O WordPress alimenta 43% da web. Adicionar SSL/HTTPS envolve três etapas: obter um certificado, instalá-lo no servidor e atualizar o WordPress para usar URLs HTTPS. Este guia cobre todas as três.
Passo 1: Obtenha um certificado
A maioria das hospedagens WordPress inclui SSL gratuito — verifique primeiro:
| Tipo de hospedagem | Como verificar |
|---|---|
| WordPress gerenciado (SiteGround, Bluehost, WP Engine) | Painel de controle → seção Segurança/SSL — geralmente ativado automaticamente |
| Hospedagem compartilhada cPanel | cPanel → SSL/TLS Status — procure AutoSSL |
| VPS/dedicado | Sem SSL integrado — você precisa instalar um por conta própria |
Se sua hospedagem não fornece SSL, obtenha um certificado gratuito do GetHTTPS e instale via cPanel, Nginx ou Apache.
Passo 2: Atualize as URLs do WordPress
Após o certificado estar instalado no servidor, informe ao WordPress para usar HTTPS:
Método A: Configurações do WordPress (mais fácil)
- Vá para Settings → General
- Altere ambas as URLs de
http://parahttps://:- WordPress Address (URL):
https://yourdomain.com - Site Address (URL):
https://yourdomain.com
- WordPress Address (URL):
- Clique em Save Changes
Você será desconectado — faça login novamente na nova URL https://.
Método B: wp-config.php (se não consegue acessar o painel)
Adicione antes de /* That's all, stop editing! */:
define('WP_HOME', 'https://yourdomain.com');
define('WP_SITEURL', 'https://yourdomain.com');
define('FORCE_SSL_ADMIN', true);
Passo 3: Corrija o conteúdo misto
O WordPress armazena URLs absolutos no banco de dados (conteúdo de posts, imagens, texto de widgets). Após mudar para HTTPS, referências antigas http:// causam avisos de conteúdo misto.
Correção rápida: Plugin Really Simple SSL
- Instale o plugin Really Simple SSL
- Ative-o — ele detecta seu certificado e corrige a maioria do conteúdo misto automaticamente
- Ele adiciona o header
upgrade-insecure-requestse reescreve URLs dinamicamente
Correção permanente: Busca e Substituição no banco de dados
Para uma solução limpa sem dependência de plugin:
# Usando WP-CLI (recomendado)
wp search-replace 'http://yourdomain.com' 'https://yourdomain.com' --all-tables
Ou use o plugin Better Search Replace:
- Buscar por:
http://yourdomain.com - Substituir por:
https://yourdomain.com - Selecione todas as tabelas
- Execute (faça uma execução simulada primeiro)
SQL manual (avançado)
UPDATE wp_options SET option_value = REPLACE(option_value, 'http://yourdomain.com', 'https://yourdomain.com') WHERE option_name IN ('home', 'siteurl');
UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');
Passo 4: Configure o redirecionamento HTTP → HTTPS
Garanta que todos os visitantes sejam servidos via HTTPS, mesmo que digitem http://:
.htaccess (Apache — mais comum para WordPress)
Adicione no topo do seu arquivo .htaccess (antes das regras do WordPress):
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Nginx
server {
listen 80;
server_name yourdomain.com www.yourdomain.com;
return 301 https://$host$request_uri;
}
Veja nosso guia completo de redirecionamento.
Passo 5: Atualize serviços externos
Após migrar para HTTPS, atualize suas URLs em:
- Google Search Console — adicione a propriedade
https:// - Google Analytics — Configurações → URL padrão → altere para
https:// - Sitemap — regenere com URLs
https://(Yoast/Rank Math faz isso automaticamente) - Perfis sociais — links do Facebook, Twitter para seu site
- CDN — se usar um CDN, garanta que ele serve via HTTPS
Verificação
- Visite
https://yourdomain.com— o ícone de cadeado deve aparecer - Abra o DevTools (F12) → Console — verifique avisos de conteúdo misto
- Teste algumas páginas internas e posts do blog
- Verifique o Google Search Console para erros de rastreamento
Solução de problemas
Loop de redirecionamento após habilitar HTTPS
Comum quando atrás de um proxy (Cloudflare, balanceador de carga). O proxy envia HTTP para o WordPress, que redireciona para HTTPS, que o proxy envia como HTTP novamente. Correção:
// Adicionar ao wp-config.php se estiver atrás de um proxy
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] === 'https') {
$_SERVER['HTTPS'] = 'on';
}
“Sua conexão não é particular” após instalar SSL
O certificado pode não estar devidamente instalado no nível do servidor. Verifique a configuração do servidor (Nginx ou Apache) antes de resolver problemas no WordPress.
Algumas imagens/recursos ainda carregam via HTTP
Execute a busca e substituição no banco de dados (Passo 3). Verifique arquivos do tema e CSS personalizado para URLs http:// codificados diretamente. Use o header CSP upgrade-insecure-requests como rede de segurança.
Perguntas frequentes
Preciso de um plugin para SSL no WordPress?
Não. Um plugin como Really Simple SSL facilita a transição (especialmente conteúdo misto), mas não é obrigatório. Você pode atualizar URLs manualmente e adicionar redirecionamentos no .htaccess. O plugin adiciona uma pequena sobrecarga em cada carregamento de página.
Mudar para HTTPS afetará meu SEO?
Temporariamente, pode haver pequenas flutuações de classificação enquanto o Google rastreia novamente seu site. A longo prazo, HTTPS melhora o SEO — é um sinal de classificação do Google. Use redirecionamentos 301 de HTTP para HTTPS para que a autoridade dos links seja transferida.
Posso usar um certificado gratuito Let’s Encrypt com WordPress?
Sim. Certificados Let’s Encrypt funcionam com qualquer site, incluindo WordPress. Obtenha um do GetHTTPS e instale no seu servidor ou via cPanel. O certificado não sabe nem se importa se o WordPress está rodando por trás dele.
Como renovo o certificado para o WordPress?
O certificado é instalado no nível do servidor, não no WordPress. Renove-o obtendo um novo certificado e substituindo os arquivos no seu servidor. O WordPress em si não gerencia certificados.
E quanto ao WooCommerce / e-commerce no WordPress?
Um certificado DV gratuito do Let’s Encrypt é suficiente para WooCommerce. PCI DSS não exige certificados OV ou EV — exige criptografia, que o DV fornece. Seu gateway de pagamento (Stripe, PayPal, Square) gerencia os dados de cartão de pagamento mais sensíveis de qualquer forma.
Posso usar WordPress Multisite com SSL?
Sim. Para WordPress Multisite com subdomínios (ex.: site1.example.com, site2.example.com), use um certificado wildcard (*.example.com). Para Multisite com subdiretórios (ex.: example.com/site1/), um certificado de domínio único funciona.
Minha hospedagem diz que fornece SSL gratuito — ainda preciso do GetHTTPS?
Se sua hospedagem fornece SSL gratuito (via AutoSSL ou sistema similar), use-o — é o caminho mais simples. O GetHTTPS é para casos em que sua hospedagem não oferece SSL gratuito, você precisa de um tipo específico de certificado (wildcard, multi-domínio) ou deseja controlar a chave privada você mesmo.