| Camada | Objetivo | Check de validacao |
|---|---|---|
| Certificado (servidor) | Emitir um certificado TLS gratuito Let's Encrypt no painel da hospedagem. | Abrir https://seusite.com e ver o cadeado sem aviso. |
| Protocolo (WordPress) | Trocar siteurl e home de HTTP para HTTPS e forçar o redirecionamento. | Visitar uma URL em HTTP e cair em HTTPS automaticamente. |
| Conteudo misto | Reescrever imagens, scripts e CSS que ainda apontam para HTTP. | Console do navegador sem aviso de "mixed content". |
Legenda: a emissão do certificado é o passo mais simples; o trabalho real começa depois, dentro do WordPress.
## Instalar SSL gratis WordPress sem mexer no código Forçar o HTTPS sem editar código é tarefa para um plugin dedicado, e o Really Simple SSL resolve isso em um clique. O plugin detecta o certificado, troca siteurl e home para HTTPS, ativa o redirecionamento 301 e reescreve as URLs internas em HTTP. São mais de 6 milhões de instalações ativas, segundo o repositório oficial do WordPress. Depois de ativar, o plugin varre o site e mostra um botão para migrar para HTTPS. Ao clicar, ele aplica o redirecionamento 301 e corrige boa parte do conteúdo misto na hora. Vale conferir nosso review do Really Simple SSL para os limites do plano gratuito. Quem prefere não depender de plugin pode forçar HTTPS via .htaccess, rota mais enxuta mas que exige acesso ao arquivo. As duas chegam ao mesmo cadeado verde. ## Passo a passo para instalar SSL gratis WordPress Instalar SSL gratis WordPress de ponta a ponta leva cerca de 15 minutos quando o DNS já está propagado, e segue cinco passos em ordem fixa. Pular a ordem é a causa mais comum de cadeado quebrado: forçar HTTPS antes de emitir o certificado deixa o site inacessível. Faça backup completo antes de começar, porque o passo de redirecionamento mexe em siteurl e um erro ali pode tirar o painel do ar. ### Passo 1: Confirme o DNS apontado e faca backup Antes de emitir qualquer certificado, confirme que o domínio aponta para o servidor certo e que existe um backup recente. Esse cuidado evita o erro mais comum de quem tenta instalar SSL gratis WordPress às pressas. A emissão Let's Encrypt valida a posse do domínio via DNS, então um registro A errado faz a emissão falhar com erro de validação. Gere o backup pelo backup automático do WordPress e guarde uma cópia fora do servidor. ### Passo 2: Emita o certificado SSL gratis na hospedagem Abra o painel da hospedagem, vá em SSL/TLS e ative o certificado Let's Encrypt para o domínio e o www. A emissão roda o certbot e instala o certificado em segundo plano, normalmente em menos de 2 minutos. Confirme abrindo https://seusite.com: se o cadeado aparece, o certificado está válido no servidor, mesmo que o WordPress ainda sirva HTTP. ### Passo 3: Troque siteurl e home para HTTPS Em Configurações, Geral, troque o "Endereço do WordPress" e o "Endereço do site" de HTTP para HTTPS. Essa troca diz ao WordPress para montar todas as URLs internas sob HTTPS. Se você usa um plugin como o Really Simple SSL, ele faz isso por você e ainda ativa o redirecionamento 301 no mesmo clique. ### Passo 4: Force o redirecionamento e corrija o conteudo misto Garanta que todo acesso em HTTP caia em HTTPS via redirecionamento 301, e reescreva os recursos que ainda carregam por HTTP. Imagens, scripts e folhas de estilo com URL absoluta em HTTP disparam o aviso de conteúdo misto e quebram o cadeado. Plugins de SSL reescrevem isso na saída; sem plugin, uma busca-e-substituição no banco resolve os caminhos antigos. ### Passo 5: Valide o certificado no SSL labs Rode o teste do SSL Labs no seu domínio para confirmar nota A e cadeia de certificados completa. A ferramenta avalia versão do TLS, força da cifra e validade da cadeia, e aponta se falta o certificado intermediário. Uma nota abaixo de A geralmente indica TLS 1.0/1.1 ainda ativo ou cadeia incompleta, ambos corrigíveis no servidor. ## Erros comuns ao instalar SSL gratis WordPress Instalar SSL gratis WordPress falha quase sempre por três erros previsíveis, e nenhum é culpa do certificado. O mais frequente nos tickets do suporte da FULL é o conteúdo misto: certificado válido, mas uma imagem ainda carrega por HTTP e o navegador remove o cadeado, mesmo com HTTPS ativo no servidor. O segundo erro é o loop de redirecionamento. Quando o Really Simple SSL redireciona via .htaccess e o site está atrás de um proxy reverso sem o cabeçalho X-Forwarded-Proto, o servidor entende que a requisição chegou em HTTP, redireciona de novo e cai no ERR_TOO_MANY_REDIRECTS. O terceiro é a expiração silenciosa: um certificado de 90 dias sem renovação automática via certbot expira e o site sai do ar com NET::ERR_CERT_DATE_INVALID. Para monitorar o status do certificado junto de outras falhas, use o plugin de segurança certo. ## SSL gratis e segurança: Onde o certificado para O certificado SSL protege o tráfego em