SSL Certificado

Certificado SSL WordPress é o arquivo que ativa o protocolo HTTPS no site, criptografando os dados que trafegam entre o navegador do visitante e o servidor. Sem SSL, qualquer informação digitada (login, senha, cartão de crédito, formulário de contato) viaja em texto puro e pode ser interceptada. Com SSL ativo, a conexão fica codificada e o famoso cadeado verde aparece na barra do navegador. Hoje é exigência mínima de qualquer site profissional, e o Google penaliza quem não tem.

O que é um certificado SSL

SSL é a sigla para Secure Sockets Layer, protocolo de segurança criado pela Netscape em 1995. Foi sucedido pelo TLS (Transport Layer Security) em 1999, que é o padrão técnico em uso hoje. Apesar disso, “SSL” virou termo genérico no mercado e cobre tanto o protocolo antigo quanto suas evoluções. Quando alguém fala em certificado SSL hoje, está se referindo a um certificado TLS, na prática.

O certificado em si é um arquivo digital emitido por uma autoridade certificadora (Let’s Encrypt, DigiCert, Sectigo, GlobalSign). Contém informações sobre o domínio, a organização proprietária e uma chave criptográfica pública. Quando instalado no servidor, permite estabelecer conexões HTTPS em vez de HTTP.

O termo https wordpress se popularizou por causa da migração massiva de sites WordPress para o protocolo seguro entre 2017 e 2020, depois que o Chrome passou a marcar sites HTTP como “Não Seguro” na barra de endereços. Hoje, mais de 95% dos sites na web usam HTTPS, e WordPress não é exceção.

A pergunta sobre o que é ssl costuma vir junto com a constatação de que o site está marcado como inseguro. A resposta prática: SSL é o que tira o site dessa categoria, ativa o cadeado verde e libera o domínio para uso profissional. Sem SSL, todo o trabalho de conteúdo, design e marketing fica comprometido.

Como funciona o SSL/HTTPS

O fluxo começa com o handshake. Quando o visitante acessa seusite.com.br via HTTPS, o navegador pede ao servidor o certificado SSL. O servidor envia. O navegador verifica três coisas: se o certificado foi emitido por autoridade confiável, se está dentro do prazo de validade e se corresponde ao domínio acessado. Tudo OK, a conexão segura é estabelecida.

Em seguida vem a troca de chaves. O navegador e o servidor combinam uma chave de criptografia simétrica que será usada para codificar todo o tráfego daquela sessão. Essa chave é única para cada visita e descartada ao fim da sessão. É o mecanismo que torna SSL eficiente mesmo em conexões lentas.

A partir desse ponto, qualquer requisição (GET, POST, formulário de login, envio de cartão de crédito) é criptografada. Mesmo que alguém intercepte o tráfego entre o visitante e o servidor (em rede WiFi pública, por exemplo), não consegue decifrar o conteúdo. A criptografia moderna (TLS 1.3) é matematicamente robusta o suficiente para resistir a ataques mesmo com computadores poderosos.

O cadeado verde no navegador é o sinal visual de que tudo está funcionando. Clicar nele mostra detalhes do certificado: emissor, validade, domínio coberto. Se algum dos componentes falha (certificado expirado, domínio errado, autoridade não reconhecida), o navegador exibe alerta vermelho e pode bloquear o acesso. Combine com CVE bem monitorado e malware WordPress bloqueado para defesa em camadas.

Como instalar SSL no WordPress

Como instalar ssl wordpress depende muito da hospedagem. Em hospedagens modernas (Hostinger, SiteGround, Kinsta, Cloudways e a maioria das brasileiras decentes), SSL é gratuito, automático e ativado em poucos cliques. Em hospedagens antigas, pode exigir instalação manual.

Caminho automático com Let’s Encrypt. A maioria das hospedagens integra com Let’s Encrypt, autoridade certificadora gratuita criada em 2015 pela EFF e Mozilla. No painel da hospedagem, procure a seção SSL/TLS, selecione o domínio, clique em ativar Let’s Encrypt. O certificado é emitido em minutos e renovado automaticamente a cada 90 dias.

Caminho via Cloudflare. Se o site usa Cloudflare como CDN/DNS, a opção “Universal SSL” entrega certificado gratuito instantaneamente, sem precisar mexer no servidor de origem. O tráfego entre Cloudflare e o visitante vai criptografado, mesmo se o servidor de origem ainda estiver em HTTP. É solução comum em sites com hospedagem que não oferece SSL nativo.

Caminho de certificado pago. Para sites enterprise ou com requisitos específicos (Extended Validation com nome da empresa no cadeado, certificados wildcard cobrindo subdomínios, garantia financeira em caso de fraude), certificados pagos da Sectigo, DigiCert ou GeoTrust fazem sentido. Custos vão de US$ 10 a US$ 500+ por ano, conforme tipo.

Após ativar o certificado no servidor, o WordPress precisa ser configurado para usar HTTPS. Em Configurações → Geral, mude o WordPress Address (URL) e Site Address (URL) de http:// para https://. Plugins como Really Simple SSL automatizam esse passo e ainda corrigem mixed content (recursos antigos carregando via HTTP em página HTTPS).

Após a migração, valide com SSL Labs (ssllabs.com/ssltest). A ferramenta dá nota de A+ a F para a configuração SSL do site, com recomendações específicas. Sites profissionais devem buscar A+, que indica configuração ideal.

SSL gratuito vs SSL pago

SSL gratuito (Let’s Encrypt) cobre 95% dos casos. Funciona tecnicamente igual a certificado pago: criptografia idêntica, mesmo cadeado no navegador, mesma compatibilidade. A diferença está em outros aspectos: validação, garantia e suporte.

Validação. Let’s Encrypt faz Domain Validation (DV): verifica só que você controla o domínio. Certificados pagos podem ser Organization Validation (OV) ou Extended Validation (EV), com checagem da empresa por trás do site. Em sites onde transmitir confiança é crítico (banco, e-commerce de luxo), EV ainda tem valor: o cadeado mostra o nome legal da empresa.

Garantia financeira. Certificados pagos vêm com seguro contra fraude (até US$ 1 milhão em alguns casos). Se o certificado falhar e causar prejuízo, a autoridade certificadora indeniza. Let’s Encrypt não oferece garantia. Para sites que processam volumes financeiros altos, isso pesa.

Suporte. Certificados pagos vêm com suporte direto da autoridade. Let’s Encrypt é serviço comunitário sem suporte oficial, embora a documentação seja excelente. Em problemas técnicos urgentes, suporte direto pode fazer diferença.

Renovação. Let’s Encrypt renova a cada 90 dias automaticamente, mas se a automação quebrar (raro), o site fica fora do ar. Certificados pagos duram 1 a 2 anos, com mais folga para renovar manualmente.

Para 95% dos sites WordPress, Let’s Encrypt resolve. Para o resto, certificado pago tem propósito específico que justifica o custo.

Para sites profissionais que precisam dessa camada de segurança bem feita junto com firewall, proteção contra brute force e monitoramento de vulnerabilidades, a FULL Services entrega o AIOS (All In One Security) já licenciado e configurado dentro da stack profissional, junto com configuração HTTPS validada e auditoria contínua. Em vez de o cliente combinar Let’s Encrypt manualmente com plugin de segurança e plugin de mixed content, roda em uma stack que cobre toda a camada de proteção do site.