HTTPS

HTTPS WordPress é o protocolo seguro de comunicação entre o navegador do visitante e o servidor onde o site está hospedado. Diferente do HTTP tradicional, que envia dados em texto puro, o HTTPS criptografa tudo usando SSL/TLS — senhas, dados de cartão, formulários, qualquer informação. Hoje é padrão obrigatório: navegadores marcam sites HTTP como “Não Seguro”, o Google trata HTTPS como fator de ranqueamento, e usuários abandonam sites que parecem inseguros.

O que é HTTPS

HTTPS significa Hypertext Transfer Protocol Secure. É o HTTP com uma camada adicional de criptografia chamada TLS (Transport Layer Security), antigamente conhecida como SSL (Secure Sockets Layer). Os termos SSL e TLS são usados quase como sinônimos no dia a dia, embora SSL seja tecnicamente o predecessor do TLS — todas as versões modernas são TLS.

O que é https na prática: quando você acessa um site via HTTPS, antes de qualquer dado trafegar, navegador e servidor passam por um “handshake”. Eles negociam algoritmos de criptografia, validam o certificado SSL/TLS do servidor (provando que ele é quem diz ser), e geram chaves de sessão temporárias. A partir daí, todos os dados são criptografados antes de saírem da máquina e descriptografados ao chegar no destino.

Visualmente, o HTTPS aparece de duas formas no navegador: cadeado fechado na barra de endereços (significa conexão segura) e o prefixo https:// na URL. Sites HTTP mostram aviso “Não Seguro” em fonte vermelha em todos os navegadores modernos desde 2018. Esse aviso é detrimento direto à percepção de credibilidade.

O HTTPS resolve três problemas. Primeiro: privacidade — ninguém entre o navegador e o servidor consegue ler o conteúdo da comunicação. Segundo: integridade — dados não podem ser modificados em trânsito sem que isso seja detectado. Terceiro: autenticidade — o certificado SSL prova que o servidor é mesmo de quem diz ser, dificultando ataques man-in-the-middle.

HTTP vs HTTPS

A discussão http vs https hoje é meio anacrônica — HTTPS é o padrão e ponto. Mas vale entender por que: em HTTP puro, qualquer pessoa com acesso à rede entre você e o site (provedor de internet, administrador da rede WiFi do café, governo) pode ler tudo o que trafega. Senhas em texto puro. Dados de cartão em texto puro. Conteúdo das páginas em texto puro.

Em HTTPS, mesmo que alguém intercepte o tráfego, só vê dados criptografados. Sem a chave de sessão, é matematicamente impraticável decifrar. As redes hostis ainda existem, mas o tráfego em HTTPS é seguro mesmo passando por elas. Isso virou crítico com proliferação de redes WiFi públicas e provedores cada vez mais opacos.

Outra diferença é performance. HTTPS antigamente era mais lento por causa do handshake adicional. Hoje, com HTTP/2 e HTTP/3 (que só funcionam sobre HTTPS), o protocolo seguro frequentemente é MAIS rápido que HTTP simples. HTTP/2 multiplexação, HTTP/3 sobre QUIC — todas as melhorias modernas vivem em HTTPS.

HTTPS também é pré-requisito para funcionalidades modernas do navegador. APIs como Service Workers (que permitem sites funcionarem offline), Geolocation, Camera, Push Notifications, Payment Request — todas exigem HTTPS. Sites em HTTP estão tecnicamente impedidos de usar essas capacidades.

Para WordPress, a questão é simples: HTTPS é obrigatório, não opcional. Hospedagens sérias incluem certificado Let’s Encrypt gratuito automaticamente. SSL certificado bem configurado é tão básico quanto ter PHP rodando.

Como ativar HTTPS no WordPress

O primeiro passo para ativar https wordpress é obter um certificado SSL/TLS. A forma mais comum hoje é Let’s Encrypt — emissor gratuito que oferece certificados validados automaticamente, renováveis a cada 90 dias. Praticamente toda hospedagem séria tem botão “Ativar SSL” que provisiona Let’s Encrypt em poucos minutos. Hostinger, Kinsta, WP Engine, Bluehost, todos cobrem.

