SSL WordPress: Aqui está o que você deve saber sobre isso

Se sua empresa tem presença online, e não importa quantas estratégias de SEO você aplique, você não conseguiria alcançar uma boa classificação nos mecanismos de pesquisa ou os visitantes simplesmente voltam do seu site.

Você decide auditar seu site e descobrir a dolorosa verdade: não há nenhum certificado SSL instalado em seu site! Em outras palavras, a segurança do seu site parece não ser confiável não apenas para os mecanismos de pesquisa, mas também para os visitantes.

Neste artigo, você aprenderá o que é SSL e por que ele é importante. Quais vantagens o certificado SSL oferece e como funciona? Que tipo de certificado SSL WordPress existe e qual é o mais adequado para o seu site?

Estas são apenas algumas das perguntas que você deve saber antes de instalar o SSL do WordPress.

O que é SSL e por que é importante?

Secure Sockets Layer (SSL) é o padrão para comunicação criptografada entre servidores e navegadores. Um navegador recebe e interpreta esse certificado e verifica sua autenticidade. Depois de realizada a verificação, todos os dados enviados pela conexão segura são criptografados. Um navegador exibe a existência dessa conexão com um ícone de cadeado fechado e adiciona https antes do endereço do site.

HTTPS (Hypertext Transfer Protocol Secure) é uma combinação de dois protocolos: HTTP e SSL. HTTP é um túnel que transmite os dados e o SSL é um protocolo de segurança que criptografa os dados no túnel. Como resultado, o acesso não autorizado para ler, copiar ou descriptografar a comunicação entre o servidor e o cliente é (quase) impossível. Um certificado SSL típico inclui:

• Um nome de domínio e uma chave pública
• Informações de validade e um número de série
• Assinatura de uma autoridade de certificação

Os certificados SSL têm validade temporária (principalmente por até 90 dias), portanto, devem ser renovados periodicamente para garantir a confiabilidade contínua do seu site. Esses certificados são um requisito obrigatório para todos os sites que lidam com dados pessoais e informações financeiras confidenciais.

A iniciativa do Google de dar aos sites protegidos por SSL uma melhor classificação SERP também indica a importância da instalação de certificados SSL. Desde 2014, os certificados SSL se tornaram um componente obrigatório para todos os sites. O gráfico a seguir mostra o grande crescimento na porcentagem de páginas carregadas em sites certificados SSL.

Matt Mullenweg, o cofundador do WordPress disse uma vez: “ Só promoveremos parceiros de hospedagem que forneçam um certificado SSL por padrão em suas contas. ”Além disso, você também pode ver uma menção especial ao suporte HTTPs para requisitos de hospedagem.

Como funciona um certificado SSL?

O protocolo SSL é uma construção de quatro camadas (registro SSL, handshake, especificação de cifra de mudança e protocolo de alerta) que criptografa com segurança os dados entre um servidor e um navegador. Essas camadas permitem o uso de uma chave para criptografia / descriptografia e um modelo de autenticação baseado no uso de uma chave pública e uma chave privada.

Neste modelo, a chave pública criptografa os dados, enquanto a chave privada é usada para descriptografar. Isso acontece na camada de handshake do protocolo SSL, onde as chaves criptográficas assimétricas para criptografar e descriptografar os dados são trocadas.

Certificados SSL: Validação e Tipos

Os certificados SSL geralmente vêm em três níveis de validação:

1. Validação de domínio (DV)

A Autoridade de Certificação verifica o direito do candidato de usar um nome de domínio específico. A identidade da empresa por trás do domínio não é inspecionada. As informações são exibidas quando um usuário clica no cadeado do site seguro. Como você pode imaginar, este é um nível bastante básico de validação SSL.

2. Validação da Organização (OV)

A Autoridade de Certificação verifica o direito do candidato de usar um nome de domínio específico e a validade da organização por trás do domínio.

A Validação da Organização (OV) é mais complexa, mas garante a legitimidade do domínio e identifica os proprietários da empresa, oferecendo assim mais confiança aos visitantes. Geralmente é usado por empresas de comércio eletrônico e sites corporativos.

3. Validação Estendida (EV)

A Autoridade de Certificação verifica o direito do requerente de usar um nome de domínio específico e submete a organização a uma inspeção detalhada. O processo de emissão de certificados com Validação Estendida (EV) é definido extensivamente nas diretrizes do CA / Browser Forum.

