Se você administra um website e utiliza o Google Search Console, você recebeu um email como este:
Isso significa que websites que não tem o protocolo HTTPS ativado e um certificado válido, irão exibir uma mensagem de “Site não seguro” no navegador, algo como a imagem abaixo:
E agora? Como resolver isso, de forma que seu site ofereça um ambiente seguro para seus visitantes?
Nesse post, vou responder as seguintes questões:
- Por que meu site está inseguro?
- Onde eu consigo um certificado?
- Quais tipos de certificado SSL disponíveis?
- Como ativar HTTPS no WordPress?
- Por que devo tornar meu site seguro?
Por que meu site está inseguro?
Você está lendo este post, pois o seu navegador enviou uma requisição de conteúdo para o nosso servidor, e ele respondeu de forma apropriada.
A CODE, produziu um vídeo super didático sobre como funciona uma requisição web. Se quiser dê uma olhada aqui.
Acontece que a comunicação feita entre seu navegador e o servidor web pode ser interceptada, e uma vez que alguém tem acesso a essa troca mensagem, é possível que a mensagem seja lida.
A solução então é codificar (criptografar) a mensagem, assim um bisbilhoteiro não consegue decifrar o seu conteúdo.
Engenheiros dedicados trabalham continuamente em padronização e melhorias nos protocolos de comunicação. Desse esforço foi criado o protocolo SSL e seu sucessor TLS.
Para garantir a autenticidade de um servidor, ele deve conter um certificado. Este certificado, basicamente, comprova que ele é quem diz ser!
Isso é possível, pois existem entidades específicas em que confiamos para regularem e emitirem os certificados. Dessa forma, dizemos que o site é seguro (ou não) quando o servidor que ele está instalado tem este certificado ativo.
A Grace Hopper Academy publicou uma palestra interessante sobre como funciona HTTP e SSL. Se quiser veja neste link.
Outra indicação é este vídeo do canal TheCuriousEngineer.
É possível identificar um website seguro, a partir da sinalização que seu navegador irá exibir. Algo como na imagem abaixo:
Onde eu consigo um certificado?
Sua hospedagem web é o melhor caminho: Para conseguir um certificado, você deve verificar em sua hospedagem web se eles oferecem um plano com certificado SSL incluso.
Quais tipos de certificado SSL disponíveis?
Domain Validation (DV) – Validação de domínio
Este tipo de certificado é o mais simples e também o que tem o processo de emissão mais rápido, levando em média 30 minutos para ativá-lo.
O processo de validação do domínio é feito por e-mail, verificando se a pessoa que solicitou o certificado possui acesso administrativo as contas de e-mail do seu domínio.
Organization Validation (OV) – Validação de organização
Será necessário confirmar dados como telefone, endereço, CNPJ e nome fantasia da sua empresa, assim você demonstra um nível maior de garantia aos visitantes do seu website, comprovando que sua organização realmente existe.
Extended Validation (EV) – Validação estendida
Estes certificados possuem o maior grau de validação, com a necessidade de enviar documentos físicos da sua organização, além dos dados solicitados no tipo de validação de organização.
Sua emissão leva em média 5 dias considerando o tempo de entrega dos documentos e a ligação de confirmação da própria certificadora (call-back).
A SecNet fez um artigo legal sobre os tipos de certificado SSL aqui.
Let’s Encrypt (Grátis)
A Let’s Encrypt é uma autoridade de certificação global. Eles permitem que pessoas e empresas ao redor do mundo obtenham, renovem e gerenciem certificados SSL/TLS. Eles oferecem certificados de domínio (DV), pois é automático.
Muitas hospedagens já oferecem planos integrados com esta tecnologia. Vale a pena conferir antes de contratar um ssl pago.
Como ativar HTTPS no WordPress?
A seguir, vou te mostrar um roteiro que você pode seguir para configurar seu site.
1. Certifique-se que seu certificado é valido
Acesse seu site, com o https:// na frente. Em seguida, clique no ícone de informações ao lado do endereço do seu site.
