SSL no WordPress: como instalar HTTPS gratuito (Let’s Encrypt) e evitar erros em 2026

Site sem HTTPS em 2026 é praticamente um site morto. Chrome marca como “Não seguro”, Google rebaixa no ranking, formulários de pagamento e até campos de email param de funcionar em alguns navegadores, e qualquer ferramenta de auditoria reprova de cara. A boa notícia é que HTTPS é gratuito desde 2015 graças ao Let’s Encrypt, e instalar é mais simples do que muita gente imagina.

Este guia cobre o processo completo: do que é SSL, como instalar via Let’s Encrypt (manual ou cPanel), como forçar HTTPS no WordPress, e como resolver os 5 problemas mais comuns que aparecem depois da migração.

O que é SSL/TLS e por que importa

SSL (Secure Sockets Layer) é o protocolo antigo. TLS (Transport Layer Security) é o protocolo atual (versões 1.2 e 1.3). Por costume, todo mundo continua chamando de “SSL” mesmo quando se refere ao TLS moderno.

O que ele faz:

1. Criptografa a comunicação entre o navegador e o servidor — ninguém no meio do caminho lê os dados (login, senha, cartão de crédito).
2. Autentica o servidor — o certificado prova que seudominio.com.br é mesmo quem diz ser, não um servidor falso interceptando o tráfego.
3. Garante integridade — os dados não foram alterados em trânsito.

Sem SSL, login do WordPress trafega em texto puro. Qualquer rede Wi-Fi pública pode capturar a senha. Em 2026, isso é inaceitável.

Let’s Encrypt: SSL gratuito, automático e confiável

O Let’s Encrypt é uma autoridade certificadora sem fins lucrativos, mantida pela Internet Security Research Group (ISRG) e apoiada por Mozilla, EFF, Cisco, AWS, Cloudflare. Emite certificados gratuitos que duram 90 dias e podem ser renovados automaticamente.

Não tem letra miúda nem upsell. Cobertura idêntica aos certificados pagos básicos (de R$ 100/ano a R$ 500/ano) que algumas hospedagens ainda tentam vender.

Quando você precisa de SSL pago em vez do Let’s Encrypt:

• Certificado Wildcard para muitos subdomínios — Let’s Encrypt cobre, mas pago tem interface mais simples
• Certificado OV (Organization Validated) ou EV (Extended Validation) — exibem nome da empresa na barra (em desuso, mas alguns bancos ainda preferem)
• Garantias contratuais (cobertura de seguro em caso de falha do certificado) — raríssimo precisar

Para 99% dos sites WordPress, Let’s Encrypt resolve.

Método 1: Instalar SSL pelo cPanel (a forma mais fácil)

A maior parte das hospedagens brasileiras (Hostinger, Hostgator, KingHost, UOL Host, Locaweb) oferece Let’s Encrypt direto no cPanel, com 1 ou 2 cliques.

Passo a passo no cPanel

1. Entre no cPanel.
2. Procure a seção Segurança e clique em SSL/TLS Status (ou AutoSSL ou Let’s Encrypt SSL).
3. Selecione seu domínio.
4. Clique em Run AutoSSL ou Install (varia conforme o painel).
5. Aguarde 2-5 minutos.

Pronto. O certificado é instalado e a renovação automática a cada 60 dias fica ativa.

Se a hospedagem não tem opção de Let’s Encrypt

Algumas hospedagens insistem em vender SSL pago e escondem a opção gratuita. Nesse caso:

• Verifique se o painel é Plesk em vez de cPanel — Plesk tem extensão Let’s Encrypt grátis também.
• Procure no painel por “Let’s Encrypt”, “AutoSSL”, “Certificado gratuito”.
• Se mesmo assim não tiver, considere migrar de hospedagem (Hostinger e KingHost têm Let’s Encrypt nativo).
• Como último recurso, instale manualmente via ZeroSSL ou Certbot (mais técnico).

Método 2: Cloudflare SSL (atalho moderno)

Se o tráfego do seu site passa pelo Cloudflare (recomendado), você ativa SSL gratuito sem precisar instalar nada no servidor:

1. Login no Cloudflare → seu domínio → SSL/TLS.
2. Em Overview, escolha o modo Full (strict) se sua hospedagem tem certificado próprio, ou Flexible se não tem (menos seguro, evitar).
3. Em Edge Certificates, ative Always Use HTTPS e Automatic HTTPS Rewrites.
4. Em HSTS, ative com cuidado (depois que tudo funcionar — HSTS é “trava de uma mão só”).

Em poucos minutos, o Cloudflare emite um certificado que cobre seu domínio publicamente.

Importante: o modo Flexible criptografa só do visitante até o Cloudflare. Do Cloudflare até seu servidor é HTTP puro. Para segurança real, use Full (strict) com certificado Let’s Encrypt no servidor também.

Configurar WordPress para usar HTTPS

Instalar o certificado não basta. Você precisa dizer ao WordPress para usar https:// em todos os links internos.

Passo 1: Atualizar URL no WordPress

Configurações > Geral, mude:

• Endereço do WordPress (URL): https://seudominio.com.br
• Endereço do Site (URL): https://seudominio.com.br

Salve.

Passo 2: Forçar HTTPS via .htaccess

Edite o .htaccess na raiz do site e adicione no topo:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Isso redireciona qualquer acesso via http:// para https:// automaticamente, com código 301 (permanente, bom para SEO).

Passo 3: Resolver conteúdo misto (mixed content)

O problema mais comum após migração: a página carrega via HTTPS, mas dentro do código existem links para imagens, CSS ou JS em http://. O Chrome bloqueia esses recursos e mostra cadeado quebrado.

