Conceito geral sobre o HTTPS no WordPress
Utilizar o HTTPS no WordPress é atender a um requisito importante. Desde 2004, o Google vem emitindo sinais sobre a importância de todos os sites adotarem ações de segurança na internet. O HTTPS (SSL) é um dos principais recursos envolvidos nesse processo. Implementar o HTTPS no WordPress é relativamente simples, mas requer um entendimento sobre ele.
Ao adotar o HTTPS em seu site você aumenta as suas chances de ober uma boa avaliação junto ao Google. Quanto melhor a pontuação, mais um site aparece no top dos resultados das pesquisas.
Em alguns momento citarei o termo HTTPS e em outros SSL, mas estamos falando do mesmo assunto.
O SSL também ajuda em vários pontos positivos em seu site e nesse artigo olharemos alguns aspectos importantes sobre ele. Isso ajudará na decisão e nos passos que você precisará adotar para utilizar corretamente o HTTPs no WordPress.
Basicamente, o HTTPS comprova a identidade do site, ele permite que o browser confirme que o site chamado é o que está respondendo. Além disso, ele também criptografa os dados entre o servidor e o computador que fez a chamada.
A capacidade de provar a identidade do site associada a proteção das informações transmitidas transforma o SSL em uma ótima estratégia para demostrar a seriedade de um negócio.
Utilizando corretamente ele você ganhará destaque. Mais a frente falaremos sobre os tipos de certificados e vai clarear o que estou dizendo.
Fazendo um paralelo com o mundo real, um site com um certificado SSL é equivalente a uma empresa que possui um CNPJ, ou seja, assim como no mundo físico, o SSL é um identificador único do site, assim como o CNPJ é para uma empresa no Brasil.
Eu sei, demonstrar a seriedade de uma empresa vai além de um CNPJ ou SSL, mas sem dúvida o registro é o primeiro passo.
Não se preocupe, veremos como obter um certificado e utilizá-lo em nosso site WordPress.
O que é mesmo o HTTPS?
Como citado anteriormente, o HTTPS ou HTTP seguro é um método de criptografia que utiliza uma terceira parte (o emissor do certificado) para garantir a identidade do site e uma forma de deixar a conexão entre o servidor e o browser mais segura.
Esse método utiliza um protocolo que é chamado de SSL (Secure Sockets Layer). Na prática o SSL não é mais utilizado, em 1999, ele sofreu uma atualização e teve a nomenclatura alterada para TSL (transport layer security).
Como a sigla SSL já era muito utilizada, ela ainda resiste ao tempo. Então, na prática quando adquirimos um certificado SSL estamos na verdade obtendo um TSL.
A minha explicação sobre o nome do SSL e o TSL tem sentido, em muitos casos você irá encontrar a sigla TSL ao invés de SSL e normalmente isso causa confusão. Eu mesmo fui pego de surpresa ao configurar o certificado pela primeira vez.
5 motivos para deixar o cache do WordPress deslizar o seu site até seus visitantes.
O Cache do WordPress tem a capacidade de reduzir o tempo de carregamento de de um site feito em WordPress. Utilize o cache de maneira correta e ganhe visibilidade no Google, pois performance é um dos pontos que está diretamente ligado ao ranqueamento feito pelo Google.
Por que preciso de um HTTPS?
Essa também é uma boa pergunta para respondermos. Mostrar que seu negócio possui a preocupação com a segurança e proteção dos dados dos seus clientes é decisivo para uma pessoa fornecer os seus dados pessoais para efetivar uma compra.
Como citado na introdução, o Google tem grande preocupação com a segurança, isso também permite que as pessoas utilizem o serviço de buscas sem muitas preocupações.
Image se a partir do direcionamento do Google as pessoas passam a ser fraudadas, quanto mais ele conseguir filtrar sites mau intencionados melhor será a sua própria imagem.
Apesar do SSL não ser o único critério, com certeza contribuirá para te manter na briga por posições nos resultados. Lembre, o Google é uma grande vitrine para atrair mais audiência para seu negócio.
Outro bom ponto que podemos citar está ligado a criptografia, que reduz as chances de roubo de informações.
A internet está longe de ser um local seguro e proteger as informações é proteger a imagem do seu negócio. Basta apenas um ataque bem-sucedido para arranhar a imagem de qualquer negócio na internet.
Quais os tipos de certificados SSL?
Existem 3 tipos diferentes de certificados SSL, que são direcionados a atividades diferentes. Vamos aos detalhes de cada um deles.
Validação de domínio (DV – Domain Validated)
O certificado Validação de domínio é o certificado mais básico. Como o nome sugere, esse certificado apenas valida o domínio, mas não checa nenhuma informação de quem solicitou a emissão (empresa ou pessoa), ou seja, qualquer um pode obter um DV SSL sem apresentar nenhuma informação extra.
Ele também é emitido em poucas horas e tem um custo anual em torno de R$150,00. Digamos que ele é destinado as pessoas ou organizações que não executam transações sensíveis como por exemplo transações financeiras. Um Blog pode utilizar ele perfeitamente.
Com base nesse entendimento, podemos concluir que uma loja virtual não deveria utilizar esse tipo de certificado.
Do lado do comprador, efetuar uma compra em uma organização que não teve sua identidade checada poderia ser um risco, pois em um eventual problema não seria possível localizar a empresa de maneira simples.