trânsito, mas não protege o WordPress de plugins vulneráveis. Nos últimos dias, segundo o Cloudflare Radar (janela de 09/06/2026), 82,4% dos ataques de camada de aplicação mitigados no Brasil eram DDoS e 16,4% passaram por regra de WAF. Um certificado não faz nada contra esse vetor; o firewall faz. E aqui entra um detalhe de autoridade: a FULL é a única empresa brasileira credenciada como CNA (CVE Numbering Authority) sob a CISA desde maio de 2022, ou seja, atribui identificadores CVE oficiais. Um exemplo do limite do SSL: o All in One Security teve a CVE-2026-8438, CVSS 7.2, corrigida na versão 5.4.8, segundo o NVD; e o Contact Form 7 teve a CVE-2020-35489, CVSS 10.0, corrigida na 5.3.2, conforme o NVD. Ambas eram falhas de aplicação que o HTTPS jamais teria barrado. Configure também os cabeçalhos HTTPS e um firewall WordPress. ## Cuidado com Cloudflare: O cadeado que engana Quem usa Cloudflare ao instalar SSL gratis WordPress enfrenta uma armadilha: sites no modo SSL Flexible mostram cadeado verde no navegador enquanto o tráfego entre Cloudflare e o servidor de origem viaja em HTTP puro. O navegador vê a conexão Cloudflare-usuário criptografada e exibe o cadeado, mas o trecho Cloudflare-origem fica exposto, o que anula metade da proteção. Esse é o tipo de buraco que só aparece quando alguém inspeciona a configuração de perto. A correção é trocar o modo SSL de Flexible para FULL estrito no painel da Cloudflare, o que exige um certificado Let's Encrypt válido na origem, exatamente o que você instalou no Passo 2. Com o certificado na origem e o modo FULL estrito, os dois trechos da conexão ficam criptografados e o cadeado passa a refletir a realidade. A documentação da Cloudflare Learning detalha cada modo e quando usar cada um. Vale a leitura antes de assumir que o cadeado verde significa, sozinho, que o site está criptografado de ponta a ponta. ## Plano FULL: SSL gratis ja vem resolvido Instalar SSL gratis WordPress à mão funciona, mas quem não quer configurar certificado, redirecionamento e firewall em cada site encontra tudo isso ativado no plano PRO da FULL por R$849. O plano cobre até 10 sites, o que coloca o custo em cerca de R$85 por site, com o All in One Security e a camada de segurança já prontos para uso. A gente vê no suporte que a maior parte do retrabalho de SSL vem de site configurado às pressas, sem renovação automática nem correção de conteúdo misto; entregar isso resolvido economiza horas por site. Para quem quer instalar SSL gratis WordPress sem montar a stack à mão, conheça os planos em FULL.services/planos. E, para auditar o que já está no ar, escaneie o domínio gratuitamente com o FULL Scan e veja se algum plugin está vulnerável antes que o cadeado vire falsa sensação de segurança.O cadeado quebra por conteúdo misto: o certificado está válido, mas algum recurso ainda carrega por HTTP. Mesmo com HTTPS ativo no servidor, uma imagem, script ou CSS chamado por URL absoluta em HTTP faz o navegador remover o cadeado. A correção é reescrever esses caminhos para HTTPS, manualmente no banco ou via plugin de SSL, e confirmar no console do navegador que não sobrou nenhum aviso de mixed content.
Sim, dá para instalar SSL gratis WordPress sem tocar em uma linha de código. O Really Simple SSL, com mais de 6 milhões de instalações ativas, detecta o certificado, troca siteurl e home para HTTPS e aplica o redirecionamento 301 em um clique. A emissão do certificado também costuma ser um botão no painel da hospedagem. Código só entra se você optar por forçar HTTPS via .htaccess, que é a rota alternativa para quem quer controle total.
Instalar o certificado acontece no servidor e habilita a porta 443; forçar HTTPS acontece dentro do WordPress e redireciona todo acesso de HTTP para HTTPS. São etapas distintas: um certificado Let's Encrypt válido não serve de nada se o WordPress continuar montando URLs em HTTP. Por isso o cadeado só fecha quando as duas coisas estão feitas, o certificado emitido no Passo 2 e o redirecionamento 301 aplicado no Passo 4.
Um certificado Let's Encrypt dura 90 dias hoje e vai cair para 45 dias a partir de 2026. Esse prazo curto é proposital: força a renovação automática e reduz a janela de uso de uma chave comprometida. Na prática, o certbot ou a hospedagem gerenciada renova sozinho antes do vencimento. O risco real é o site cujo certificado não tem renovação automática: ele expira em silêncio e cai com erro NET::ERR_CERT_DATE_INVALID.
Conteúdo misto é quando uma página servida em HTTPS ainda carrega recursos por HTTP, como uma imagem ou um script antigo. O navegador interpreta isso como conexão parcialmente insegura e remove o cadeado, mesmo com o certificado válido. É a causa mais comum de cadeado quebrado depois de migrar para HTTPS. A solução é reescrever todas as URLs internas para HTTPS e checar o console do navegador, que lista cada recurso ainda carregado por HTTP.