Por que HTTPS e SSL para sites WordPress são absolutamente essenciais

Um certificado SSL é uma medida de segurança que criptografa a conexão entre seu site e o usuário final, ajudando a proteger ambas as partes. Quando instalado em um domínio, o prefixo “https” aparece no endereço da web.

Embora não seja obrigatório, é uma prática recomendada que todos os sites WordPress em um servidor ativo sejam equipados com um certificado SSL. Isso ajuda a aumentar a segurança e a proteger seu site e visitantes de hackers que roubam informações pessoais, quebram seu site e evita a propagação de spam e malware, conforme descrito anteriormente na estatística acima.

Neste post, compartilharei mais detalhes sobre HTTPS e SSL para WordPress, por que é crucial tê-los, bem como uma lista de etapas acionáveis ​​para instalar um certificado SSL em seu site.

O que é SSL e HTTPS?

HTTPS é a extensão segura do Hypertext Transfer Protocol (HTTP), que é o conjunto de regras para transferência de dados entre seu navegador. HTTPS significa que todas as comunicações são criptografadas para evitar acesso não autorizado.

O HTTPS é frequentemente usado para codificar sites que processam detalhes pessoais, como login, vendas e páginas de produtos, bem como formulários.

Secure Socket Layer (SSL) é um tipo de protocolo que o HTTPS usa. Ele pode ser adquirido como um certificado SSL para um domínio. Ele fornece a confirmação de que o domínio está em posse do proprietário do site e a conexão entre o visitante e o site é criptografada.

Quando um site está usando SSL, o prefixo “https” aparece no URL em vez de “http”. Um símbolo de cadeado verde também aparece no campo de endereço. Certos tipos de certificados com um nível de segurança mais alto incluem o nome da empresa ao lado do cadeado.

O SSL está ativado no site Stylemix Themes. Embora um certificado SSL aumente a segurança de um site, ele não garante que um site seja legítimo, pois qualquer pessoa pode instalar um certificado básico, por isso ainda é importante fazer a devida diligência para garantir que você está visitando um site seguro.

Embora, se um endereço de site incluir o prefixo “https”, mas não tiver um certificado SSL instalado, os navegadores mais populares notificarão os usuários com um aviso antes de se conectarem.

Também pode ser importante observar que o Transport Layer Security (TLS) é, na verdade, o precursor do SSL e geralmente é usado de forma intercambiável.

Para obter detalhes, confira um guia detalhado para migração de HTTP para HTTPS no WordPress.

Por que você precisa de SSL para WordPress

Se for necessário acessar cookies ou qualquer tipo de formulário que processe informações de login ou pessoais, incluindo números de cartão de crédito, o SSL para WordPress é absolutamente essencial para evitar que as informações sejam comprometidas.

Tenha em mente que todo site WordPress também requer acesso a cookies por padrão.

Sem um certificado SSL, um site fica vulnerável a ataques como injeções de SQL (SQLI), Cross-site Scripting (XSS), Cross-Site Request Forgery (CSRF), Authentication Bypass, upload de arquivos e muitos outros tipos de ataques. Os hackers podem roubar informações pessoais, sequestrar a conexão do seu navegador, injetar malware ou spam em seu site ou obter acesso para fazer o que quiserem.

Ter um certificado SSL não apenas protege você e seus usuários, mas também pode ajudar a estabelecer confiança entre seu site e seus usuários.

É por isso que em 2014, o Google anunciou que o site com certificados SSL receberia impulsos nas classificações dos mecanismos de pesquisa.

A União Europeia também instituiu o Regulamento Geral de Proteção de Dados em maio de 2018 e, embora a nova lei não mencione especificamente o uso de certificados SSL, exige que os sites garantam suficientemente a segurança e a privacidade de quaisquer visitantes da União Europeia.

Embora um certificado SSL por si só não seja suficiente para garantir a segurança do seu site WordPress, é um primeiro passo crítico.

Como funcionam os certificados SSL?

Quando um site tem um certificado SSL, todas as informações passadas do navegador para o servidor são codificadas em uma série aleatória de letras e números, em vez de em texto simples, que são palavras legíveis por humanos.

Os proprietários de sites podem comprar certificados SSL de uma empresa emissora conhecida como Autoridade de Certificação (CA).

Aqui estão as etapas para obter seu próprio certificado SSL:

1. Adquira um certificado de uma CA.
2. Forneça seus dados pessoais, incluindo seu nome, e-mail e outros detalhes.
3. Você recebe uma chave pública e privada, que são sequências enigmáticas de letras e números que se encaixam matematicamente. Eles são usados ​​para autenticar e criptografar seu domínio durante o processo de instalação. Sua chave privada deve permanecer em segredo.
4. Envie sua chave pública com os detalhes fornecidos anteriormente em uma solicitação de assinatura de certificado (CSR).
5. Se as informações corresponderem e estiverem corretas, o certificado será assinado com um Secure Hash Algorithm (SHA).
6. O certificado SSL é emitido e você pode instalá-lo em seu servidor.

