Suporte

Como ativar HTTPS e cadeado seguro no WordPress

Ativar HTTPS no WordPress deixou de ser “opcional” há muito tempo. Navegadores já mostram alertas de “Não seguro” em sites sem certificado, os visitantes perdem confiança e ferramentas como Google e plataformas de pagamento passam a exigir conexão segura.
A boa notícia: com um passo a passo bem feito, é possível ativar HTTPS no WordPress sem erro, com redirecionamento 301 correto e cadeado ativo o tempo todo, aumentando a segurança e a confiança no site.

Este guia mostra, de forma prática, tudo o que precisa ser feito do certificado ao ajuste final de URLs.

O que é HTTPS e por que isso importa no WordPress

HTTP x HTTPS em linguagem simples

  • HTTP é o protocolo tradicional usado para acessar sites.
  • HTTPS é o mesmo protocolo, só que com uma camada de segurança extra.

Essa segurança vem de um certificado SSL/TLS (um arquivo instalado no servidor) que:

  • criptografa os dados trocados entre o site e o navegador;
  • evita que terceiros “espionem” informações sensíveis (como dados de login e de pagamento);
  • permite que o navegador exiba o famoso cadeado de site seguro.

Sempre que aparece “https://” no endereço, significa que o site está usando essa camada segura.

O que o cadeado realmente representa

O cadeado não quer dizer que o site é “honesto” ou “confiável como empresa”. Ele indica que:

  • a conexão é protegida;
  • os dados não estão sendo enviados “abertos” pela internet;
  • o certificado instalado é válido e foi emitido por uma autoridade reconhecida.

Para um site WordPress, especialmente com área de login, formulários e loja virtual, o HTTPS é praticamente obrigatório.

Benefícios práticos de ativar HTTPS no WordPress

Ao ativar HTTPS no WordPress, o site passa a ter:

  • Mais confiança visual: o visitante vê o cadeado e sente segurança.
  • Menos alertas negativos: navegadores param de exibir avisos de “Não seguro”.
  • Melhor base para LGPD: proteção mínima de dados em trânsito.
  • Ajuda no SEO: o Google considera HTTPS como fator de ranqueamento.
  • Requisito para pagamentos: gateways como Mercado Pago, por exemplo, esperam ambiente seguro.

O que é necessário antes de ativar HTTPS no WordPress

Antes de começar a ativar https no WordPress, é importante já ter alguns itens em mãos.

1. Certificado SSL/TLS

É o coração do HTTPS. Existem três formas comuns:

  • Gratuito (ex.: Let’s Encrypt)
    Geralmente já integrado em várias hospedagens. Atende muito bem a maioria dos sites e lojas.
  • Pago (validade maior e garantias extras)
    Indicado para empresas que querem nível maior de validação (como EV ou OV, quando disponível).
  • Wildcard
    Certificado que cobre o domínio principal e todos os subdomínios (ex.: *.minhaempresa.com.br).
Quem fornece: normalmente a própria hospedagem ou uma autoridade certificadora.

2. Acesso à hospedagem e ao painel do WordPress

Será necessário:

  • acesso ao painel da hospedagem (cPanel, painel próprio, etc.) para instalar/ativar o certificado;
  • acesso ao wp-admin do WordPress para ajustar as configurações de URL.

3. Backup antes de qualquer mudança

Antes de mudar URL, fazer redirecionamentos ou alterar arquivos, é importante:

  • gerar um backup completo (arquivos + banco de dados);
  • salvar em um local seguro (computador, nuvem).
Se algo der errado (loop de redirecionamento, site fora do ar), o backup salva o dia.

Passo a passo para ativar HTTPS no WordPress

1. Ativar ou instalar o certificado SSL na hospedagem

O primeiro passo para ativar https no WordPress não acontece dentro do WordPress, e sim na hospedagem. Em geral, o processo segue esta lógica:

  • Acessar o painel da hospedagem.
  • Localizar a área de SSL/TLS, Certificado SSL, Let’s Encrypt ou similar.
  • Escolher o domínio do site.
  • Ativar o certificado gratuito ou instalar um certificado comprado.

Algumas hospedagens ativam o SSL automaticamente ao apontar o domínio, outras exigem um clique manual.

Após ativar, pode levar alguns minutos para o certificado começar a funcionar.