O segundo caminho é usar Cloudflare como proxy. Mesmo com hospedagem que não oferece SSL gratuito, configurar Cloudflare na frente do site dá HTTPS automático na porta cliente. A conexão entre Cloudflare e seu servidor pode continuar HTTP no início (modo “Flexible”), embora o ideal seja modo “Full Strict” com certificado válido também no servidor.

O terceiro caminho é certificados pagos da DigiCert, Sectigo, GlobalSign — categorias EV (Extended Validation) ou OV (Organization Validation). Para sites comuns, são overkill. Faziam sentido quando navegadores destacavam visualmente sites com EV (barra verde com nome da empresa), mas essa diferenciação foi removida em 2019.

Depois do certificado ativo, atualize a URL do WordPress. Em Configurações → Geral, mude “Endereço do WordPress” e “Endereço do Site” de http://seusite.com para https://seusite.com. Isso faz com que o WordPress gere todos os links internos em HTTPS. Plugins como Really Simple SSL automatizam essa conversão e cuidam de mixed content.

O passo crítico é configurar redirect HTTP para HTTPS. Adicione regras no .htaccess que redirecionem todo tráfego HTTP para HTTPS via 301. Isso garante que links antigos, bookmarks salvos e crawlers do Google sigam para a versão segura. Sem esse redirect, você acaba com conteúdo duplicado HTTP+HTTPS — péssimo para SEO.

HTTPS e SEO

O Google declarou HTTPS como fator de ranqueamento em 2014. Não é o mais peso entre os fatores, mas existe. Em situação de empate entre dois resultados, a versão HTTPS ganha. Sites HTTP em 2026 simplesmente não competem por posições altas em consultas relevantes — porque a maioria dos competidores já está em HTTPS há anos.

Além do fator direto, HTTPS afeta SEO indiretamente via Core Web Vitals e UX. HTTP/2, que só roda em HTTPS, melhora velocidade de carregamento via multiplexação. Páginas mais rápidas têm LCP melhor, retenção maior, taxa de bounce menor. Tudo isso reverbera em sinais que o Google usa para avaliar qualidade.

Outro ponto: Google Search Console trata HTTP e HTTPS como propriedades separadas. Migrar para HTTPS exige reverificar a propriedade no GSC e configurar a versão HTTPS como preferencial. Se você só configurou HTTP no GSC e migrou o site, perde dados de monitoramento até completar a configuração da nova versão.

Migração para HTTPS feita corretamente preserva ranking. Migração mal feita derruba tráfego por semanas. O detalhe que mata: redirects 301 corretos de HTTP para HTTPS, atualização de URLs internas (incluindo imagens hardcoded em posts), envio do novo sitemap ao GSC, monitoramento de erros de cobertura nas semanas seguintes. Indexação precisa ser reaplicada à versão HTTPS sem perder o histórico de autoridade da HTTP.

O monitoramento contínuo de mixed content (recursos HTTP carregados em página HTTPS) é tarefa permanente. Cada plugin novo que adiciona script externo, cada imagem inserida com URL antiga em post legado, pode reintroduzir aviso de “conexão parcialmente segura” no navegador. Plugins como Really Simple SSL e Mixed Content Detector monitoram isso continuamente. Para sites profissionais que precisam dessa cobertura por padrão, a FULL Services entrega o AIOS (All-In-One Security) já licenciado e configurado dentro da stack profissional, com SSL forçado em todas as camadas, headers de segurança calibrados (HSTS, CSP), proteções contra vulnerabilidades conhecidas e monitoramento de mixed content. Em vez de configurar SSL e correr atrás de detalhes esquecidos, você roda em uma stack onde HTTPS é parte do default, não do trabalho extra.