O guia definitivo para HTTPS e SSL para WordPress

Você provavelmente notou nos últimos anos que muitos de seus sites favoritos mudaram de endereços HTTP para HTTPS. A carta adicionada, embora acrescente muito pouco tempo e esforço para digitar, agrega imenso valor e segurança a esses sites. Ter um site HTTPS WordPress não apenas tornará sua empresa mais confiável para os visitantes, mas também terá uma classificação mais elevada nas pesquisas.

O que é HTTPS?

Se HTTP significa protocolo de transferência de hipertexto . HTTPS significa protocolo de transferência de hipertexto seguro . O Mozilla Developer Network (MDN) tem uma definição fantástica e simples para o protocolo:

HTTPS ( HTTP Secure ) é uma versão criptografada do protocolo HTTP. Geralmente usa SSL ou TLS para criptografar todas as comunicações entre um cliente e um servidor. Esta conexão segura permite que os clientes troquem dados confidenciais com segurança com um servidor, por exemplo, para atividades bancárias ou compras online.

Se você já ouviu falar em criptografia de ponta a ponta, é isso. Apenas os dois clientes envolvidos na transação podem ler os dados. Qualquer um que possa interceptá-lo verá uma confusão distorcida de caracteres que são teoricamente indecifráveis.

Parece muito bom, certo? Então, como se obtém esse campo de força digital? Via SSL.

O que é SSL?

SSL significa secure sockets layer e, mais uma vez, o MDN pode explicá-lo melhor do que qualquer pessoa por aí:

[SSL] é um protocolo usado por aplicativos para se comunicarem com segurança em uma rede, evitando adulteração e interceptação de e-mail, navegação na web, mensagens e outros protocolos.

Todos os navegadores modernos suportam o protocolo TLS, exigindo que o servidor forneça um certificado digital válido confirmando sua identidade para estabelecer uma conexão segura. É possível que o cliente e o servidor se autentiquem mutuamente se ambas as partes fornecerem seus próprios certificados digitais individuais.

Esses certificados já foram incrivelmente caros e fora do alcance de quase todos, exceto dos maiores sites. Você veria o cadeado verde em sites como Amazon e Twitter, mas todos os dias, sites WordPress comuns (como a maioria dos nossos) não podiam pagar os milhares de dólares que custam para comprar o certificado.

Para a sorte de todos nós, à medida que os certificados SSL se tornaram mais necessários para classificar e realmente conduzir os negócios, o preço não apenas caiu como desapareceu completamente para a maioria dos sites. Existem vários serviços que oferecem certificados SSL gratuitos, incluindo a maioria dos hosts. Você pode obter um certificado SSL do WordPress com bastante facilidade e sem muito trabalho.

Como obter um certificado SSL WordPress grátis

Inscreva-se no nosso canal no Youtube

O principal provedor de certificados SSL gratuitos hoje em dia vem de um serviço chamado Let's Encrypt.

Ao usar seus serviços, você obtém todos os benefícios de ter um certificado SSL sem gastar um único centavo. E aqui está a melhor parte: a maioria dos principais provedores de hospedagem está fazendo parceria com a Let's Encrypt para tornar a instalação de um certificado SSL totalmente fácil.

Você pode obter um certificado SSL grátis no Let's Encrypt de uma das duas maneiras.

Opção 1. Instale seu certificado SSL grátis de sua conta de host (com suporte)

Como mencionei, muitos hosts estão fazendo parceria com Let's Encrypt para adicionar certificados SSL gratuitos diretamente nos painéis cPanel de seus clientes ou no próprio painel do host. Por exemplo, se você estiver hospedando no SiteGround (como eu), poderá instalar um certificado SSL em cerca de dois segundos. No site de login principal, vá para a guia Minhas contas e em Serviços extras . Você deve ver uma seção chamada Let's Encrypt Certificates e pode gerenciá-los e instalá-los onde quiser clicando no botão View All .