Quando um usuário insere uma URL em um navegador, um handshake SSL ocorre automaticamente:

1. O navegador se conecta a um servidor (um servidor web ou um site) e solicita uma confirmação de identidade.
2. O servidor envia uma cópia de seu certificado SSL, que contém uma chave pública.
3. O navegador verifica o certificado que a Autoridade de Certificação possui, certificando-se de que é respeitável e, em seguida, envia de volta uma chave para a sessão.
4. O servidor descriptografa a chave de sessão com uma chave privada e retorna uma chave de sessão criptografada.
5. O link entre o navegador e o servidor agora é seguro e todos os dados que passam entre eles são criptografados.

Adquirindo um Certificado SSL

Como mencionado anteriormente, os certificados SSL podem ser adquiridos por meio de uma CA e a maioria das empresas de hospedagem de sites também possui certificados disponíveis para compra com um plano de hospedagem.

Existem também diferentes tipos de certificados SSL para diferentes requisitos do site e o nível de segurança necessário, conforme descrito abaixo.

Nível de validação

• Validação de domínio – A CA confirma que a organização detém o domínio do site. Este é um certificado básico.
• Validação da Organização – A organização detentora do certificado é investigada e autenticada.
• Validação Estendida – A CA confirma a identidade, existência legal, localização e muito mais da organização. Este é o nível mais alto de validação para um certificado.

Número de domínios seguros

• SSL de nome único – Protege um único subdomínio ou nome de host
• Wildcard SSL – Para um número ilimitado de subdomínios para um único domínio
• Unified / Multi-site / SAN SSL – Protege até 100 domínios com nomes diferentes

Você também pode emitir e assinar seu próprio certificado SSL, conhecido como certificado autoassinado, mas a maioria dos navegadores não os reconhece como válidos.

Um certificado para habilitar SSL para WordPress pode custar de grátis a $ 800 ou mais por ano, dependendo do tipo de certificado e CA.

Uma opção gratuita não afiliada à hospedagem é o Let's Encrypt, que é uma CA automatizada administrada por uma organização sem fins lucrativos dedicada a tornar a Internet um lugar mais seguro. Let's Encrypt fez parceria com muitos hosts da web diferentes para criar uma instalação rápida e perfeita.

Para obter detalhes, confira o Guia definitivo para tipos de certificados SSL do Server Guy e as 5 principais autoridades de certificação SSL mais populares analisadas.

Configurando SSL para WordPress

Mesmo que você tenha recebido um certificado SSL, isso não significa que seu site será automaticamente seguro. Existem algumas etapas que você precisa seguir primeiro para instalações de um único local e de vários locais e estão descritas em detalhes abaixo.

1. Altere o URL

Antes de instalar seu certificado, você precisa atualizar a URL do seu site.

No painel de administração, vá para Configurações> Geral e altere o endereço do WordPress e o endereço do site para incluir “https” em vez de “http” para instalações únicas do WordPress usando servidores Apache.

Para instalações Multisite, você pode fazer essa alteração no arquivo wp-config.php acima da linha abaixo:

 /* Isso é tudo, pare de editar! Blog feliz. */

Adicione o seguinte código, mas certifique-se de substituir mysite.com pelo seu domínio real:

 define('WP_HOME','https://meusite.com');
define('WP_SITEURL','https://meusite.com');

2. Forçar o uso de SSL

Em seguida, configure seu site para que ele force o uso de SSL para a página de login do WordPress e o painel de administração.

Adicione o código abaixo em seu arquivo wp-config.php, logo acima da linha “happy blogging”:

 define('FORCE_SSL_ADMIN', true);

3. Redirecionar para HTTPS

Por fim, configure um redirecionamento 301 para que os visitantes sejam redirecionados automaticamente para a versão habilitada para SSL do seu site

 Insira este código em seu <em>.htaccess</em> arquivo acima de qualquer código que já exista:


<IfModule mod_rewrite.c>
Rewrite Engine On
Reescrever Cond %{SERVER_PORT} 80
Regra de regravação ^(.*)$ https://www.meusite.com/$1 [R=301,L]
</IfModule>

Certifique-se de substituir www.meusite.com pelo URL do seu site real e digite a porta do servidor correta se a sua não for 80.

Salve todos os seus arquivos e revisite seu site para testá-lo. se você vir um https e um cadeado verde, você instalou com sucesso um certificado SSL em seu site WordPress.

Lembre-se de que, se essas etapas não funcionarem, talvez seja necessário limpar o cache do navegador, site e servidor.

Você também pode optar por automatizar esse processo com um plugin como o Really Simple SSL.

Empacotando

SSL para sites WordPress é uma grande vitória para seus visitantes, pois é o primeiro e crucial passo para proteger seu site.

Você conseguiu instalar um certificado SSL? Houve algum SSL para detalhes do WordPress que foram perdidos? Compartilhe seus pensamentos nos comentários abaixo.