Solução automática: plugin Really Simple SSL. Ativa, faz o trabalho sujo, pronto. Para 95% dos casos resolve.

Solução manual (mais limpa): plugin Better Search Replace para fazer query no banco:

• De: http://seudominio.com.br
• Para: https://seudominio.com.br
• Aplicar em todas as tabelas, com dry-run primeiro (botão “Run as dry run”) para ver o impacto.

Passo 4: Atualizar wp-config.php (opcional mas recomendado)

define('FORCE_SSL_ADMIN', true);

Garante que /wp-admin/ sempre carrega via HTTPS, mesmo se algo cair pelo redirect.

Erros mais comuns e como resolver

1. “Esta página não está funcionando” (loop de redirecionamento)

Acontece quando você está atrás de proxy/CDN e o WordPress detecta HTTP, mas faz redirect para HTTPS, que volta como HTTP, etc.

Solução: no wp-config.php, antes da linha require_once:

if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] === 'https') {
    $_SERVER['HTTPS'] = 'on';
}

2. Conteúdo misto persistente

Mesmo após plugin, alguns plugins de terceiros gravam URLs absolutas em http://. Identifique no Chrome (F12 → Console) qual recurso está em HTTP e ajuste o plugin/tema.

3. Erro “ERR_SSL_PROTOCOL_ERROR” ou “ERR_CERT_AUTHORITY_INVALID”

Geralmente certificado expirou ou foi mal instalado. Verifique:

• Validade do certificado: https://www.ssllabs.com/ssltest/analyze.html?d=seudominio.com.br
• Se o cPanel está com AutoSSL ativo
• Se o Cloudflare está em modo correto

4. Cadeado quebrado mesmo com tudo certo

Pode ser um único asset em HTTP. Aperte F12 no Chrome → Console → vê a mensagem Mixed content. Ajuste a URL ou bloqueie esse recurso.

5. PageSpeed reclama de “Serve over HTTPS”

Significa que algum recurso ainda está em HTTP. Resolva como acima.

Headers de segurança que complementam o SSL

Ter HTTPS é o mínimo. O conjunto completo inclui headers que o navegador respeita. Adicione no .htaccess:

  Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
  Header set X-Frame-Options "SAMEORIGIN"
  Header set X-Content-Type-Options "nosniff"
  Header set Referrer-Policy "strict-origin-when-cross-origin"
  Header set Permissions-Policy "geolocation=(), camera=(), microphone=()"

Cada header tem um propósito:

• HSTS força HTTPS por X tempo (depois disso, navegador nem tenta HTTP)
• X-Frame-Options impede que seu site seja carregado em iframe de outros sites (clickjacking)
• X-Content-Type-Options impede que o navegador “adivinhe” o tipo de arquivo
• Referrer-Policy controla o que é enviado no cabeçalho Referer
• Permissions-Policy restringe APIs do navegador (câmera, GPS, etc)

Teste o resultado em https://securityheaders.com — busque grade A ou A+.

Renovação automática: garantindo que não expire

Let’s Encrypt vale 90 dias. Se você instalou via cPanel/Plesk com AutoSSL, a renovação acontece automaticamente a cada 60 dias. Se instalou via Certbot manual, configure o cron:

0 3   * /usr/bin/certbot renew --quiet --no-self-upgrade --post-hook "systemctl reload apache2"

Verifique status:

certbot certificates

Como o Site Seguro entrega SSL

Em todos os planos, o Site Seguro garante SSL instalado, configurado, com HTTPS forçado, renovação validada e headers de segurança aplicados. Para sites que vêm sem SSL, fazemos a migração completa incluindo correção de conteúdo misto.

Fale com a gente pelo WhatsApp para ajuda imediata.

Perguntas frequentes

SSL gratuito Let’s Encrypt é seguro mesmo?

Sim. A criptografia do Let’s Encrypt é idêntica aos certificados pagos. A diferença é só em garantias contratuais (que raramente importam).

SSL melhora o SEO?

Sim. Desde 2014 o Google usa HTTPS como fator de ranking (pequeno, mas presente). Mais importante: sem HTTPS o Chrome mostra “Não seguro”, o que destrói a credibilidade do site.

Preciso de SSL mesmo se meu site não tem login nem pagamento?

Sim. A norma hoje é HTTPS universal. Sem ele, perde ranking, perde confiança e perde funcionalidades de navegador modernas.

O que é o cadeado quebrado e como resolvo?

Indica conteúdo misto. Algum recurso (imagem, script, CSS) está em HTTP enquanto a página é HTTPS. Use plugin Really Simple SSL ou auditoria manual.

Quanto tempo leva para migrar para HTTPS sem perder ranking?

Se feito direito (redirecionamento 301 em todas as URLs), o Google reindexa em 1 a 4 semanas sem perda significativa. Erros (URLs antigas sem redirect) custam ranking.

Conclusão

SSL no WordPress é obrigatório em 2026 e gratuito desde 2015. Não existe desculpa para um site não ter HTTPS. Se você ainda está em http://, instale o Let’s Encrypt hoje pelo cPanel, force o HTTPS no .htaccess, instale o Really Simple SSL e teste no SSL Labs.

E se quiser que o Site Seguro cuide disso para você — junto com hardening, backup e monitoramento — fale agora pelo WhatsApp.

---

Leia também:

• Hardening WordPress: 15 ações essenciais
• Plugins de segurança WordPress: 7 melhores em 2026
• Performance + segurança: como Core Web Vitals afetam o ranking

---