Além disso, você pode clicar no botão Go to cPanel e encontrar o logotipo Let's Encrypt sob o título Segurança . Ele leva você para a mesma página que Visualizar tudo .

A partir daí, você verá uma lista de todos os seus certificados instalados. Se esta for sua primeira vez, você não verá nenhum. Você deve, no entanto, ver algo assim:

Quer você instale um curinga (para todos os subdomínios no pai) ou não, quando você pressiona o botão Instalar , seu certificado SSL do WordPress está a caminho.

O servidor irá processar sua nova instalação de certificado SSL do WordPress. Mole-mole. Você está quase pronto. Ainda precisamos configurá-lo, no entanto. Que está abaixo na próxima seção.

Além disso, leia esta lista completa de hosts da Web que oferecem suporte direto para o Let's Encrypt. O processo para a maioria dos hosts suportados deve ser semelhante ao SiteGround. Além disso, alguns hosts podem cobrar pelo uso do Let's Encrypt. É um tipo de cobrança falsa, honestamente, e muitos hosts que cobram estão recusando a taxa, já que o Google torna o SSL o padrão da web. Se o seu não oferecer gratuitamente, pode ser hora de considerar um host diferente, porque eles não têm os seus melhores interesses em mente.

Opção 2. Use “SSL For Free” para configurar manualmente seu certificado Let's Encrypt

Se o seu host não suportar o Let's Encrypt, você ainda poderá obter o seu certificado SSL gratuito usando um site chamado SSL For Free.

O site o ajudará a configurar os certificados do Let's Encrypt. Porém, você precisará de acesso aos detalhes do FTP do seu site e, potencialmente, do suporte do seu host. Embora esse método funcione, é muito prático e pode ser necessário renovar manualmente seu certificado quando ele expirar. Por isso, você deve tentar encontrar um host que ofereça suporte direto para o Let's Encrypt porque simplifica muito o processo. Se você não puder por um motivo ou outro, SSL For Free é sua melhor segunda opção.

Além disso, você pode obter certificados SSL gratuitos do Cloudflare e do FreeSSL. Cloudflare oferece um certificado SSL compartilhado em seu plano gratuito. Se você já estiver usando o Cloudflare, essa é uma ótima maneira de colocar seu site em funcionamento com HTTPS. Então há FreeSSL. Embora ainda não esteja publicamente disponível, este é um projeto de certificado SSL gratuito da Symantec. Organizações sem fins lucrativos ou startups podem obter o FreeSSL agora mesmo. Caso contrário, você pode se inscrever para ser notificado quando se tornar público.

Se você optar por seguir esse caminho e instalar o certificado manualmente, a Sucuri tem um guia fantástico que o guiará passo a passo pelo processo de instalação. Lembre-se, porém, de que a instalação manual do SSL exigirá que você use a linha de comando, edite os arquivos do WordPress Core e trabalhe com trabalhos CRON. Se isso não soa como sua ideia de um dia divertido no trabalho, deixe-me encaminhá-lo para a Opção 1 acima.

Como configurar seu certificado SSL grátis com WordPress

Não importa como você escolha obter o certificado, uma vez instalado, os usuários poderão visualizar uma versão segura do seu site acessando https://seusite.com. Mas só porque sua conexão HTTPS do WordPress está ativa não significa que você terminou. (Mas você quase está.)

Para configurar corretamente o HTTPS do WordPress para funcionar com seu certificado SSL, você precisa fazer algumas alterações. Você pode fazer isso manualmente ... ou você pode usar um plugin incrível que faz tudo para você. É chamado Really Simple SSL e faz jus ao seu nome.

O plugin trata de todo o processo. Basta instalá-lo e ativá-lo. Esteja ciente - você será desconectado naturalmente do WordPress quando executar o plug-in pela primeira vez. Isso ocorre porque o plug-in altera seu URL padrão de “http: //” para “https: //.” Tudo que você precisa fazer é fazer login novamente com suas credenciais de login normais. Não precisa se alarmar!

