Instalando e configurando o SSL no WordPress

Publicado em 15/05/2015 às 17:57

Não é novidade que o Google beneficia os sites que possuem SSL. Depois que ele se pronunciou em 2014 de que estaria privilegiando nos resultados de busca orgânica os sites que utilizassem esse recursos, muitos desenvolvedores correram para implementar essa funcionalidade.

E o que é o SSL?

O SSL (Secure Socket Layer) é uma forma segura de comunicação entre o servidor e o navegador do usuário. Ele permite que todas as informações sejam criptografadas antes de serem enviadas. Você sabe quando um site está utilizando esse tipo de conexão quando na barra de endereço aparece um símbolo de cadeado e o endereço começa com https.

O que é SSL?

SSL: representado pelo cadeado verde e https no início do endereço.

Utilizar um HTTPS ou Secure HTTP não significa que seu site é a prova de invasões ou coisas do gênero, mas sim que ele oferece um camada adicional de segurança na troca de informações. E isso pode dificultar bastante o trabalho dos hackers.

Como implementá-lo no WordPress?

Implementar o https no WordPress é um processo bem simples. Siga os passos adiante e verá que totalmente descomplicado. O exemplo que vou mostrar permitirá ativar o HTTPS em todas as urls do seu site.

1) Contrate um certificado SSL

O primeiro passo é contratar um certificado SSL. Nesse momento lembre-se de que você deve utilizar um certificado pago. Não utilize os certificados gratuitos que encontra disponíveis em muitos sites.

Quanto custa? É caro?
Não. Um certificado SSL varia entre R$35/ano a R$2.000/ano dependendo do tipo de certificado que escolheu e a forma de pagamento (anual, bienal, trienal, etc).

Onde posso comprar?
Você pode verificar com a empresa que hospeda o seu site, no geral elas oferecem esse tipo de serviço. Caso a sua empresa de hospedagem realize a venda do certificado, verifique se ela realiza a instalação (geralmente sim). O processo de instalação do certificado pode ser um pouco complicado para um usuário leigo (ou quando se realiza pela 1ª vez), então prefira essa opção.

Caso prefira comprar o certificado em outro lugar você pode encontrar empresas como a GoDaddy, Namecheap, Comodo, Media Temple, entre várias outras. Se busca algo simples, rápido e barato recomendo o Rapid SSL da NameCheap.

OBS: se você for leigo no assunto, prefira a contratação diretamente com a mesma empresa que hospeda o seu site.

2) Altere as configurações do WordPress

Após se certificar que seu certificado ssl foi adquirido e devidamente instalado, vamos ao próximo passo.

Ative o HTTP apenas no backend

Em seu arquivo wp-config.php adicione o código abaixo logo acima do seguinte comentário:
/* Isto é tudo, pode parar de editar! :) */


define('FORCE_SSL_ADMIN', true);
/* Isto é tudo, pode parar de editar! :) */

Em seguida acesse o seu painel administrativo utilizando o https (https://www.seusite.com.br/wp-admin). Você deverá conseguir acessar o backend com https.

Acesse o menu de configurações do WordPress em Configurações > Geral e altere os dois endereços para os endereços com https.

Configuração do HTTPS no WordPress

Altere os dois campos com o https

3) Atualize seu .htaccess

Neste ponto todas as URLs do seu site deverão estar acessíveis via https, mas você notará que também poderá acessar via http. Para que você redirecione seus usuários da versão http para https você deverá incluir no topo do seu arquivo .htaccess o seguinte:

# Force HTTPS
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
  • Rogerio Attorresi

    Olá Ludy,

    Primeiramente, sou grato pelo tutorial!

    Gostaria de saber se, uma vez adquirido o certificado SSl, ele é de “um tipo só”, ou seja, minha url é http://onomedomeusite.altervista.org, então tem haver alguma coisa com relação ao domínio? Outra pergunta, se caso eu faça esse procedimento do tutorial, e der algo errado, posso retornar o processo sem problemas? sem causar “danos”?

    Meu servidor é da Italia, é uma grande empresa aqui o Altervista, e oferece gratuitamente o wordpress.org, com muitos serviços, porem o “https” é pago,

    Agradeço

    Rogerio

    • Ludy Amano

      Rogério, o tipo de abrangência do certificado (se é apenas para um sub-domínio ou se pode ser utilizado em diversos sub-dominios) é algo que você precisa avaliar. A instalação do SSL não afeta sua hospedagem. O ideal é cerificar com a Altervista se ao contratar o SSL eles fazem a instalação.

