caso você utilize Google Chrome, vá no menu Visualizar > Desenvolvedor > Ferramentas do Desenvolvedor.

Muito provavelmente você verá o erro abaixo:

Mixed Content significa que, apesar de seu site estar sendo exibido em protocolo HTTPS, algum recurso (imagens e outros) está sendo carregado de protocolo HTTP.

Para resolver, você deve navegar pelo seu tema ou plugins, e corrigir o endereço manualmente.

No nosso caso, o site estava carregando a imagem de url “http://www.sitemodelo.wprocks.com.br/wp-content/uploads/2018/04/cafe-computador.jpeg“, que é a imagem de fundo daquela seção.

Nós usamos o tema Divi, que vem com o construtor de páginas Divi Builder. Então, fomos até a seção e redefinimos a imagem, para que ele atualizasse o endereço.

Erro: “Too many redirects” / “Redirect Loop”

Caso você utilize um sistema para controlar o acesso ao conteúdo (ex: Cloudflare), você pode ter se deparado com este erro.

Para resolver, você pode adicionar o código abaixo em seu arquivo WP-CONFIG.PHP, que fica na pasta raiz do seu site WordPress:

if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https')
$_SERVER['HTTPS'] = 'on';

Por que devo tornar meu site seguro?

Queremos tornar o mundo um lugar mais seguro. A Google, especialmente, toma a frente e considera como fator positivo, quem utiliza SSL em seu site. Isso te garante alguns pontinhos extras na hora de rankear nas buscas.

Outro ponto é que se você tem um site de e-commerce, então é imprescindível que você tenha um certificado SSL. Isso garante o sigilo dos dados para realização das compras.

Por último, você pode se livrar do aviso “inconveniente” de que seu site não é seguro, espantando visitantes. 🙁

Conclusão

Fico por aqui! Espero ter lhe ajudado. Se você seguiu o roteiro e não conseguiu ativar o HTTPS em seu site, deixe sua dúvida nos comentários. Grande abraço!

Share This