A Validação Estendida (EV) é o nível mais alto de validação de certificado SSL e requer a apresentação de documentos e licenças legais para verificar a existência da empresa. Com EV, os usuários veem um selo de site seguro na barra de endereços do navegador.

Além da validação, os certificados SSL também estão disponíveis em várias configurações de aplicativos:

1. Domínio Único

Se você deseja proteger apenas um domínio, um certificado de domínio único é sua melhor opção. Esses certificados se aplicam apenas a um domínio de nível superior (por exemplo, website.com) . Este tipo de certificado SSL está disponível em todos os níveis de validação.

2. Multi-domínio

Este tipo de certificado certifica vários domínios (por exemplo, website.com , website.com.uk) com um único certificado SSL. Observe que, dependendo da autoridade de certificação, o número de domínios protegidos pode variar. Os certificados SSL de vários domínios estão disponíveis com todos os níveis de validação, exceto EV.

3. Wildcard

Eles são usados ​​para domínios únicos que têm vários subdomínios. A autoridade de certificação que emite o certificado SSL curinga tem o direito de limitar o número de subdomínios protegidos. Este tipo de certificado SSL está disponível com todos os níveis de validação, exceto EV.

4. Caractere curinga de vários domínios

Esses certificados são uma combinação de certificados multi-domínio e curinga. Você pode usar esses certificados para proteger vários domínios de nível superior junto com os subdomínios. Novamente, o limite pode variar dependendo da autoridade de certificação. Este tipo de certificado SSL está disponível em todos os níveis de validação, exceto EV.

Vantagens de usar certificados SSL do WordPress

Neste ponto, você já pode saber a importância dos certificados SSL. Agora é hora de conhecer as vantagens dos certificados SSL.

• Confiança: com um certificado SSL, os visitantes sabem que sua conexão com o site é criptografada, aumentando assim a confiança e a credibilidade.
• Legitimidade: Porque é claro que todas as atividades acontecem em um site conhecido e devidamente protegido.
• Segurança: Os visitantes sabem que as informações são criptografadas, portanto, os dados estarão protegidos contra qualquer tipo de acesso ou ataque não autorizado de terceiros.
• Classificação: o Google favorece as páginas da web que possuem SSL e HTTPS no endereço.

Os certificados SSL são especialmente recomendados para empresas, principalmente lojas online que trabalham com dados pessoais de usuários.

Vamos criptografar: certificados SSL / TLS grátis

Let's Encrypt é uma Autoridade de Certificação (CA) gratuita e automatizada que fornece certificados validados por domínio (DV) gratuitamente com um período de validade de 90 dias. Este serviço é fornecido pelo Internet Security Research Group (ISRG). Qualquer pessoa que possua um domínio e hospedagem pode adicionar certificados Let's Encrypt SSL ao WordPress sem nenhum custo.

O tempo de ativação de um certificado também pode depender da disponibilidade de recursos do Let's Encrypt e de uma série de limitações da própria Autoridade de Certificação. Essas limitações incluem:

• Certificados por domínio registrado (50 por semana)
• Nomes por certificado (até 100)
• Subdomínios exclusivos (até 5.000 por semana)
• Certificados duplicados (5 por semana)

Para verificar os detalhes dessas limitações, consulte Let's Encrypt Rate Limits. Também usarei os certificados Let's Encrypt SSL para demonstrar ideias práticas de agora em diante.

Antes de passar para a próxima seção, recomendo fazer backup do seu site WordPress, para que você sempre possa restaurá-lo caso as coisas dêem errado. Você pode fazer backups de duas maneiras: por meio de um plugin de backup do WordPress ou backups do lado do servidor. Como alternativa, você pode criar um ambiente de teste do WordPress ou clonar todo o seu site para teste.

Instale certificados SSL grátis no WordPress

Eu uso a Cloudways Platform para este artigo e suponho que você já se inscreveu em uma conta, lançou um servidor com um aplicativo WordPress e o apontou para o seu domínio. Se não, aqui está como você pode iniciar seu servidor com WordPress.

Na próxima etapa, vá para Aplicativos na barra de menus superior esquerda. Você pode ver seu aplicativo WordPress instalado em seu servidor. Clique em seu aplicativo para acessar o painel de gerenciamento de aplicativos .

Adicionar SSL WordPress de domínio único em seu site

Antes de instalar o SSL do WordPress, certifique-se de que seu domínio esteja ativo com propagação DNS completa. Caso contrário, você não conseguirá instalar os certificados SSL.

Na próxima etapa, insira seu nome de domínio e o mesmo endereço de e- mail que você usou para criar a conta Cloudways. Agora, clique em Instalar certificado .

