No artigo de hoje vamos mostrar como é fácil e rápido configurar e usar o protocolo SSL em seu site WordPress. Seguindo o passo a passo abaixo é possível habilitar a tecnologia HTTPS em seu site e torna-lo mais seguro, além também de evitar a exibição do aviso de site “Não seguro” no Google Chrome.
O SSL é um dos protocolos de segurança mais utilizados na Internet, principalmente em sites de comércio virtual. Nesse aspecto, o SSL é um protocolo para garantir a segurança e autenticidade em comunicações entre o cliente e o servidor. Tal protocolo é essencial, ainda mais quando falamos de segurança de dados relacionadas a transações online, como compras em cartão de crédito e boletos bancários.
Diante disso, ativar e usar um certificado SSL permite a troca de mensagens de forma segura, com criptografias extremamente sofisticadas. Por essa razão, nesse tutorial explicaremos detalhadamente como você pode configurar o protocolo SSL em seu site no WordPress, tudo isso de maneira simples e prática, para que você não tenha nenhum problema com a implementação do mesmo.
O que é SSL?
O SSL (também conhecido como Secure Socket Layer) é um padrão global que permite a troca de dados de forma segura. Assim, o SSL garante a comunicação criptografada na comunicação entre o cliente e o servidor. Desse modo, caso um invasor tente interceptar os dados no meio do caminho, ele não irá conseguir, pois as informações estarão totalmente cifradas e somente o emissor ou o receptor podem decifra-la.
Para que isso seja feito, o aplicativo do cliente (que é o navegador de Internet) solicita o envio de um certificado digital (ou certificado SSL) para confirmar que essa comunicação é segura e que o site é autentico. Assim, a verificação do certificado SSL serve para checar se essa comunicação é confiável e conhecida.
Diante disso, caso tais informações sejam confirmadas, a comunicação entre o servidor pode ser feita sem nenhum problema. Em caso de uma comunicação insegura, o navegador automaticamente informa isso para o usuário.
Talvez você deve ter visto a mensagem “... esse site possa ser inseguro” ao acessar um site desconhecido. Essa mensagem aparece em caso de uma não validação do certificado SSL, assim o navegador não pode confirmar se o site é realmente autentico ou não.
Nesses conformes, o SSL está ganhando cada vez mais força. Claro, ainda existem sites que não implementam o protocolo SSL, mas ele é realmente importante, ainda mais em um ambiente virtual, onde as ameaças podem ser invisíveis.
Quando tratamos de compras online, garantir a autenticidade e a segurança de dados dos clientes é primordial, visto que estamos trabalhando com transações bancárias, que podem ser violadas por uma interceptação externa de dados.
Além desses fatores, a tecnologia SSL é muito importante na questão de ranking. Assim, não utilizar um certificado SSL pode diminuir a pontuação, fazendo com que ele fique sempre em posições mais baixas em uma busca no Google por exemplo.
Com base nesses assuntos, podemos resumir o funcionamento do protocolo SSL da seguinte maneira:
- Primeiro passo – ao visitar um site seguro, o cliente (navegador) envia uma solicitação de sessão segura para verificar a autenticidade do servidor;
- Segundo passo – então, quando o servidor recebe tal solicitação, ele deve enviar um certificado digital (certificado SSL) ao solicitante;
- Terceiro passo – em seguida, o cliente deve autentificar o certificado SSL recebido com base em uma lista de certificados conhecidos;
- Quarto passo – após a verificação do certificado, o cliente gera automaticamente e randomicamente uma chave para criptografia de dados, tal chave é utilizada para que o servidor e o cliente consigam se comunicar;
- Quinto passo – por fim, depois de todas as verificações, o cliente e o servidor podem se comunicar de forma segura, com criptografia de dados até que a sessão seja encerrada.
Certificados SSL
Antes de mais nada, a primeira coisa a se fazer é solicitar um certificado SSL (HTTPS). Essa solicitação pode ser feita diretamente com o seu serviço de hospedagem, o preço disso irá depender do plano contratado.
Em grande parte das vezes, o preço costuma ser bem acessível, em outros casos, os certificados são gratuitos, oferecidos em conjunto com o seu plano. Com base nesse fato, as empresas de hospedagem podem oferecer diferentes tipos de certificados SSL, são eles:
- SSL empresarial – esse é o mais avançado da lista, recomendado principalmente para sites voltados para e-commerce e sites que trabalham com transações bancárias, como serviços de internet banking. Este tipo de certificado costuma incluir até mesmo um seguro para o caso de quebra de criptografia do certificado;
- SSL privado – esse tipo de certificado é utilizado para validar a autenticidade de um domínio. Nesse ponto, o SSL privado é altamente recomendado para sites com envio de formulário e que precisam que tais dados sejam trocados de forma segura e com criptografia eficiente entre ambas as partes;
- SSL free – é similar ao SSL privado, porém não possui o seguro de transações. Em grande parte das vezes, o SSL free é utilizado em blogs e sites em geral. Outra diferença é que este certificado costuma ter uma compatibilidade menor com dispositivos mais antigos;
- SSL WildCard – esse certificado também é similar ao SSL privado, porém é dedicado a vários subdomínios, sem a necessidade de comprar um certificado para cada domínio relacionado. Desse modo, os vários subdomínios podem utilizar o mesmo certificado SSL do domínio principal.
