Instalar SSL grátis WordPress exige emitir o certificado no servidor e depois forçar HTTPS dentro do WordPress. Segundo a Let’s Encrypt (2025), seus certificados TLS gratuitos já protegem mais de 550 milhões de sites. O certificado padrão dura 90 dias e cai para 45 dias em 2026, o que torna a renovação automática obrigatória. Sem forçar HTTPS, o cadeado quebra mesmo com certificado válido.
Instalar SSL grátis WordPress significa colocar um certificado TLS válido no domínio e servir o site inteiro sob HTTPS, sem pagar nada pela emissão. O ponto que mais confunde quem começa: emitir o certificado é só metade do trabalho. A outra metade é dizer ao WordPress para usar HTTPS em todas as URLs internas, senão o navegador acusa conteúdo misto e o cadeado fica quebrado. Este guia cobre a emissão gratuita com Let’s Encrypt, o redirecionamento correto e a validação final. Para entender por que o protocolo importa antes de configurar, vale ler nosso material sobre HTTPS e WordPress na prática e os guias de segurança WordPress da FULL.
Neste artigo
Primeiros passos: Visão geral do SSL grátis
Instalar SSL grátis WordPress depende de três camadas alinhadas: o certificado no servidor, o protocolo dentro do WordPress e a correção do conteúdo misto. Em 2026, mais de 95% das páginas no Chrome já usam HTTPS, segundo o Google, então um site em HTTP destoa. A tabela abaixo resume cada camada.
| Camada | Objetivo | Check de validação |
|---|---|---|
| Certificado (servidor) | Emitir um certificado TLS gratuito Let’s Encrypt no painel da hospedagem. | Abrir https://seusite.com e ver o cadeado sem aviso. |
| Protocolo (WordPress) | Trocar siteurl e home de HTTP para HTTPS e forçar o redirecionamento. | Visitar uma URL em HTTP e cair em HTTPS automaticamente. |
| Conteúdo misto | Reescrever imagens, scripts e CSS que ainda apontam para HTTP. | Console do navegador sem aviso de “mixed content”. |
A maioria dos sites trava na segunda e na terceira camada, não na emissão. Emitir virou trivial; o ajuste fino do WordPress é o que ainda gera ticket.
Como emitir o certificado SSL grátis no servidor
Emitir o certificado é o primeiro passo para instalar SSL grátis WordPress, leva poucos minutos e custa zero, porque a autoridade certificadora valida o domínio de forma automática via protocolo ACME. Em quase toda hospedagem moderna existe um botão de SSL grátis no painel; ele dispara o certbot, instala o certificado e agenda a renovação. O certificado vale 90 dias, prazo que cai para 45 dias em 2026.
Na prática, você abre o painel da hospedagem, vai na seção SSL/TLS e ativa o certificado para o domínio e o www. Em cPanel, o recurso aparece como “Let’s Encrypt SSL” ou “AutoSSL”. A emissão depende do DNS já apontado, então confirme a propagação antes. Hospedagens gerenciadas emitem e renovam sem intervenção. Quem usa Cloudflare na frente do WordPress precisa de um cuidado extra, detalhado abaixo.
Legenda: a emissão do certificado é o passo mais simples; o trabalho real começa depois, dentro do WordPress.
Instalar SSL grátis WordPress sem mexer no código
Forçar o HTTPS sem editar código é tarefa para um plugin dedicado, e o Really Simple SSL resolve isso em um clique. O plugin detecta o certificado, troca siteurl e home para HTTPS, ativa o redirecionamento 301 e reescreve as URLs internas em HTTP. São mais de 6 milhões de instalações ativas, segundo o repositório oficial do WordPress.
Depois de ativar, o plugin varre o site e mostra um botão para migrar para HTTPS. Ao clicar, ele aplica o redirecionamento 301 e corrige boa parte do conteúdo misto na hora. Vale conferir nosso review do Really Simple SSL para os limites do plano gratuito. Quem prefere não depender de plugin pode forçar HTTPS via .htaccess, rota mais enxuta mas que exige acesso ao arquivo. As duas chegam ao mesmo cadeado verde.
Passo a passo para instalar SSL grátis WordPress
Instalar SSL grátis WordPress de ponta a ponta leva cerca de 15 minutos quando o DNS já está propagado, e segue cinco passos em ordem fixa. Pular a ordem é a causa mais comum de cadeado quebrado: forçar HTTPS antes de emitir o certificado deixa o site inacessível. Faça backup completo antes de começar, porque o passo de redirecionamento mexe em siteurl e um erro ali pode tirar o painel do ar.
Passo 1: Confirme o DNS apontado e faca backup
Antes de emitir qualquer certificado, confirme que o domínio aponta para o servidor certo e que existe um backup recente. Esse cuidado evita o erro mais comum de quem tenta instalar SSL grátis WordPress às pressas. A emissão Let’s Encrypt valida a posse do domínio via DNS, então um registro A errado faz a emissão falhar com erro de validação. Gere o backup pelo backup automático do WordPress e guarde uma cópia fora do servidor.