Adicionar SSL WordPress de vários domínios em seu site

Para instalar o certificado SSL Let's Encrypt WordPress em vários domínios, clique em Adicionar Domínio e insira os nomes de domínio associados ao seu site WordPress. Uma vez feito isso, clique em Instalar certificado .

Adicionar certificado SSL curinga para subdomínios

Você só precisa marcar a caixa de seleção Aplicar curinga . Levará alguns minutos para fornecer o registro CNAME que precisa ser adicionado ao registrador de domínio.

Faça login em seu registrador de domínio e adicione um registro CNAME com informações semelhantes:

• Tipo: CNAME
• Host: _acme-challenge
• Valor: [URL do seu site]

Uma vez feito isso, volte para a seção Certificado SSL e clique em Verificar DNS . Isso irá validar as configurações e notificá-lo de acordo. Na próxima etapa, clique em Instalar certificado para instalar o SSL do WordPress em seu site.

Renovação automática do certificado SSL do WordPress Let's Encrypt

A Cloudways Platform lida com o processo de renovação automaticamente se você definir a opção Auto-Renewal para Enable . Você também pode renová-lo a qualquer momento clicando no botão Renovar agora .

Como alternativa, você pode usar um serviço de monitoramento SSL que garante que todos os certificados SSL são válidos e seus clientes não estão recebendo avisos de segurança.

Instalar certificados SSL pagos do WordPress

Para certificados SSL pagos, primeiro você precisa habilitar a Solicitação de Assinatura de Certificado (CSR) em seu aplicativo WordPress.

Vá para a seção Certificado SSL , selecione “ Eu não tenho um certificado ” no menu suspenso e clique em Criar CSR .

Se você quiser usar um único certificado SSL do WordPress em vários domínios, marque a caixa de seleção onde diz SAN e adicione os nomes de domínio no formulário.

Depois de enviar o formulário, o CSR será gerado. Na próxima etapa, clique no botão Baixar CSR para baixar o arquivo CSR.

Envie o arquivo CSR baixado ao seu provedor de certificado SSL do WordPress para gerar um certificado SSL com base em seus requisitos.

O provedor de certificado SSL fornecerá dois arquivos: [seudominio] .crt (código do certificado) e [seudominio] .ca (arquivo em cadeia). Clique em Instalar certificado e você verá uma janela pop-up solicitando o código do certificado e a cadeia de CA. Envie essas informações em seus respectivos campos.

Depois de enviar essas informações, clique em Enviar e pronto. O SSL agora deve funcionar para o seu site WordPress.

O que é HSTS e por que você deve usá-lo?

HTTP Strict Transport Security (HSTS) é uma diretiva de servidor da web que informa ao navegador da web e aos agentes de usuário como lidar com a conexão com o seu site. Ele envia um cabeçalho de resposta com instruções logo no início.

Às vezes, HTTPS não é suficiente, pois o invasor ainda encontrará uma maneira de acessar seu site através de http: //. O HSTS força os navegadores a usar HTTPS, se disponível. Configurar o HSTS para certificados SSL do WordPress é muito fácil. Se você estiver hospedando em um servidor Apache, adicione as seguintes linhas ao arquivo .htaccess.

 # Use HSTS para forçar os clientes a usar apenas conexões seguras

Cabeçalho sempre definido Strict-Transport-Security "max-age = 300; includeSubDomains; preload"

Antes de adicionar HSTS ao seu site WordPress, certifique-se de ler os seguintes pré-requisitos:

• O site deve ter um certificado SSL válido instalado.
• Redirecione TODOS os links HTTP para HTTPS com um redirecionamento permanente 301.
• Certifique-se de que todos os subdomínios sejam incluídos em seu certificado SSL. (Considere um certificado curinga)

Certificados SSL do WordPress no Cloudflare (opcional)

Se você estiver usando o Cloudflare de uma forma ou de outra, precisará realizar algumas etapas adicionais. Em primeiro lugar, desative o Cloudflare, caso contrário, o processo de configuração pode falhar.

Passo 1

Faça login no painel do Cloudflare e, na guia DNS, desative as opções www e [yourdomain] .com usando o botão de alternância. Se estiver cinza, significa que o serviço está desativado.