Teste rápido:
Abrir o navegador e digitar o endereço com HTTPS, por exemplo:
https://www.seusite.com.br

Se o site abre (mesmo com cadeado quebrado ou alerta de conteúdo misto), o certificado já está ativo.

2. Conferir se o certificado está válido

Ao acessar o site com HTTPS:

  • Se o navegador abrir a página sem aviso de certific ado inválido, o básico está ok.
  • Se aparecer mensagens como “Conexão não é privada”, “Certificado inválido” ou semelhante, pode haver:
    certificado instalado no domínio errado;
    certificado expirado;
    configuração incompleta na hospedagem.
Nesse caso, é recomendado ajustar diretamente com o suporte da hospedagem antes de seguir.

3. Atualizar as URLs do site para HTTPS no WordPress

Com o certificado ativo, o próximo passo para ativar https no WordPress é ajustar os endereços do próprio sistema.

  • No painel do WordPress:
  • Acessar Configurações → Geral.
  • Localizar:
    Endereço do WordPress (URL do WordPress)
    Endereço do site (URL do site)
  • Alterar de: http://seusite.com.br para: https://seusite.com.br

(Manter www ou sem www conforme o padrão já utilizado pelo site.)

Depois de salvar, o WordPress passa a considerar o HTTPS como endereço oficial.

Importante: após essa alteração, o login e o painel serão acessados sempre por HTTPS.

4. Criar redirecionamento 301 de HTTP para HTTPS

Sem redirecionamento, o site pode ser acessado de duas formas:

  • http://seusite.com.br
  • https://seusite.com.br

Isso gera problema de:

  • conteúdo duplicado para buscadores;
  • visitantes ainda caindo na versão “não segura”.

O ideal é que tudo em HTTP seja enviado automaticamente para o HTTPS usando redirecionamento 301 (redirecionamento permanente).

4.1. Redirecionamento 301 via .htaccess (hospedagem Apache)

Em hospedagens que usam Apache, o redirecionamento costuma ser feito no arquivo .htaccess, na pasta raiz do site.

Um exemplo comum de regra (genérico, sempre bom testar):

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Essa regra diz: se o acesso não estiver em HTTPS, redireciona para o mesmo endereço, porém com HTTPS.

Qualquer mudança em .htaccess deve ser feita com cuidado e, de preferência, com backup do arquivo original.

4.2. Redirecionamento 301 via painel da hospedagem

Algumas hospedagens oferecem:

  • opção de “forçar HTTPS” com um botão;
  • seção de Redirecionamentos onde é possível configurar HTTP → HTTPS automaticamente.
Essa abordagem é interessante para quem prefere evitar edição manual de arquivos.

4.3. Redirecionamento usando plugin

Quando não é possível mexer na hospedagem, pode ser usado um plugin de gerenciamento de redirecionamento ou de HTTPS.

Mas é sempre importante:

  • evitar excesso de plugins;
  • garantir que o plugin é mantido atualizado;
  • testar o site após ativar.

5. Corrigir conteúdo misto (mixed content)

Depois de ativar https no WordPress, é comum surgir o problema de conteúdo misto, que ocorre quando:

  • a página é carregada em https://,
  • mas algumas imagens, scripts ou arquivos ainda são chamados com http://.
Resultado: o cadeado não aparece corretamente e o navegador pode exibir alerta de segurança parcial.

5.1. Como identificar conteúdo misto

Algumas formas:

  • O cadeado aparece com um ícone de alerta (triângulo amarelo, por exemplo).
  • Ferramentas do desenvolvedor no navegador (F12 → Console) mostram mensagens indicando recursos carregados em HTTP.
Essas mensagens apontam exatamente qual arquivo está problemático.

5.2. Corrigir URLs antigas no banco de dados

Se o site é antigo, é provável que:

  • imagens, links internos e recursos estejam gravados com http:// no banco de dados.

Uma estratégia comum:

  • usar uma ferramenta ou plugin para procurar e substituir no banco de dados: de http://seusite.com.br para https://seusite.com.br
Esse cuidado precisa ser tomado de forma segura para não quebrar o banco de dados. Em muitos casos, vale contar com suporte de quem já faz esse tipo de migração no dia a dia.