Passo 2: Emita o certificado SSL grátis na hospedagem
Abra o painel da hospedagem, vá em SSL/TLS e ative o certificado Let’s Encrypt para o domínio e o www. A emissão roda o certbot e instala o certificado em segundo plano, normalmente em menos de 2 minutos. Confirme abrindo https://seusite.com: se o cadeado aparece, o certificado está válido no servidor, mesmo que o WordPress ainda sirva HTTP.
Passo 3: Troque siteurl e home para HTTPS
Em Configurações, Geral, troque o “Endereço do WordPress” e o “Endereço do site” de HTTP para HTTPS. Essa troca diz ao WordPress para montar todas as URLs internas sob HTTPS. Se você usa um plugin como o Really Simple SSL, ele faz isso por você e ainda ativa o redirecionamento 301 no mesmo clique.
Passo 4: Force o redirecionamento e corrija o conteúdo misto
Garanta que todo acesso em HTTP caia em HTTPS via redirecionamento 301, e reescreva os recursos que ainda carregam por HTTP. Imagens, scripts e folhas de estilo com URL absoluta em HTTP disparam o aviso de conteúdo misto e quebram o cadeado. Plugins de SSL reescrevem isso na saída; sem plugin, uma busca-e-substituição no banco resolve os caminhos antigos.
Passo 5: Valide o certificado no SSL labs
Rode o teste do SSL Labs no seu domínio para confirmar nota A e cadeia de certificados completa. A ferramenta avalia versão do TLS, força da cifra e validade da cadeia, e aponta se falta o certificado intermediário. Uma nota abaixo de A geralmente indica TLS 1.0/1.1 ainda ativo ou cadeia incompleta, ambos corrigíveis no servidor.
Erros comuns ao instalar SSL grátis WordPress
Instalar SSL grátis WordPress falha quase sempre por três erros previsíveis, e nenhum é culpa do certificado. O mais frequente nos tickets do suporte da FULL é o conteúdo misto: certificado válido, mas uma imagem ainda carrega por HTTP e o navegador remove o cadeado, mesmo com HTTPS ativo no servidor.
O segundo erro é o loop de redirecionamento. Quando o Really Simple SSL redireciona via .htaccess e o site está atrás de um proxy reverso sem o cabeçalho X-Forwarded-Proto, o servidor entende que a requisição chegou em HTTP, redireciona de novo e cai no ERR_TOO_MANY_REDIRECTS. O terceiro é a expiração silenciosa: um certificado de 90 dias sem renovação automática via certbot expira e o site sai do ar com NET::ERR_CERT_DATE_INVALID. Para monitorar o status do certificado junto de outras falhas, use o plugin de segurança certo.
SSL grátis e segurança: Onde o certificado para
O certificado SSL protege o tráfego em trânsito, mas não protege o WordPress de plugins vulneráveis. Nos últimos dias, segundo o Cloudflare Radar (janela de 09/06/2026), 82,4% dos ataques de camada de aplicação mitigados no Brasil eram DDoS e 16,4% passaram por regra de WAF. Um certificado não faz nada contra esse vetor; o firewall faz.
E aqui entra um detalhe de autoridade: a FULL é a única empresa brasileira credenciada como CNA (CVE Numbering Authority) sob a CISA desde maio de 2022, ou seja, atribui identificadores CVE oficiais. Um exemplo do limite do SSL: o All in One Security teve a CVE-2026-8438, CVSS 7.2, corrigida na versão 5.4.8, segundo o NVD; e o Contact Form 7 teve a CVE-2020-35489, CVSS 10.0, corrigida na 5.3.2, conforme o NVD. Ambas eram falhas de aplicação que o HTTPS jamais teria barrado. Configure também os cabeçalhos HTTPS e um firewall WordPress.
Cuidado com Cloudflare: O cadeado que engana
Quem usa Cloudflare ao instalar SSL grátis WordPress enfrenta uma armadilha: sites no modo SSL Flexible mostram cadeado verde no navegador enquanto o tráfego entre Cloudflare e o servidor de origem viaja em HTTP puro. O navegador vê a conexão Cloudflare-usuário criptografada e exibe o cadeado, mas o trecho Cloudflare-origem fica exposto, o que anula metade da proteção. Esse é o tipo de buraco que só aparece quando alguém inspeciona a configuração de perto.
A correção é trocar o modo SSL de Flexible para FULL estrito no painel da Cloudflare, o que exige um certificado Let’s Encrypt válido na origem, exatamente o que você instalou no Passo 2. Com o certificado na origem e o modo FULL estrito, os dois trechos da conexão ficam criptografados e o cadeado passa a refletir a realidade. A documentação da Cloudflare Learning detalha cada modo e quando usar cada um. Vale a leitura antes de assumir que o cadeado verde significa, sozinho, que o site está criptografado de ponta a ponta.