Passo 2

Agora, vá para Cloudways Platform → Server Management → seção Settings and Packages , dentro da guia Advanced , e em WAF Module, escolha Cloudflare e clique no botão Save Changes .

etapa 3

Volte para o painel do Cloudflare e ative as opções que você desativou na Etapa 1 . Clique na guia SSL / TLS na parte superior e mude o modo de criptografia SSL / TLS para Flexível . Pode levar até 24 horas para que o Cloudflare ative o certificado. No entanto, se você já usou o mesmo domínio antes, ele será ativado instantaneamente.

Assim que o certificado for ativado, mude para Completo (estrito) .

Limpar site, hospedagem e cache do navegador

Agora é hora de verificar se o certificado SSL do WordPress gratuito foi instalado. Antes de prosseguir, limpe o cache do site, bem como o cache do lado do servidor, como o Varnish, navegando para Cloudways Platform → Server Management → Manage Services .

Verifique se os certificados SSL estão funcionando corretamente

Presumo que você tenha instalado o certificado SSL do Let's Encrypt WordPress para o seu site e configurado tudo corretamente. Agora é hora de testar o certificado SSL. Visite seu site e verifique o ícone que está sendo exibido.

Se você vir o segundo ícone, significa que o certificado SSL está funcionando bem. Se você vir o terceiro ícone, significa que o site está usando um certificado SSL, mas há alguns elementos na página que não estão usando HTTPS, um fenômeno conhecido como Conteúdo Misto.

SSL Labs oferece uma excelente ferramenta de verificação de SSL onde você simplesmente insere seu nome de domínio, e ele irá analisar e fornecer um relatório como abaixo.

Muitos usuários do Cloudflare relatam problemas ao tentar importar um certificado gratuito Let's Encrypt WordPress SSL para seu domínio em uma conta gratuita do Cloudflare. A configuração acima deve funcionar, mas se não funcionar, tente as seguintes etapas:

1. Faça login no Cloudflare e selecione o domínio com o qual deseja trabalhar.
2. Selecione SSL / TLS na opção do menu superior
3. Altere o modo de criptografia SSL / TLS para flexível
4. Defina Sempre Usar HTTPS como Ativado
5. Na seção HSTS, Ativar HSTS
   • Defina Max-Age para 3 meses
   • Incluir subdomínios: Desligado (mude como desejar - leia acima)
   • Pré-carga: Desligado
6. Defina a versão mínima de TLS para TLS 1.2
7. Criptografia Oportunista: Ligada
8. Definir TLS 1.3: Ativado
9. Reescritas HTTPS automáticas: Ligado (para habilitar o redirecionamento)
10. Desative o SSL universal (leia novamente acima). Ao fazer isso, você não está mais usando certificados SSL Cloudflare e usa apenas os certificados fornecidos pelo seu servidor.

O processo acima foi contribuído por Gary Stevens da Hosting Canada - Web Hosting Reviews .

Alterar URLs de HTTP para HTTPS

Vá para o Painel do WordPress → Configurações → Geral → antes do endereço do WordPress (URL) e do endereço do site (URL) → insira https em vez de http → e clique em Salvar alterações na parte inferior da página. Isso substituirá todos os URLs internos por https: // .

Forçar SSL para a página de login do WordPress

Ao alterar os URLs no painel do WordPress, todos os URLs do site também devem ser alterados. Caso contrário, você pode querer forçar o SSL para a área de login do WordPress configurando o SSL no arquivo wp-config.php.

No arquivo wp-config.php, adicione a seguinte linha onde diz “ Isso é tudo, pare de editar! ”

 define ('FORCE_SSL_ADMIN', verdadeiro);

A linha acima forçará SSL para as páginas de login do WordPress (o URL é geralmente: wp-admin / wp-login.php)

Redirecionar HTTP para HTTPS por meio do arquivo .htaccess

Se alguém visitar seu site com HTTP, o servidor não será forçado a servir via HTTPS. Na próxima etapa, adicionarei uma regra ao arquivo .htaccess para redirecionar todo o tráfego de HTTP para HTTPS. Antes de fazer qualquer alteração, faça backup do arquivo .htaccess em um local externo, pois um único ponto pode afetar seu WordPress.

Faça login em sua hospedagem WordPress → navegue até o diretório raiz do WordPress → abra o arquivo .htaccess com qualquer editor → cole as seguintes linhas no início do arquivo .htaccess.

