Recentemente mudei todos meus sites, tanto este blog quanto o da minha empresa para usarem conexão segura SSL, mudei porque além de tornar o site mais seguro para mim e para quem o acessa, o Google valoriza isso na hora de fazer a indexação dos sites nas pesquisas orgânicas. Ou seja, quando você quer tornar o seu site mais visível na internet, deve torna-lo mais seguro pelas diretrizes do Google. Difícil não concordar com isso.
Outro fato que pesou para esta mudança foi que encontei serviços que ofereciam o certificado SSL de segurança a preços bem acessíveis. A empresa NameCheap oferece para blogs e sites comuns um certificado por $9 dólares, cerca de R$32 reais POR ANO. É muito barato.
Depois que você instalar o certificado no seu site, o correto é forçar todos visitantes a usarem a URL (endereço da página) usando o HTTPS ao invés de HTTP. Explicando melhor, aquele endereço que você vê no topo do navegador, por exemplo http://www.facebook.com deve ficar como https://www.facebook.com. Como fazer para forçar todos visitantes a usarem o endereço seguro? Existem alguns truques que vou explicar aqui.
Resumindo este artigo, os procedimentos que vou explicar:
- Forçar SSL para o administrador e páginas de login do WordPress
- Segurar todas páginas publicadas através do uso de HTTPS
- Alterar o arquivo .htaccess para processar arquivos CSS e javascript usando HTTPS
- Limpar o Cache (se estiver usando) e evitar problemas
Forçar SSL para o administrador e páginas de login do WordPress
Existe uma configuração do WordPress que força conexão segura nas páginas de administração wp-admin. Para forçar você tem que alterar seu arquivo wp-config.php e acrescentar o parâmetro:
define('FORCE_SSL_ADMIN', true);
Com esta configuração, todo visitante que for na página wp-admin será forçado para usar o HTTPS.
Segurar todas páginas publicadas através do uso de HTTPS
Para forçar o restante do site WordPress para usar o HTTPS vamos ainda no arquivo wp-config.php alterar o endereço base do site.
define('WP_HOME', 'https://www.gusleig.com/sos');
define('WP_SITEURL', 'https://www.gusleig.com/sos');
No caso acima estou usando o meu endereço que obviamente você deve alterar para a URL base do seu site wordpress.
Alterar o arquivo .htaccess para processar arquivos CSS e javascript usando HTTPS
Agora vamos forçar que todas as URLs de CSS, javascript e conteúdo sejam acessadas pelo HTTPS:
O arquivo a ser alterado é o .htaccess que fica na base do seu site.
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
Observe as linhas abaixo que foram acrescentadas à configuração original:
RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
Esta instrução diz que se a porta de acesso não for a 443 o endereço será redirecionado para o https.
Limpar o Cache (se estiver usando) e evitar problemas
Se você usa (e deveria estar usando) algum plugin de cache como o Super Cache ou o W3 Total Cache, as chances de ter algum problema com as páginas já em memória são altas. Vá nas configurações do plugin e force para que ele recarregue todas as páginas.
Alterar Todas URLs no Banco de Dados do WordPress para Usar HTTPS
Use um plugin de Search & Replace para substituir todo o texto que contiver http:// para ficar como https://
Faça um backup do banco de dados antes para evitar dores de cabeça.
