HTTPS não é mais opcional — é essencial. Google prioriza sites HTTPS desde 2014, penaliza HTTP desde 2018. Todo site moderno precisa HTTPS (certificado SSL). Boa notícia: certificados SSL grátis existem (Let’s Encrypt) desde 2015. Você não precisa gastar $88-200/ano em certificado pago. Este guia ensina: como obter SSL grátis, instalar em WordPress, redirect HTTP→HTTPS, corrigir mixed content, impacto SEO, renovação automática, troubleshooting. Se seu site ainda é HTTP, isso é problema #1 para segurança + SEO.

HTTPS criptografa comunicação entre browser e servidor. Sem HTTPS, dados de visitante (password, cartão) são transmitidos em plain text (hackers veem). Com HTTPS, dados são criptografados (99.9% impossível interceptar). Google marca HTTP com aviso “Não seguro” no browser — visitante vê warning e pode sair.

SSL/HTTPS em 30 Segundos

  • SSL vs. HTTPS: SSL é protocolo (certificado); HTTPS é implementação (site usa SSL)
  • Custo: Grátis (Let’s Encrypt) a $200/ano (premium); Let’s Encrypt é ótimo
  • Instalação: Maioria hosting ativa com 1 clique (Auto-SSL); manual via Certbot se VPS
  • Renovação: Automática (Let’s Encrypt renova grátis a cada 90 dias)
  • SEO Impact: HTTPS ranking factor; HTTP → HTTPS melhora SEO em médio prazo
  • Tempo instalação: 5 minutos se hosting (cPanel), 30 min se VPS manual

O Que é SSL e Por Que Precisa?

SSL (Secure Sockets Layer): Protocolo de criptografia. Seu browser e servidor “conversam em código” que hackers não decifrari.

HTTPS = HTTP + SSL. Ao visitar site HTTPS, browser mostra cadeado verde (site é seguro).

Certificado SSL: Documento que prova site é legítimo (emitido por autoridade confiável, ex: Let’s Encrypt).

Por que precisa:

  • Segurança: Protege dados visitante (não roubáveis)
  • SEO: Google rankeia HTTPS melhor que HTTP
  • Confiança: Visitante vê cadeado verde, sente seguro
  • Conformidade: LGPD/GDPR exigem HTTPS para sites coletando dados
  • Tecnologia: HTTP/2, HTTP/3, recursos modernos requerem HTTPS

Tipos de Certificados SSL

TipoCustoValidaçãoUso
DV (Domain Validation)Grátis (Let’s Encrypt) — $15-40/ano (pago)Verifica só domínio (DNS, email)Blogs, startups, maioria sites. SUFICIENTE.
OV (Organization Validation)$50-100/anoVerifica empresa registrada (RG)Empresas, e-commerce. Confiança extra (mostra nome empresa no cert).
EV (Extended Validation)$150-300/anoValidação completa (empresa + legal)Bancos, grandes empresas. Barra verde no browser com nome.
Wildcard$50-150/ano (pago)Cobre *.seu-dominio.comSe tiver múltiplos subdomínios (blog.site.com, shop.site.com)

Recomendação: Para blog/PME, DV gratuito (Let’s Encrypt) é ótimo. Segurança = OV/EV (diferença é marca/confiança visual, proteção técnica é idêntica).

Como Obter SSL Grátis (Let’s Encrypt)

Opção 1: Hosting com Auto-SSL (Mais Fácil)

Maioria hosts moderno (Bluehost, SiteGround, Kinsta, Hostinger) têm Auto-SSL integrado. Você não faz nada — eles instalam automaticamente.

Como verificar: Seu site é HTTPS? (URL tem cadeado?) Se sim, Auto-SSL já está ativo.

Se não estiver:

  • Painel de controle hosting (cPanel/Plesk)
  • Procure “SSL/TLS”, “Let’s Encrypt”, “Auto-SSL”
  • Clique “Install” ou “Enable”
  • Aguarde 5-10 minutos
  • Site é HTTPS agora

Opção 2: Manual (VPS/Servidor Próprio)

Se você gerencia VPS/servidor, use Certbot (Let’s Encrypt automático).

Comandos básicos:

sudo apt-get install certbot python3-certbot-nginx (ou apache2)

sudo certbot certonly –nginx (ou –apache)

Siga prompts. Certificado instalado em /etc/letsencrypt/.

Renovação automática: Certbot configura cron job. Certificado renova automaticamente a cada 60 dias.

Opção 3: WordPress Plugin (Mais Fácil para Principiante)

WP Admin → Plugins → Adicionar Novo → “Really Simple SSL” → Instalar → Ativar.

Plugin detecta HTTPS, faz redirect HTTP→HTTPS, corrige mixed content automaticamente.