Plano FULL: SSL grátis já vem resolvido
Instalar SSL grátis WordPress à mão funciona, mas quem não quer configurar certificado, redirecionamento e firewall em cada site encontra tudo isso ativado no plano PRO da FULL por R$849. O plano cobre até 10 sites, o que coloca o custo em cerca de R$85 por site, com o All in One Security e a camada de segurança já prontos para uso. A gente vê no suporte que a maior parte do retrabalho de SSL vem de site configurado às pressas, sem renovação automática nem correção de conteúdo misto; entregar isso resolvido economiza horas por site. Para quem quer instalar SSL grátis WordPress sem montar a stack à mão, conheça os planos em FULL.services/planos. E, para auditar o que já está no ar, escaneie o domínio gratuitamente com o FULL Scan e veja se algum plugin está vulnerável antes que o cadeado vire falsa sensação de segurança.
Perguntas frequentes sobre instalar SSL grátis WordPress
Por que o cadeado continua quebrado mesmo após instalar o SSL?
O cadeado quebra por conteúdo misto: o certificado está válido, mas algum recurso ainda carrega por HTTP. Mesmo com HTTPS ativo no servidor, uma imagem, script ou CSS chamado por URL absoluta em HTTP faz o navegador remover o cadeado. A correção é reescrever esses caminhos para HTTPS, manualmente no banco ou via plugin de SSL, e confirmar no console do navegador que não sobrou nenhum aviso de mixed content.
E possível instalar SSL grátis WordPress sem mexer no código?
Sim, dá para instalar SSL grátis WordPress sem tocar em uma linha de código. O Really Simple SSL, com mais de 6 milhões de instalações ativas, detecta o certificado, troca siteurl e home para HTTPS e aplica o redirecionamento 301 em um clique. A emissão do certificado também costuma ser um botão no painel da hospedagem. Código só entra se você optar por forçar HTTPS via .htaccess, que é a rota alternativa para quem quer controle total.
Qual a diferenca entre instalar o certificado e forcar HTTPS?
Instalar o certificado acontece no servidor e habilita a porta 443; forçar HTTPS acontece dentro do WordPress e redireciona todo acesso de HTTP para HTTPS. São etapas distintas: um certificado Let’s Encrypt válido não serve de nada se o WordPress continuar montando URLs em HTTP. Por isso o cadeado só fecha quando as duas coisas estão feitas, o certificado emitido no Passo 2 e o redirecionamento 301 aplicado no Passo 4.
Quanto tempo dura um certificado Let’s Encrypt gratuito?
Um certificado Let’s Encrypt dura 90 dias hoje e vai cair para 45 dias a partir de 2026. Esse prazo curto é proposital: força a renovação automática e reduz a janela de uso de uma chave comprometida. Na prática, o certbot ou a hospedagem gerenciada renova sozinho antes do vencimento. O risco real é o site cujo certificado não tem renovação automática: ele expira em silêncio e cai com erro NET::ERR_CERT_DATE_INVALID.
O que e conteúdo misto e como ele afeta o cadeado HTTPS?
Conteúdo misto é quando uma página servida em HTTPS ainda carrega recursos por HTTP, como uma imagem ou um script antigo. O navegador interpreta isso como conexão parcialmente insegura e remove o cadeado, mesmo com o certificado válido. É a causa mais comum de cadeado quebrado depois de migrar para HTTPS. A solução é reescrever todas as URLs internas para HTTPS e checar o console do navegador, que lista cada recurso ainda carregado por HTTP.
Próximos passos para deixar o site sob HTTPS
Instalar SSL grátis WordPress se resume a emitir o certificado, forçar HTTPS e eliminar o conteúdo misto, nessa ordem. O certificado Let’s Encrypt cobre a emissão sem custo; o trabalho de verdade é o redirecionamento 301 e a limpeza dos recursos em HTTP, além do ajuste do modo FULL estrito se você usa Cloudflare. Valide sempre no SSL Labs e revise os cabeçalhos no Mozilla Observatory antes de considerar a tarefa concluída, e você terá feito o trabalho de instalar SSL grátis WordPress do jeito certo. Para continuar aprendendo, o guia de segurança para WordPress da FULL reúne os próximos passos de hardening, e o FULL Academy organiza tutoriais e guias em um só lugar. Um cadeado verde é o começo da segurança, nunca o fim dela.
Saúde e Bem-Estar
Restaurantes & Alimentação
Hotelaria & Turismo
Imobiliárias & Construção
Negócios Locais & Franquias
E-commerce & Lojas Virtuais
Educação & Cursos
Profissionais Liberais & Serviços
Agências Digitais & Freelancers
MEIs e Autônomos
Agências e Freelancers
Pequenas Empresas
Startups
Franquias
Elementor PRO
Rank Math
SEOPress
Happy Addons
Tutor LMS
WP Optimize
Crocoblock
WP Rocket
Ultimate Addons
Perfmatter
Funnel Kit
AIOS
Astra PRO
ACF
Essential Addons
WP Forms
UpdraftPlus
Ver mais
FULL CRM 
FULL Widget
FULL Woo
FULL Pop-up
FULL Security
FULL NPS
FULL Update
FULL Social Proof
FULL Analytics
FULL Templates
FULL Creator AI
FULL Backup
FULL Safe Login
FULL SMTP
FULL Monitor
FULL Speed
FULL Cache
FULL Whitelabel