Depois de fazer o login novamente, você verá que o plug-in já fez as alterações necessárias. As opções padrão geralmente são boas o suficiente. Você os encontra em Configurações - SSL .

E se isso não for bom o suficiente, e você quiser ajustar um pouco mais, a guia Configurações está no topo.

A opção com a qual você provavelmente estará mais preocupado é a primeira: substituir automaticamente o conteúdo misto . A caixa deve ser marcada por padrão. Se não, verifique. Em seguida, salve a página.

Agora, você está pronto para ir. Você instalou e ativou WordPress HTTPS e WordPress SSL com sucesso. Parabéns!

Solução de problemas comuns de HTTPS / SSL

Só porque as coisas estão instaladas e prontas não significa necessariamente que estejam funcionando perfeitamente. Você pode ter alguns problemas em seu site. Os sites HTTPS do WordPress são fáceis de solucionar, no entanto. Vamos examinar as soluções para alguns dos problemas mais comuns.

Em algum ponto, depois de configurar o SSL em seu site e mudar para WordPress HTTPS, você pode acabar vendo algumas imagens corrompidas em seu site. Imagens e conteúdo que antes apareciam perfeitamente em seu site podem não ser exibidos como se não existissem. Não se preocupe. Você não fez nada de errado. Seu site apenas pensa que essas imagens são inseguras (não são), então você quer ter certeza de que o SSL do WordPress está configurado para exibir conteúdo misto.

Existem dois tipos diferentes de conteúdo misto de site. Um deles é conhecido como conteúdo e resultados ativos combinados quando o HTTPS carrega um script na parte superior do HTTP. Este é um grande não, mas não é o que está acontecendo aqui. O outro tipo de conteúdo misto é conhecido como conteúdo de exibição misto e ocorre quando o conteúdo que usa uma conexão HTTP é carregado em um site HTTPS. Embora você possa não ter carregado ativamente nenhuma imagem em seu site usando HTTP, havia algo dentro do WordPress que fazia com que fossem reconhecidas como tal.

Basicamente, algo em seu site não gostou que você tenha acessado HTTPS e, em vez disso, esteja forçando automaticamente o HTTP para eles. O que os renderiza ... bem, não os renderiza. Então, vamos consertar isso.

A primeira e mais consistente maneira de abordar o conteúdo de exibição mista é usar o plug-in WordPress SSL Insecure Content Fixer.

Sempre que você instalar e ativar o plug-in, o erro de conteúdo misto pode desaparecer imediatamente. Por padrão, o plug-in será definido para o conjunto de regras Simples dentro de suas configurações (encontradas em Configurações - Conteúdo inseguro de SSL em seu painel de administração WP). Você pode ajustar o quão rigorosas são as regras que segue, até forçar HTTPS em todas as chamadas AJAX, mas na maioria das vezes, o Simple funcionará bem. Em minha experiência com esse problema específico, o Simple sempre funcionou. Mas sua milhagem pode variar.

Se você ainda estiver exibindo conteúdo misto

Abra o seu site, clique com o botão direito e selecione Exibir código - fonte da página ou pressione CTRL / CMD - U. Você verá o código-fonte da página que está olhando. Neste ponto, pressione CTRL / CMD - F e faça uma busca por src="http . Sim, com apenas uma citação. Você está bem e pode seguir em frente se vir 0.0.

Se você obtiver algum resultado retornado, isso significa que o site está puxando de uma fonte HTTP, não HTTPS. Para consertar isso, você precisa cavar em seu banco de dados (mas este é fácil e qualquer pessoa pode fazer isso).

O plugin Better Search and Replace basicamente permite que você trabalhe em seu banco de dados por meio do painel de administração do WordPress. Você não tem que lidar com nenhum SQL ou PHP ou qualquer outra coisa. É uma página padrão do WordPress que funciona como um típico localizar e substituir que você provavelmente usou uma dúzia de vezes em processadores de texto.

Temos um guia completo do plug-in que você pode ler aqui, mas a análise para corrigir seu erro de conteúdo misto SSL do WordPress também é bastante simples.