Configuração WordPress: Ativar HTTPS

Passo 1: Settings gerais

  • WP Admin → Settings → General
  • WordPress Address (URL): https://seu-site.com (não http://)
  • Site Address (URL): https://seu-site.com
  • Salvar

Passo 2: Força HTTPS (redireciona HTTP para HTTPS)

  • WP Admin → Settings → General
  • Ou adicionar em wp-config.php (se não vê opção):

define(‘FORCE_SSL_ADMIN’, true);
define(‘FORCE_SSL_LOGIN’, true);

Passo 3: .htaccess Redirect (se Apache)

Em /var/www/html/.htaccess (ou raiz WordPress):

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Isso faz: visitante vai a http://seu-site.com → redirect automático para https://seu-site.com (301 permanente).

Mixed Content: Problema Comum

Mixed content = página HTTPS carrega recursos HTTP (imagens, CSS, JS em http://).

Problema: Browser bloqueia recursos HTTP em página HTTPS. Site fica quebrado (imagens não aparecem).

Solução 1: Really Simple SSL Plugin (automático, recomendado)

Solução 2: Manual

  • WP Admin → Tools → Google PageSpeed Insights
  • Veja erros de “mixed content”
  • Encontre posts/páginas com URLs HTTP de recursos
  • Substitua http:// por https:// via Find/Replace no banco dados

SQL direto (se confortável):

UPDATE wp_posts SET post_content = REPLACE(post_content, ‘http://’, ‘https://’); (BACKUP antes!)

Solução 3: .htaccess (Apache)

Header edit Location ^http: https:

Verificar Se HTTPS Está Configurado Corretamente

  • Certificado válido? Acesse site, clique cadeado (Chrome). Deve mostrar “Certificado válido” e emitente “Let’s Encrypt”.
  • Sem avisos? Se vê “Não seguro” ou aviso mistura, mixed content não está resolvido.
  • Redirect funcionando? Visite http://seu-site.com. Deve redirect para https://seu-site.com.
  • Mixed content? Abra console browser (F12 → Console). Se mensagem “Mixed Content”, ainda tem recurso HTTP.

Ferramentas online: SSLLabs SSL Checker, Why No Padlock, Qualys SSL Test. Cole URL, teste.

Impacto SEO: HTTPS e Ranking

Google confirmou HTTPS é ranking factor desde 2014. Impacto é pequeno (1-3% do algoritmo), mas positivo.

O que acontece quando migra HTTP → HTTPS:

  • Curto prazo (1-4 semanas): Nenhum impacto visível. Google reindexar.
  • Médio prazo (1-3 meses): Pequeno boost SEO (5-15% melhoria ranking). Redirect 301 preserva SEO juice.
  • Longo prazo: Estabiliza. Você não “perde” SEO, apenas ganha pequeno bonus.

Importante: Setup correto redirect HTTP → HTTPS (301) é crítico. Se esquecer redirect, Google vê site duplicado (HTTP e HTTPS), penaliza.

Search Console: Após HTTPS ativo, vá Google Search Console → Propriedade → Adicione “https://seu-site” se ainda não tem. Google rastreará novo URL.

Renovação de Certificado SSL

Let’s Encrypt certificados duram 90 dias. Após, precisa renovar (grátis).

Auto-SSL (Hosting): Renova automaticamente. Você não faz nada.

Certbot (Manual): Cron job renova automaticamente. Verifique:

sudo systemctl status certbot.timer

Aviso: Se certificado expirou (raro se Auto-SSL ativo), browser mostra “Certificado Expirado”. Visitantes veem aviso assustador. Renovar imediatamente.

Checklist mensal:

  • Certificado ainda válido? Clique cadeado, veja data expiração.
  • Nenhuma página quebrada (mixed content)?
  • Redirect HTTP→HTTPS funcionando?

Perguntas Frequentes (FAQ)

SSL e HTTPS são a mesma coisa?

Não. SSL é protocolo/certificado. HTTPS é implementação de SSL. Website com certificado SSL usa HTTPS. Similaridade ao wifi vs. router — router usa wifi, são diferentes.

Preciso de SSL pago ou gratuito é suficiente?

Gratuito (Let’s Encrypt) é totalmente suficiente. Segurança técnica é 100% idêntica entre Let’s Encrypt grátis e SSL pago $200/ano. Única diferença: branding/organização no cert. Para blog/PME, gratuito.

Se mudo HTTP→HTTPS, perdo SEO?

Não, se fizer migração correta com redirect 301. Google reconhece redirect, SEO juice passa. Mas leva 4-8 semanas para reindexar.

Qual hosting recomenda para HTTPS automático?

Qualquer hosting moderno (Kinsta, Bluehost, SiteGround, Hostinger) tem Auto-SSL. Evite hosts muito baratos que não oferecem.

Mixed content — como corrigir rapidinho?

Instale “Really Simple SSL” plugin. Um clique, corrige tudo automaticamente. Melhor solução para WordPress.