Certificado SSL inválido no WordPress: 7 causas e como corrigir em 2026

Certificado SSL inválido no WordPress: 7 causas e como corrigir em 2026

Visitantes chegando no seu site WordPress e vendo o aviso “Sua conexão não é particular” ou “Certificado SSL inválido”? Esse erro custa caro: perde-se 60-80% dos visitantes que veem o aviso, e o Google penaliza o ranking. A boa notícia é que certificado SSL inválido no WordPress quase sempre é causado por 7 erros conhecidos, e cada um tem solução clara. Neste guia, vamos cobrir os 7, como diagnosticar pelo navegador e como corrigir cada um.

Causa 1 — Certificado expirado

SSL gratuito (Let’s Encrypt) dura 90 dias e precisa de renovação automática. Se a renovação falhou, o site fica sem SSL válido. Como detectar:

  1. Cadeado vermelho ou aviso explícito de “certificado expirado”
  2. Acesse SSL Labs Test, veja “Valid until”
  3. cPanel → SSL/TLS Status → mostra data de expiração

Como corrigir:

  • cPanel: AutoSSL → Run AutoSSL agora
  • Plesk: SSL/TLS Certificates → Renew → Let’s Encrypt
  • Manual: sudo certbot renew via SSH
  • Hospedagem gerenciada: abra ticket pedindo renovação imediata

Configure renovação automática + alerta por e-mail 15 dias antes da expiração.

Causa 2 — Conteúdo misto (mixed content)

Site tem SSL mas algumas imagens, JS ou CSS carregam via HTTP. Navegador bloqueia ou marca como inseguro:

  1. Chrome → F12 → Console → procure por “Mixed Content” warnings
  2. Use ferramenta WhyNoPadlock

Como corrigir:

  • Instale plugin Really Simple SSL (resolve 95% dos casos)
  • Manualmente: rode no banco UPDATE wp_options SET option_value = REPLACE(option_value, 'http://seusite.com.br', 'https://seusite.com.br') WHERE option_name IN ('siteurl', 'home');
  • Use plugin Better Search Replace para trocar todas as URLs no banco
  • Adicione no .htaccess: Header always set Content-Security-Policy "upgrade-insecure-requests"

Causa 3 — Domínio incompatível com certificado

Certificado foi emitido para seusite.com.br mas você acessa via www.seusite.com.br (ou vice-versa). Navegador rejeita.

Como detectar:

  1. Aviso “Common Name mismatch” ou “NET::ERR_CERT_COMMON_NAME_INVALID”
  2. Teste no SSL Labs e veja “Names: seusite.com.br” sem o www

Como corrigir:

  • Reemita o certificado com SAN (Subject Alternative Names) incluindo ambos
  • Let’s Encrypt: certbot --apache -d seusite.com.br -d www.seusite.com.br
  • Use redirect 301 para padronizar (com ou sem www) e emita certificado só para essa versão

Causa 4 — Cadeia de certificados incompleta

Certificado em si é válido, mas o servidor não está enviando os intermediários. Navegadores modernos resolvem automaticamente; alguns clientes (curl antigo, sistemas embarcados) reclamam.

Como detectar:

  • SSL Labs: “Chain issues: Incomplete”
  • Chrome funciona, Safari mobile dá erro

Como corrigir:

  1. Baixe a chain bundle do provedor do certificado
  2. Concatene certificado + chain em um arquivo fullchain.pem
  3. Configure no Apache (SSLCertificateChainFile) ou Nginx (ssl_certificate fullchain.pem)
  4. Reinicie o servidor web

Causa 5 — Cloudflare SSL configurado errado

Se você usa Cloudflare, o problema pode ser nas configurações de SSL/TLS dele:

Modo Cloudflare Funciona quando
Off Nunca em produção
Flexible Loop infinito de redirect — evite
Full Você tem SSL no servidor (qualquer um, mesmo self-signed)
Full (strict) SSL válido emitido por CA — recomendado

Configure em Cloudflare → SSL/TLS → Overview → “Full (strict)”. Se der erro 525 ou 526, é porque o SSL no servidor falhou — corrija primeiro.

