Recentemente mudei todos meus sites, tanto este blog quanto o da minha empresa para usarem conexão segura SSL, mudei porque além de tornar o site mais seguro para mim e para quem o acessa, o Google valoriza isso na hora de fazer a indexação dos sites nas pesquisas orgânicas. Ou seja, quando você quer tornar o seu site mais visível na internet, deve torna-lo mais seguro pelas diretrizes do Google. Difícil não concordar com isso.

Leia Mais: Como Saber se o Seu site usa WordPress

Outro fato que pesou para esta mudança foi que encontei serviços que ofereciam o certificado SSL de segurança a preços bem acessíveis. A empresa NameCheap oferece para blogs e sites comuns um certificado por $9 dólares, cerca de R$32 reais POR ANO. É muito barato.

Depois que você instalar o certificado no seu site, o correto é forçar todos visitantes a usarem a URL (endereço da página) usando o HTTPS ao invés de HTTP. Explicando melhor, aquele endereço que você vê no topo do navegador, por exemplo http://www.facebook.com deve ficar como https://www.facebook.com. Como fazer para forçar todos visitantes a usarem o endereço seguro? Existem alguns truques que vou explicar aqui.

Resumindo este artigo, os procedimentos que vou explicar:

  1. Forçar SSL para o administrador e páginas de login do WordPress
  2. Segurar todas páginas publicadas através do uso de HTTPS
  3. Alterar o arquivo .htaccess para processar arquivos CSS e javascript usando HTTPS
  4. Limpar o Cache (se estiver usando) e evitar problemas

Forçar SSL para o administrador e páginas de login do WordPress

Existe uma configuração do WordPress que força conexão segura nas páginas de administração wp-admin. Para forçar você tem que alterar seu arquivo wp-config.php e acrescentar o parâmetro:

define('FORCE_SSL_ADMIN', true);

Com esta configuração, todo visitante que for na página wp-admin será forçado para usar o HTTPS.

Segurar todas páginas publicadas através do uso de HTTPS

Para forçar o restante do site WordPress para usar o HTTPS vamos ainda no arquivo wp-config.php alterar o endereço base do site.


define('WP_HOME', 'https://www.gusleig.com/sos');
define('WP_SITEURL', 'https://www.gusleig.com/sos');

No caso acima estou usando o meu endereço que obviamente você deve alterar para a URL base do seu site wordpress.

Alterar o arquivo .htaccess para processar arquivos CSS e javascript usando HTTPS

Agora vamos forçar que todas as URLs de CSS, javascript e conteúdo sejam acessadas pelo HTTPS:

O arquivo a ser alterado é o .htaccess que fica na base do seu site.

# BEGIN WordPress

RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L] RewriteBase /
RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

# END WordPress

Observe as linhas abaixo que foram acrescentadas à configuração original:


RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Esta instrução diz que se a porta de acesso não for a 443 o endereço será redirecionado para o https.

Limpar o Cache (se estiver usando) e evitar problemas

Se você usa (e deveria estar usando) algum plugin de cache como o Super Cache ou o W3 Total Cache, as chances de ter algum problema com as páginas já em memória são altas. Vá nas configurações do plugin e force para que ele recarregue todas as páginas.

Alterar Todas URLs no Banco de Dados do WordPress para Usar HTTPS

Use um plugin de Search & Replace para substituir todo o texto que contiver http:// para ficar como https://

Faça um backup do banco de dados antes para evitar dores de cabeça.

Concluindo Forçar HTTPS em Todas Páginas do Seu Site WordPress

Instalar um certificado SSL no seu site é obrigatório nos dias de hoje já que o preço ficou popular e os benefícios são muitos. Vimos aqui alguns procedimentos para que após da instalação do certificado, os visitantes utilizem os links seguros.