1. Baixe, instale e ative o plugin
2. Faça um backup do seu site
3. Navegue até Ferramentas - Melhor Pesquisa Substitua em seu banco de dados WordPress
4. No campo Pesquisar por , insira o URL do seu site com http: // no início
5. No campo Substituir por , insira o URL do seu site com https: //
6. Destaque todas as tabelas do banco de dados com CTRL / CMD-A
7. Certifique-se de que Executar como simulação? está checado. Fazendo isso, você garante que nenhum erro danifique seu site e possa ser corrigido de antemão
8. Pressione o botão Executar Pesquisa / Substituir

Se tudo correr conforme o planejado, o teste demonstrará que sua busca e substituição serão bem-sucedidas e você pode executá-la de verdade.

Redirecionando HTTP para HTTPS

Agora, isso deve ter corrigido seus problemas de conteúdo de exibição mista. No entanto, provavelmente você ainda deseja ter certeza de que seu site é o mais HTTPS possível para evitar outros problemas. Um desses problemas é quando um site tem um backlink para a versão HTTP do seu site, mas na verdade você está executando a nova versão HTTPS aprimorada. Tecnicamente, eles contam como dois sites , e seu link antigo pode parecer inseguro para alguns usuários. Portanto, a próxima etapa é verificar suas Configurações - Opções gerais . Certifique-se de que o endereço do seu site esteja definido como HTTPS. Se não, faça isso e clique em Salvar. (O site irá desconectá-lo. Tudo bem.)

Depois disso, você precisará entrar em seu cliente FTP e abrir seu arquivo .htaccess . Ele estará localizado no diretório raiz da instalação do WordPress.

Você vai querer baixar uma cópia disso como um backup e, em seguida, abri-lo em seu editor de código favorito (o meu é Sublime Text). No início do arquivo ( não entre as tags # BEGIN / END WordPress ), adicione o código a seguir. (Obrigado ao Dreamhost pelo código em si.)

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] 

Isso redirecionará seus antigos URLs de HTTP para as versões HTTPS à medida que seu site é carregado. Observe que no código que você está colocando [L, R = 301] , é um redirecionamento 301 permanente através do arquivo .htaccess . Você não precisará de um plugin de redirecionamento 301 se fizer isso. Pelo menos para o domínio principal.

Agora, lembra quando eu disse que eles contam como dois sites? Isso corrige isso. Você forneceu ao novo site HTTPS WordPress todo o link-juice e classificação de pesquisa que seu site HTTP tinha. Agora, certifique-se de mantê-lo dizendo ao Big Daddy G (esse é o meu apelido para o Google atualmente) que você se mudou para um local mais seguro. Agora é hora de carregar o Google Search Console.

Mesmo se você já tiver a versão HTTP do seu site registrada no Google Search Console, adicione o novo site HTTPS do WordPress como uma nova propriedade.

O Search Console exibirá um modal solicitando o URL completo do site. É aqui que você deve se certificar de inserir a versão HTTPS. Observe que até mesmo o modal informa que são propriedades separadas, apenas para que você saiba como essa etapa é importante.

Em seguida, você passará pelo processo de verificação da propriedade normalmente. Quando você terminar com isso, o Google saberá que você bloqueou seu site de olhares indiscretos.

Depois de verificar com o Google e configurar o Search Console com sua nova propriedade, bem-vindo ao seu novo site HTTPS do WordPress. Você deve estar livre e livre de erros com os quais possa lidar sozinho.

Erros SSL do WordPress com plug-ins e temas

Se você ainda tiver erros neste ponto, há uma boa chance de que ele esteja fora de seu controle. Um plugin ativo ou seu tema é o culpado mais provável. Para ver qual pode ser, clique com o botão direito na sua página e selecione Inspecionar no menu. Você também pode pressionar CTRL-SHIFT-I para abrir as ferramentas de desenvolvedor. Olhe ao redor até ver a guia rotulada Console . Se houver erros, você os verá destacados em vermelho.