Como configurar e ativar SSL no WordPress
Depois de obter um certificado SSL com seu provedor de hospedagem, precisamos fazer a configuração e ativação do mesmo. Isso pode ser feito de maneira simples. Então, fique tranquilo! Vamos demonstrar como realizar a configuração do SSL no WordPress passo a passo. Antes de qualquer um dos processos, certifique-se também de que o seu site WordPress esteja devidamente atualizado com o software mais recente.
1. Primeiro, verifique se o certificado SSL está instalado
Não faça como na maioria dos tutorias que ensinam a alterar a URL do site e demais configurações sem antes ter certeza que o certificado SSL está corretamente instalado e funcionando no servidor.
Portanto, o primeiro passo deve ser sempre ter certeza que a tecnologia HTTPS está funcionando em seu site. Somente depois desta verificação que devem ser feitas as mudanças no site, caso contrário, ao alterar a URL nas configurações e o SSL não estiver funcionando você vai ter que desfazer as mudanças e apagar o cache do navegador para recuperar o acesso ao site.
Os testes abaixo devem ser feitos todos usando a guia anônima do navegador para ter certeza que não haverá nenhum tipo de redirecionamento armazenado em cache, o que pode atrapalhar os testes.
Para verificar se o site possui a tecnologia HTTPS em funcionamento é simples, basta acessar a versão HTTPS digitando no navegador “https://” seguido do endereço do seu site, o que vai ser algo como “https://meusite.com.br”.
Se não for exibida nenhuma mensagem de erro é porque o protocolo HTTPS está funcionando corretamente e a URL do site pode ser alterada para HTTPS. Ou seja, somente depois desta verificação é que você deve ativar o HTTPS em seu site WordPress.
Outra opção é usar uma ferramenta que testa sites HTTPS e retorna uma série de feedbacks sobre o certificado SSL e também se o servidor não está usando nenhum tipo de configuração potencialmente vulnerável, o que poderia expor o usuário a riscos.
Para utilizar esta ferramenta basta seguir o passo a passo abaixo:
- Acesse o site da SSL Labs.
- Informe o endereço do seu site (não precisa colocar http ou https na frente).
- Clique no botão “Submit”.
- Espero alguns instantes (é um pouco demorado) e veja a nota obtida pelo seu site.
É recomendado que seu site receba nota A ou B, porque indica que está tudo OK com certificado e a configuração do servidor. Caso ele receba uma nota vermelha, sendo a “F” a pior delas, é sinal que você precisa entrar em contato com sua empresa de hospedagem para que ela corrija as configurações potencialmente perigosas do servidor.
2. Altere a URL do seu site para HTTPS
Nesse método, vamos configurar e ativar o SSL pelo painel de administração do WordPress.
Para isso, primeiro, acesse o menu Configurações > Geral.
Nessa mesma tela existem dois campos, um chamado Endereços do WordPress (URL) e o outro chamado Endereço do seu site (URL).
Sendo assim, realize a substituição dos dois campos, colocando o prefixo HTTPS no lugar do HTTP, como na imagem abaixo.
Clique no botão “Salvar alterações” para gravar a nova url com HTTPS.
Depois desse processo, o seu site está pronto e devidamente configurado com o endereço HTTPS. No entanto, você ainda precisa “forçar” a nova URL para garantir que o visitante seja redirecionado para o site seguro (com o prefixo HTTPS). Portanto, depois de ativar o seu certificado SSL, você pode remover a sua versão HTTP e substituir por uma HTTPS em todas as URLs do site.
3. Force o uso do HTTPS no WordPress
Basicamente existem três formas de forçar a utilização do HTTPS em seu site, conforme veremos a seguir.
Via arquivo .htaccess
Nesse contexto, é preciso configurar algum método de redirecionamento de domínios. Para este caso em especial, é recomendável utilizar o redirecionamento 301 – um tipo de redirecionamento permanente que mostra aos visitantes e aos buscadores de página que o site acabou de mudar de endereço (permanentemente).
Para realizar essa mudança, acesse o diretório de arquivos do seu site através do painel de administração da sua hospedagem ou por meio de alguma aplicação para acesso via protocolo FTP. Após isso, procure pelo arquivo chamado .htaccess, ele pode ser encontrado dentro da pasta public_html (caso ele não existe, pode estar oculdo).
Em seguida, acesse o arquivo e clique em editar, depois cole o código a seguir (cole o código na linha final do arquivo .htaccess):
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.cole-seu-endereço-aqui.com.br/$1 [R,L]
</IfModule>No campo "cole aqui seu endereço", insira o novo endereço HTTPS relacionado ao seu site WordPress. Assim, todos os visitantes que acessem o seu site pela conexão via porta 80 (indicado pelo campo ${SERVER_PORT} no código), serão automaticamente redirecionados para a versão HTTPS do seu site.
Não se esqueça de informar o endereço da mesma forma como está nas configurações do WordPress para que a página não fique em Loop infinito.