5.3. Ajustar manualmente temas, widgets e menus

Além da substituição em massa, alguns pontos podem precisar de revisão manual:

  • códigos colados diretamente no tema;
  • links em widgets de texto;
  • menus que ainda apontam para http://.
Tudo isso deve ser atualizado para https://.

Erros comuns ao ativar HTTPS no WordPress (e como evitar)

Loop de redirecionamento (redirect loop)

Acontece quando:

  • o WordPress está configurado para forçar HTTPS;
  • e a hospedagem ou um plugin também está forçando;
  • as regras “brigam” entre si e o navegador fica preso num ciclo de redirecionamento.

Como evitar:

  • usar apenas uma forma principal de redirecionamento (idealmente na hospedagem ou no .htaccess);
  • evitar configurar a mesma regra em vários lugares ao mesmo tempo.

Site retornando erro 500 depois da mudança

Erros 500 podem surgir por:

  • regra mal escrita no .htaccess;
  • conflito com plugins de segurança ou cache.

Boas práticas:

  • sempre salvar o .htaccess original antes de editar;
  • desativar temporariamente plugins de segurança/cache se o erro aparecer logo após a mudança;
  • restaurar o backup se nada resolver.

Cadeado cinza ou com aviso de “não totalmente seguro”

Normalmente indica conteúdo misto:

  • alguma imagem, script ou fonte ainda está vindo de HTTP.

Solução:

  • localizar o recurso (via console do navegador);
  • atualizar o endereço para HTTPS ou trocar o recurso por uma versão segura.

CDN, proxy e Cloudflare

Quem usa serviços como Cloudflare ou outras CDNs (rede de distribuição de conteúdo) precisa cuidar de:

  • ativar SSL completo entre servidor e CDN (não apenas “flexível”, quando possível);
  • garantir que o domínio na CDN também esteja configurado para HTTPS;
  • alinhar regras de redirecionamento para evitar conflito entre Cloudflare e servidor.

Ajustes finais importantes depois de ativar HTTPS

Depois de ativar https no WordPress e o cadeado estar funcionando, ainda existem alguns ajustes importantes.

SEO e Google Search Console

Boas práticas:

  • adicionar a versão HTTPS do site no Google Search Console;
  • enviar o sitemap atualizado (gerado pelo plugin de SEO);
  • conferir se as URLs canônicas (as “oficiais” para o Google) já usam HTTPS.

Ferramentas externas

Qualquer ferramenta que usa o endereço do site deve ser revisada:

  • ferramentas de análise (ex.: Google Analytics);
  • pixel de anúncios;
  • plataformas de automação de marketing;
  • gateways de pagamento.

Em especial, lojas virtuais precisam de HTTPS funcionando bem para evitar bloqueios de checkout ou mensagens de insegurança em integrações de pagamento, como Mercado Pago e outros.

Quando faz sentido chamar uma especialista em WordPress

Em muitos casos, quem administra o site consegue seguir o passo a passo e ativar https no WordPress sem grandes dificuldades. Mas alguns cenários valem atenção especial:

  • loja virtual com volume de vendas;
  • integrações de pagamento sensíveis (como gateways, split de pagamento, assinaturas);
  • sites com muitas páginas, blogs antigos ou migrações de outras plataformas;
  • ambiente com CDN, proxy, múltiplos domínios ou subdomínios.

Nessas situações, um erro de redirecionamento ou conteúdo misto pode:

  • derrubar conversões;
  • travar o checkout;
  • prejudicar campanhas pagas;
  • confundir o Google com duplicidade de URLs.
A Tatitas Websites trabalha justamente com WordPress, WooCommerce, plugins sob medida e integrações completas, incluindo ambiente seguro para pagamentos via Mercado Pago e outras soluções.

Ao contar com suporte especializado, a ativação de HTTPS deixa de ser um “risco técnico” e vira um processo planejado:

  • certificado certo para o tipo de projeto;
  • redirecionamentos configurados da forma mais limpa possível;
  • correção de conteúdo misto sem quebrar o site;
  • loja e formulários funcionando com segurança e confiança.

Com esses cuidados, o site WordPress passa a rodar em HTTPS de forma estável, com cadeado sempre ativo, sem perda de tráfego e com ganho real de credibilidade perante clientes, parceiros e buscadores.

Vamos juntos dar vida ao seu sonho?

Perguntar não custa nada. 😃

Chama a gente no WhatsApp!