Ao observar os erros, você poderá ver de que tipo eles são. Se houver algum rotulado como Conteúdo misto , você pode consultar o URL do arquivo fornecido para ver qual parte de sua instalação é responsável. Você pode identificá-lo facilmente. Será o seu tema ou um plugin da saída do erro.

Agora, já que você sabe o que está causando o erro. A melhor coisa que você pode fazer é relatar isso ao autor do plugin ou tema. Muitos têm fóruns de suporte ou equipes de chat ao vivo exatamente por esse motivo. Recomendo que você relate aos autores por alguns motivos.

O primeiro é que mexer nos arquivos de plug-ins e temas pode ser bem desagradável. Especialmente se você não for um desenvolvedor. Embora você possa ajustar os arquivos de tema com muito mais facilidade graças aos temas filhos, ainda tem a chance de quebrar algo importante que talvez não conheça. E quando se trata de plug-ins ... bem, nunca sugerimos vasculhar os arquivos de plug-ins. Pode ser ainda mais desagradável do que os temas às vezes.

A segunda razão é que você não está sozinho neste problema. Tu tens isso. Outras pessoas também têm. É assim que essas coisas funcionam. Portanto, o desenvolvedor precisa saber sobre isso e fornecer uma correção por meio de uma atualização. Portanto, você não apenas se ajudou com um problema, como também contribuiu para um bem maior e pode se sentir muito bem consigo mesmo.

Avisos de certificado inválido

Ocasionalmente, um usuário pode informar que seu site está exibindo um certificado inválido ou expirado. Isso não é grande coisa. É uma solução fácil. Em geral, para corrigir um certificado expirado (ou para renovar um), você só precisa seguir as etapas na seção acima intitulada “Instale seu certificado SSL gratuito de sua conta de host (com suporte)”. Na maioria dos casos, isso funcionará. Caso contrário, certifique-se de instalar o Certificado curinga, pois pode estar recebendo o erro devido a um nome de domínio incompatível.

Se isso não funcionar, entre em contato com seu anfitrião. Como eu disse antes, estou pessoalmente no SiteGround. E quando eu tive esse problema com meu SSL não renovando automaticamente, a equipe de suporte corrigiu em meia hora. Isso obviamente mudará de host para host, mas eles querem seu site online quase tanto quanto você.

Erro “Muitos redirecionamentos”

E apenas no caso de o redirecionamento 301 em seu arquivo .htaccess não impedir isso (deveria), você pode ocasionalmente receber o erro em que seu site fica preso em um loop infinito entre seu site HTTP e seu site HTTPS. Felizmente, essa solução é quase tão fácil quanto o certificado inválido. Você só precisa abrir seu cliente FTP e encontrar seu arquivo wp-config.php na mesma pasta em que seu .htaccess estava. Abra este no seu editor de código favorito também. Adicione o seguinte código ao final do arquivo:

/** Prevent Too Many Redirects Loop **/
define('WP_HOME','https://mywebsite.com');
define('WP_SITEURL','https://mywebsite.com');
$_SERVER['HTTPS'] = 'on';

Salve e envie-o de volta para o servidor. Seu site agora deve parar onde deveria.

Concluindo com WordPress HTTPS e SSL

Eu sei que é muito para entender. Mas o HTTPS do WordPress é realmente importante para a viabilidade do seu site no futuro. Os usuários confiam mais em você. E talvez o mais importante, o Google também confiará mais em você. Agora você está configurado para corrigir erros de conteúdo misto, lidar com a expiração e renovação do certificado SSL, editar seus arquivos .htaccess e wp-config.php e até mesmo mexer no banco de dados do seu site. Neste ponto, você bloqueou seu site. Quando algo quebra com o SSL do WordPress, você pode consertar. Dê tapinhas nas costas, vá tomar um drink e descanse bem sabendo que seu site está são e salvo.

Quais problemas com o SSL do WordPress você teve no passado e como você os solucionou?

Imagem de destaque do artigo por supercaps / shutterstock.com