Via instalação de plugin
Nesse ponto, existem muitos plugins que permitem fazer isso de maneira mais fácil e prática do que no processo anterior. Mesmo assim, tenha cautela ao escolher tais plugins, pois podem ocorrer casos de incompatibilidade com a versão atual do seu WordPress. Como consequência disso, seu site pode não funcionar como esperado.
O Really Simple SSL Plugin é altamente recomendável pela sua praticidade, pois ele possui uma interface bem simples, sem menus complicados ou opções difíceis de compreender. Com este plugin, em poucos minutos o seu site WordPress vai estar pronto e habilitado para utilizar SSL, garantindo a segurança do site e também dos visitantes que acessam a sua página na Web.
Faça a instalação do plugin Really Simple SSL, quando terminar e estiver tudo correto com o certificado SSL, vai ser exibida uma mensagem na tela e a confirmação para ativar o HTTPS em seu site.
Para confirmar a ativação do HTTPS em seu site, clique em “Go ahead, activate SSL!”.
Pronto, seu site estará com o HTTPS em funcionamento no WordPress e o próprio plugin se encarrega de alterar o arquivo .htaccess para você.
4. Altere as urls antigas do site
É extremamente recomendado alterar a URL dos links e imagens do seu site para HTTPS. Isso é importante para que o usuário não seja redirecionado sempre que clicar em um link e também para evitar a exibição de erros no navegador.
Para isso, recomendo fortemente instalar o plugin Search & Replace Por Inpsyde GmbH. Ele é basicamente um canivete suíço, ao contrário de outras soluções que fazem uso de scripts externos e complicados.
- Vá até plugins > adicionar novo.
- No campo de busca digite “Search Replace” (note que o nome do plugin é “Search & Replace”, mas ao digitar assim ele é exibido na parte de baixo da página).
- Clique em “Instalar” e depois “Ativar”.
Pronto, o nosso canivete suíço foi instalado, com ele conseguimos realizar todas as etapas para ativar o HTTPS no WordPress com segurança.
Antes de começar a alterar o banco de dados é importante realizar um backup, para isso vamos em “Ferramentas” > “Search & Replace”.
Clique no botão “Create SQL File”.
Depois clique no botão “Download SQL File” e salve o mesmo em local seguro em seu computador.
Este arquivo pode ser usado para recuperar o banco de dados caso ocorra algum problema no processo de troca de URL dos links e imagens.
Ainda na página do plugin, clique na aba “Search & Replace”.
No campo “Search for” informe a antiga url do site (com HTTP://).
E no campo “Replace with” informe a nova url do site (com HTTPS://).
Marque a opção “Select all tables”.
Depois desmarque a opção “Dry Run” e marque a opção “Save changes to Database” para que as alterações sejam aplicadas imediatamente (somente faça isso se você gerou o backup do banco de dados).
Para iniciar o processo de busca e substituição clique no botão “Do Search & Replace” e depois em “Ok” para confirmar.
Pronto, todos os endereços antigos sem o protocolo HTTPS foram substituídos! Agora se você deseja ver tudo que foi alterado clique em “View details”.
No campo “CSV Format Search/Replace” você pode fazer múltiplas substituições informando a página antiga e nova separadas por virgula, uma por linha, como na imagem abaixo:
Solução de problemas
Podem ocorrer alguns problemas relacionados a conteúdo misto no site. Esses problemas ocorrem quando são exibidos arquivos com o protocolo HTTP dentro de um site que roda em HTTPS.
Limpeza de cache de plugins
Alguns erros podem estar relacionados aos plugins de cache instalados em seu site WordPress. Isso se deve ao fato do cache ainda utilizar o endereço antigo, ou seja, o HTTP. Para solucionar isso, é necessário realizar uma limpeza de cache em todo o seu site dentro do WordPress.
O processo de atualização pode variar de acordo com o plugin instalado. Então, antes de mais nada, consulte as informações referentes ao plugin de cache que você ativou no seu site.
Assim que limpeza de cache terminar, atualize a sua página. Caso não tenha encontrado como limpar o cache ou tenha algum outro imprevisto, uma opção é tentar reinstalar o plugin. Desse modo, abra o painel de administração do WordPress, desative o plugin de cache e reinstale-o. Pronto! Seu site agora conta com uma proteção extra e criptografia na comunicação de dados, tudo isso graças ao protocolo SSL.
Conclusão
Instalar um certificados SSL e ativar o HTTPS em seu site WordPress é muito importante, principalmente se estamos falando de sites de comércio virtual. Nesse quesito, um site com SSL permite a garantia de segurança na comunicação entre o usuário e o seu site, impedindo que qualquer fator externo atrapalhe essa experiência.
Além desse fato, um site seguro com HTTPS/SSL permite melhorias na pontuação do seu site no buscador, deixando a sua página sempre no topo da lista. Por se tratar de um item essencial, integre um certificado SSL o quanto antes em seu WordPress. Messe que esse processo pareça complicado, instalar um certificado SSL pode ser mais simples do que você pensa. Esperamos que esse tutorial tenha o ajudado nesse processo.