 RewriteEngine On

RewriteCond% {http: X-Forwarded-Proto}! HTTPS

RewriteRule ^ (. *) $ Https: //% {HTTP_HOST} / $ 1 [R = 301, L]

O arquivo .htaccess deve ser semelhante a:

 RewriteEngine On

RewriteCond% {http: X-Forwarded-Proto}! HTTPS

RewriteRule ^ (. *) $ Https: //% {HTTP_HOST} / $ 1 [R = 301, L]

# BEGIN WordPress

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteBase /

RewriteRule ^ index \ .php $ - [L]

RewriteCond% {REQUEST_FILENAME}! -F

RewriteCond% {REQUEST_FILENAME}! -D

RewriteRule. /index.php [L]

</IfModule>

# END WordPress

Atualizar URLs CDN para HTTPS

Se você estiver usando um CDN do WordPress, atualize os URLs do WordPress para https: // (assim como eu abordei na seção Cloudflare acima).

Aviso de conteúdo mix

Visite o seu site e verifique se todos os links internos foram movidos para https: //. Se você ainda puder ver um ícone de informações em algumas de suas páginas da web, um ou mais URLs estão sendo servidos via HTTP. Você precisa identificar esses URLs.

Identifique os URLs de aviso de conteúdo do mix

Para demonstrar o cenário Mix Content, adicionei uma imagem a uma postagem e alterei o URL para HTTP acessando o editor de texto de uma postagem. Em seguida, visitei a postagem e abri o console do desenvolvedor (inspecionar elemento). Clique no ícone de erro e digite “mix” na barra de pesquisa. Isso mostrará todos os URLs que estão servindo via HTTP e precisam ser atualizados para HTTPS.

No meu caso, é apenas o URL da imagem. No entanto, há uma chance de que algumas imagens externas, folhas de estilo ou scripts de um domínio sem um certificado SSL do WordPress estejam sendo usados ​​em seu site. Você precisa movê-los para https: // manualmente. Como alternativa, você pode removê-los ou mover esses arquivos para o seu servidor.

Os URLs não SSL do JitBit são uma excelente ferramenta online que rastreia e verifica os links não SSL em um site. Eu fiz a varredura em meu site de teste e a captura de tela a seguir exibe os URLs que estavam sendo servidos por HTTP.

Existem várias maneiras de corrigir problemas de Aviso de Conteúdo Misto. Vamos discutir alguns deles:

Método 1: usando o plug-in de URLs de atualização do Velvet Blues

Existe um plugin útil para atualizar URLs de Velvet Blues que verifica todos os URLs e os atualiza de acordo. Depois de instalar o plug-in, vá para Painel do WordPress → Ferramentas → Atualizar URLs → configure o plug-in conforme abaixo → e clique em Atualizar URLs agora .

Método 2: usando o melhor plug-in de substituição de pesquisa

Better Search Replace é outro ótimo plugin que substitui os URLs HTTP por HTTPS no banco de dados. Depois de instalar o plug-in, vá para Painel do WordPress → Ferramentas → Melhor substituição de pesquisa → configure o plug-in como abaixo → e clique em Executar pesquisa / substituir .

Método 3: usando o plug-in SSL realmente simples

A maneira mais fácil de configurar HTTPS grátis é usar o plugin Really Simple SSL. Depois de instalar o plug-in, vá para Painel do WordPress → Configurações → SSL . Se tudo for feito corretamente, você verá algo como abaixo e se houver algo mal configurado, você verá uma cruz vermelha junto com as instruções para corrigir esse aviso.

Really Simple SSL substitui os URLs conforme a página é carregada. Isso pode afetar ligeiramente o desempenho e, se você estiver usando um plug-in de cache do WordPress, o impacto será apenas no primeiro carregamento.

Configurar HTTPS para Google Search Console

Para rastrear links HTTPS no Search Console, vá para Painel do Google Analytics → Admin → escolha a propriedade necessária e clique em Configurações da propriedade → altere o URL padrão de http: // para https: // → e clique em Salvar no final da página.

Você concluiu como obter um certificado SSL gratuito para WordPress. Não se esqueça de alterar todos os URLs predefinidos de HTTP para HTTPS, pois eles serão rastreados pelo Google Analytics.

Empacotando!

Se você chegou até aqui, agora você pode imaginar a importância do SSL do WordPress e como você pode instalá-lo em seu WordPress. Se você não usá-lo, perderá clientes em potencial, os visitantes abandonarão seu site porque não se sentem seguros e, o mais importante, você perderá as classificações nos mecanismos de pesquisa.

Esta última questão é especialmente séria no caso do Google. Ele é responsável por penalizar páginas sem certificados SSL. Sem falar na possibilidade de abrir suas portas para phishing e roubo de dados. Se você tiver alguma dúvida, sinta-se à vontade para perguntar na seção de comentários abaixo.