Existe a possibilidade de obter o DV SSL gratuitamente. Isso evitaria o custo anual com o certificado.
Validação de organização (OV – Organization Validated)
Se considerar que os 3 tipos são níveis de segura diferentes, esse seria um nível intermediário. A empresa que emite o certificado além de validar o domínio, valida os dados do solicitante (empresa que solicitou), garantindo assim que tanto o site quanto o solicitante são reais.
Esse certificado leva um tempo maior para ser emitido, pois possui checagens adicionais.
Um negócio que deseja se estabelecer corretamente deveria utilizar no mínimo esse certificado, pois emite uma clara mensagem que todo o negócio é consistente e seguro.
Validação Estendida (EV – Extention Validation)
Entre os 3 tipos, esse certificado possui o maior nível de segurança. Ele checa as informações do site e da empresa de maneira minuciosa. O EV possui todos os níveis de segurança dos outros, mas as checagens e emissão do certificado EV segue uma rotina mais rigorosa. Por isso, ele é bastante utilizado por grandes corporações.
Existe uma forma simples de identificar um EV, na URL aparece o nome da empresa responsável pelo site.
Normalmente, o órgão emissor emite um seguro para cobrir eventuais fraudes.
Quantidade de domínios
Além das diferenças citadas acima, existem opções para validar um ou vários domínios. Nesse caso, a empresa certificadora também poderia emitir certificados para múltiplos domínios.
Existe um certificado chamado de curinga (Wildcard) que seria capaz de validar um ou mais domínios.
Qual a melhor alternativa obter um certificado SSL?
As duas formas mais simples de obter um certificado sem a necessidade de passos manuais é utilizar um serviço como o Cloudflare ou comprar um certificado onde tem a hospedagem.
Ao utilizar a Cloudflare você não precisará fazer nenhuma intervenção no WordPress, você precisará apenas fazer a transferência do domínio e fazer uma pequena configuração no serviço deles. Toda as vezes que o site for chamado o serviço responderá utilizando a criptografia (https).
Ao adquirir o certificado no local da hospedagem, eles poderão instalar o certificado diretamente no servidor, facilitando a instalação para você.
Caso decida não utilizar nenhuma dessas opções você precisará fazer a instalação do certificado diretamente no servidor.
10 passos para evitar problemas com plugins no WordPress.
Se você não está familiarizado com os Plugins do WordPress, eles são rotinas que te ajudam a implementar funções em seu site com o mínimo de esforço...
Quais passos devem ser seguidos no WordPress?
Atenção: Não siga esses passos sem ter um certificado SSL instalado no servidor ou configurado no serviço escolhido, ao executar esses passos sem o certificado você perderá o acesso total ao site e a área administrativa do WordPress.
Importante frisar que não podemos confundir a instalação do certificado SSL com as configurações de direcionamento do WordPress.
Independente da tecnologia, o SSL deve ser utilizado. Isso significa que ele não é um luxo do mundo WordPress.
Eu gostaria de dizer para você que basta instalar o certificado no servidor e tudo ficará bem, mas não é bem assim, pois podem aparecer efeitos colaterais. Por exemplo, toda as imagens que você utilizou no seu site possuem uma string que a identifica. Advinha só, se foi carregada antes do certificado, ela está apontando para o HTTP e isso deve ser corrigido.
Podemos chamar isso de “mixed content” e dependendo da quantidade de coisas (imagens, plugins etc.) poderá te dar muito trabalho para corrigir. Nesse caso, você poderá usar um plugin (salve os plugins!) como o Really Simple SSL, esse cara vai substituir o “HTTP” por “HTTPS” em todas as strings. Senão utilizar um plugin deverá fazer o apontamento manualmente.
O Cloudflare possui uma opção que converte automaticamente todas as strings para o HTTPS antes de enviar ao browser, evitando assim o “mixed content” de forma mais suave e com menor esforço.
Após a configuração do certificado, no WordPress, bastará entrar no menu “Configurações gerais” dentro da opção “Configurações” e alterar as duas opções “Endereço WordPress (URL)” e “Endereço do site”, utilizando o HTTPS:// na frente das URLs.
Feito isso, podemos dizer que o processo de utilizar o HTPPS no WordPress está concluído.
Outras opções além do Https no WordPress
Não irei incluir muito mais detalhes nesse post porque viraria um “mega” artigo, então vou apenas reforçar alguns pontos relevantes sobre segurança.
Além do SSL, tenha um bom Antivírus e AntiSpam instalado no servidor.
Faça backup regular do seu site e teste o processo de restore. Essa rotina pode evitar muita dor de cabeça, principalmente se precisar se recuperar ed uma ataque virtual.
Resumo desse post
Nesse post vimos alguns pontos relevantes sobre o mundo SSL. Passamos sobre o entendimento inicial e a importância de ter um certificado. Também detalhamos os tipos de certificados existentes e por último como se localizar na configuração do WordPress.
Reforçando, não ter um certificado SSL poderá custar caro. Reverter uma imagem negativa poderá custar recursos importantes e isso sairia mais caro do que adquirir um certificado SSL.
Avance no tema segurança e ganhe mais estrelinhas dos seus clientes e do Google!
Espero que essas informações lhe ajudem a entender melhor o SSL, pois ele é relevante para a sua estratégia no mundo virtual.
Vá e vença!