Abrirá uma janela com informações de segurança. Clique no item “Certificado”.
Aparecerá uma outra janela, com o certificado e o status:
2. Instale o plugin Really Simple SSL
Instale o plugin Really Simple SSL. Caso ainda não saiba como instalar um plugin, clique aqui.
Após a instalação, aparecerá uma mensagem para que você confirme a ativação do SSL:
O que este plugin faz?
Segundo palavras do autor:
- O plugin lida com vários problemas que o WordPress tem com SSL, como quando você utiliza um proxy reverso/load balancer, ou quando não são informados cabeçalhos http que o WordPress utiliza para detectar o SSL.
- Todas as requisições que chegam até o site são redirecionadas para HTTPS. Por padrão, utiliza o redirecionamento do WordPress, mas pode utilizar .httaccess quando ativado.
- As urls do site e do WordPress (informadas na página “Configurações”) são alteradas para HTTPS.
- Seu conteúdo é corrigido alterando todas ocorrências de HTTP:// nas urls para HTTPS://, exceto urls para outros domínios. Tudo de forma dinâmica, não alterando o banco de dados (exceto as urls do seu site).
Veja os erros encontrados um site meu, antes de instalar o plugin:
Após o plugin ativado, os erros se foram! 🙂 🙂 🙂
3. Corrigir manualmente erros que o plugin não conseguir resolver
Ainda que o plugin resolva a maioria dos casos, alguns itens pode precisar de sua atenção. Em geral são imagens de fundo ou caminhos inseridos manualmente em seu código.
Caso você não esteja vendo o status de seguro no seu navegador, a causa do erro pode ser verificada no console do navegador. Caso você utilize Google Chrome, vá no menu Visualizar > Desenvolvedor > Ferramentas do Desenvolvedor.
Muito provavelmente você verá o erro abaixo:
Mixed Content significa que, apesar de seu site estar sendo exibido em protocolo HTTPS, algum recurso (imagens e outros) está sendo carregado de protocolo HTTP.
Para resolver, você deve navegar pelo seu tema ou plugins, e corrigir o endereço manualmente.
No nosso caso, o site estava carregando a imagem de url “http://www.sitemodelo.wprocks.com.br/wp-content/uploads/2018/04/cafe-computador.jpeg“, que é a imagem de fundo daquela seção.
Nós usamos o tema Divi, que vem com o construtor de páginas Divi Builder. Então, fomos até a seção e redefinimos a imagem, para que ele atualizasse o endereço.
Erro: “Too many redirects” / “Redirect Loop”
Caso você utilize um sistema para controlar o acesso ao conteúdo (ex: Cloudflare), você pode ter se deparado com este erro.
Para resolver, você pode adicionar o código abaixo em seu arquivo WP-CONFIG.PHP, que fica na pasta raiz do seu site WordPress:
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https') $_SERVER['HTTPS'] = 'on';
Por que devo tornar meu site seguro?
Queremos tornar o mundo um lugar mais seguro. A Google, especialmente, toma a frente e considera como fator positivo, quem utiliza SSL em seu site. Isso te garante alguns pontinhos extras na hora de rankear nas buscas.
Outro ponto é que se você tem um site de e-commerce, então é imprescindível que você tenha um certificado SSL. Isso garante o sigilo dos dados para realização das compras.
Por último, você pode se livrar do aviso “inconveniente” de que seu site não é seguro, espantando visitantes. 🙁
Conclusão
Fico por aqui! Espero ter lhe ajudado. Se você seguiu o roteiro e não conseguiu ativar o HTTPS em seu site, deixe sua dúvida nos comentários. Grande abraço!

“Interneteiro” desde que sites bonitos eram feitos em frames, recheados de Java Applets que eram animações que pareciam fogos de artifício… Antes até das tabelas! De lá para cá muita coisa mudou, mas a essência da internet continua a mesma: Dar liberdade ao indivíduo.
- Autor no WP Rocks
- Desenvolvedor no WTF Studio Web