Causa 6 — Erro de configuração do .htaccess ou wp-config

WordPress não sabe que deve usar HTTPS, mesmo o certificado estando válido. Sinais:

  • Login redireciona para HTTP
  • wp-admin com cadeado quebrado
  • Formulários enviam para HTTP

Como corrigir:

  1. wp-admin → Configurações → Geral → mude “URL do WordPress” e “URL do site” para https://
  2. No wp-config.php adicione:
define('FORCE_SSL_ADMIN', true);
if (strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
    $_SERVER['HTTPS'] = 'on';
}
  1. No .htaccess, adicione redirect:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Causa 7 — Certificado emitido para servidor errado

Você migrou de hospedagem ou de domínio e o certificado ficou no servidor antigo:

  • DNS apontando para novo IP, mas servidor novo não tem SSL
  • Cloudflare apontando para origem errada
  • Subdomain (admin.) usando wildcard cert que expirou

Como corrigir:

  1. Verifique para onde o domínio aponta: dig seusite.com.br
  2. Confirme que o servidor de destino tem certificado SSL ativo
  3. Se for migração recente, espere propagação DNS (até 48h) ou force flush
  4. Emita novo certificado no servidor correto

Como evitar SSL inválido no futuro

  • Configure renovação automática do Let’s Encrypt (cron job ou hospedagem gerenciada)
  • Adicione monitoramento de SSL: SSL Labs ou Uptime Robot com check de cert
  • Configure alerta por e-mail 15 dias antes da expiração
  • Use Wildcard SSL se tem múltiplos subdomínios
  • Documente o processo de renovação (em runbook) para que time saiba
  • Considere migrar para hospedagem que renova automaticamente sem você se preocupar

O Site Seguro inclui monitoramento de SSL e correção automática nos planos Avançado e superiores.

FAQ: certificado SSL inválido no WordPress

Let’s Encrypt é confiável para WordPress?

Sim, é o padrão da indústria, gratuito, reconhecido por todos os navegadores. Não há motivo para pagar SSL básico em 2026.

Quanto tempo demora pro Google reindexar após corrigir SSL?

Geralmente 1-3 dias para a maioria das páginas, até 30 dias para sites grandes. Acelere submetendo o sitemap atualizado no Search Console.

Posso usar SSL no domínio mas não nos subdomínios?

Tecnicamente sim, mas Google e usuários esperam HTTPS em tudo. Use Wildcard ou multi-domain certificate para cobrir tudo.

SSL afeta velocidade do site?

Com HTTP/2 + TLS 1.3 modernos, impacto é negligível (<5ms). Sites grandes podem até ficar mais rápidos com HTTPS por causa de HTTP/2 multiplexing.

Se eu usar Cloudflare, ainda preciso de SSL no servidor?

Tecnicamente Flexible funciona sem SSL no origem, mas é inseguro (HTTP entre Cloudflare e servidor). Use Full Strict, com SSL real no servidor.

Conclusão: SSL inválido tem fix rápido

Quase todo caso de certificado SSL inválido no WordPress resolve em menos de 1 hora. O problema é identificar qual das 7 causas é a sua. Use SSL Labs como diagnóstico inicial e depois aplique o fix correspondente.

Se preferir delegar, o Site Seguro corrige SSL inválido e configura monitoramento para nunca mais acontecer. Fale com a gente pelo WhatsApp. Para empresas que buscam empresa especializada em segurança WordPress, recomendamos avaliar nossos critérios de escolha.

Procurando uma agência especializada em segurança para WordPress?

O Site Seguro é especialista 100% em segurança WordPress, com SLA, garantia contra reincidência e atendimento humano no Brasil.

Conhecer nosso serviço →
Tags de postagem :
Post anterior

Próxima postagem

Fale conosco