      • Leno Trisneto Gomes

        Assim. preciso gerencias uma media de 10 sites, em wordpress. então pesquisei muito e decidi nao usar o multisite ativado, e sim usar multiplas instalaçções de wordpress uma em cada dominio/virtualserver(uso o virtualmin) e quero criar um subdominio so para instalar o mainWP e usar essa instalação do wordpress limpa, apenas para eu logar nela para gerenciar as outras instalações/dash dos outros dominios, sei que o IP do meu servidor é unico para meus 10 dominios, meu VPS so tem um IP e vi que ja efeitos colaterais em usar SSL para varios dominios/virtualservers que compartilham do mesmo IP… sendo que nao me deixa desapontado esse fato… ja que so me interesso em proteger esse subdominio onde digitarei meu dados de acesso/login, logo. como faço para ter esse certificado SSL ativado nesse subdominio e especificamente nessa pagina/login do wordpress? pois uma pagina https previne a interceptação dos dados entre o cliente e o servidor. notando que as minhas tabelas estão na cloudflare, no plano free. ja vi videos mostrando como ativa ssl na cloudflare, mas nao sei como faze-lo para ter meu login wordpress protegido. e se basta seguir os passos para ativar na cloudflare e se nao preciso fazer nada no virtualmin?

  • Juraci Moreira de Sousa

    Olá Ludy
    Instalei ssl em meu site https://hospedagenspro.com porem onde aparece o cadeado aparece um icone diferente e ao clicae nele aparece uma mensagem dizendo que o site esta seguro porem ainda tem recursos não seguros podes me dizer porque esta acontecendo isso e como posso consertar?

    Ahhh excelente tutorial ajudou bastante ;)

    • Ludy Amano

      Juraci, geralmente esse erro aparece pois alguns elementos do seu site estão sendo carregado sem o “https” e sim com “http”. Faça o seguinte, exiba o código HTML da página e procure (CTRL+F) por “http://”. Provavelmente você encontrará os elementos da sua página que estão sendo carregados utilizando “http: ao invés de “https:.

      Corrija esses elementos e aí seu selo de SSL ficará ok!

  • Josimar Cordeiro da silva

    Olá, obrigado pelo tutorial. Pergunta. É recomendando utilizar SSL em todo o site (Front End)? Existe alguma desavantagem em utiliza-lo em todo o site?

  • Carlos Augusto dos Santos

    Olá Ludy ótimo tutorial simples e objetivo, configurei recentemente um site wordpress baseado em um servidor nginx. Testei a configuração no site sslabs e verfifiquei que poderia deixar mais seguro ainda. Pesquisando descobri esse tutorial de wordpress seguro que tem ótimas dicas: https://deliciousbrains.com/hosting-wordpress-setup-secure-virtual-server/ derepente você como especialista pode criar um post em português sobre o tema! Valeu obrigado!

  • Thiago H. de Sales

    Olá. Segue o procedimento e tudo funcionou (quase tudo rs). A última parte que tá pegando e o meu provedor de hospedagem não quer saber de nada!

    Tenho o httacess assim:
    # BEGIN WordPress

    RewriteEngine On
    RewriteBase /app/
    RewriteRule ^index\.php$ – [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule .app/index.php [L]

    # END WordPress

    Tentei alterar de tudo conforme o seu artigo, mas desconfigura o site ou não acessa. Poderia dar um help? Grato desde já.

  • MARIA SILVA

    Olá Ludy.
    Por favor, preciso de uma ajuda. Eu cancelei o meu ssl, meu site está hospedado junto a godaddy e ao ligar para solicitar o cancelamento, este foi realizado, porém, eu não sabia que haviam configurações a fazer em alguns arquivos e este ficou fora do ar. Meu site foi configurado por uma pessoa que eu contratei, tenho pouco conhecimento, o problema agora é que a pessoa simplesmente não me responde mais, me deixou na mão.
    Para tentar resolver o problema, entrei em contato com a godaddy novamente e a pessoa alterou alguns arquivos, o site voltou ao ar, mas não é possível acessar a página de login.
    Poderia me indicar os arquivos que devo verificar e como eles devem estar, por favor?

  • António Pereira

    Boa tarde,
    contratei um certificado SSL para um domínio https://meunome.biz, o provedor disse-me que se forçasse o código poderia usá-lo em subdomínios *.meunome.biz, o que acha disto?

    • ludyamano

      @disqus_0qSryvJr5k:disqus depende do certificado que contratou. Alguns realmente aceitam o uso de wilcards e dessa forma o mesmo certificado pode ser usado em todos os subdomínios.

  • Samuel Lima

    @ludyamano:disqus parabéns pelo post gostei bastante, eu fiz justamente da forma que você colocou, porém minha aplicação mostra no navegador o https:// porém não fica verdinho com outros sites, tem ideia do que pode ser ?

    • ludyamano

      @disqus_4oEfnuzPO7:disqus podem ser duas coisas:
      1) Existem elementos sendo carregados na sua página sem o https, ex: sua página está carregando algum script ou imagem via http ao invés de https. Nesse caso precisa fazer com que todos os elementos da página sejam carregados via HTTPS.
      2) Veja se você não está acessando numa janela anônima. Nesse caso o endereço no navegador não aparece na cor verde.