Como Instalar Certificado SSL WordPress (HTTPS Gratuito)

SSL (HTTPS) não é opcional em 2025 — é obrigatório. O Google marca sites sem HTTPS como "Não seguro", browsers bloqueiam formulários em HTTP, e é factor de ranking confirmado. A boa notícia: certificados SSL são gratuitos com Let's Encrypt e a maioria dos hostings oferece instalação automática. Este guia cobre todo o processo.

Porque precisa de SSL

• Segurança: encripta dados entre visitante e servidor (passwords, dados de pagamento)
• SEO: HTTPS é factor de ranking no Google (confirmado desde 2014)
• Confiança: cadeado verde no browser transmite segurança ao visitante
• Obrigatório para e-commerce: processar pagamentos sem HTTPS viola PCI compliance
• Browser warnings: Chrome, Firefox e Safari mostram avisos em sites HTTP

Passo 1: Obter certificado SSL

Opção A: Let's Encrypt via hosting (mais fácil)

A maioria dos hostings modernos oferece Let's Encrypt gratuito com instalação e renovação automática. Procure "SSL" ou "Security" no painel de hosting. Um clique e está feito.

Opção B: Cloudflare SSL (gratuito)

Se usa Cloudflare como DNS/CDN, SSL está incluído gratuitamente. Modos disponíveis:

• Flexible: HTTPS entre visitante e Cloudflare (mínimo — não encripta até ao servidor)
• Full: HTTPS end-to-end (requer certificado no servidor, pode ser self-signed)
• Full (Strict): HTTPS end-to-end com certificado válido no servidor (recomendado)

Opção C: Instalação manual com Certbot

Para VPS sem painel de gestão. Instalar Certbot e gerar certificado via terminal. Renovação automática via cron.

Passo 2: Configurar WordPress para HTTPS

Após certificado activo no servidor:

1. Aceder a Definições > Geral no WordPress
2. Alterar "WordPress Address (URL)" para https://
3. Alterar "Site Address (URL)" para https://
4. Guardar (WordPress fará logout automático)

Alternativa via wp-config.php:

• define('WP_HOME', 'https://exemplo.com');
• define('WP_SITEURL', 'https://exemplo.com');

Passo 3: Forçar HTTPS (redirect 301)

Garantir que todos os pedidos HTTP são redireccionados para HTTPS. No .htaccess:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Ou via plugin: Really Simple SSL (detecta e resolve automaticamente).

Passo 4: Resolver Mixed Content

Mixed content ocorre quando páginas HTTPS carregam recursos (imagens, scripts, CSS) via HTTP. O browser bloqueia ou mostra aviso.

Como detectar: abrir DevTools (F12) > Console. Erros "Mixed Content" mostram exactamente quais recursos são o problema.

Como resolver:

• Search & Replace na base de dados: substituir http:// por https:// (plugin Better Search Replace ou WP-CLI)
• Verificar tema: URLs hardcoded em CSS ou templates
• Verificar widgets: imagens ou iframes com URL HTTP
• Conteúdo externo: garantir que embeds de terceiros usam HTTPS

Passo 5: Verificar e actualizar

• Google Search Console: adicionar property HTTPS e submeter sitemap actualizado
• Google Analytics: actualizar URL da property para HTTPS
• Links externos: actualizar perfis de redes sociais e directórios com novo URL
• Sitemap: confirmar que todas as URLs no sitemap.xml usam HTTPS

Renovação do certificado

Certificados Let's Encrypt expiram a cada 90 dias. Garantir renovação automática:

• Hosting gerido: renovação automática (nada a fazer)
• Cloudflare: automático (certificados geridos pelo Cloudflare)
• VPS com Certbot: verificar que o cron de renovação está activo (certbot renew --dry-run)

Monitorizar expiração: configurar alerta para 14 dias antes da expiração. Um certificado expirado mostra aviso de segurança a todos os visitantes.

Problemas comuns

• Redirect loop infinito: Cloudflare Flexible + WordPress forçando HTTPS. Usar Full (Strict)
• ERR_TOO_MANY_REDIRECTS: múltiplas regras de redirect conflituantes. Verificar .htaccess e plugins
• Certificado não cobre www: gerar certificado para ambos (exemplo.com e www.exemplo.com)
• "Not Secure" apesar de HTTPS: mixed content. Verificar Console do browser