Em 2025, um site sem HTTPS não é apenas inseguro — é penalizado pelo Google, bloqueado por navegadores e rejeitado por usuários. Além do certificado SSL, headers de segurança como HSTS e CSP reforçam a proteção e passam confiança para clientes e mecanismos de busca. Este artigo explica por que HTTPS é obrigatório, o que são SSL/TLS, quais headers configurar e como fazer isso no WordPress. Complementa nosso guia de manutenção de sites WordPress e se conecta diretamente à performance (Core Web Vitals) e à conversão em e-commerce.
Por que HTTPS é obrigatório
HTTPS criptografa a conexão entre o visitante e o servidor. Sem ele, dados de login, formulários e cartões podem ser interceptados. O Google prioriza sites HTTPS no ranking desde 2014 e o Chrome sinaliza “Não seguro” em páginas HTTP desde 2018. Em 2025, a expectativa é que praticamente todo site comercial use HTTPS. Para lojas virtuais, o certificado SSL é requisito do PCI-DSS para processar cartões. Para negócios locais com Schema Markup, a credibilidade do site impacta a chance de aparecer em resultadas e em assistentes de IA.
SSL/TLS em poucas palavras
SSL (Secure Sockets Layer) e TLS (Transport Layer Security) são protocolos que garantem a criptografia. O TLS 1.2 e 1.3 são os recomendados hoje; SSL está obsoleto. Certificados gratuitos como Let’s Encrypt são aceitos por todos os navegadores. A maioria das hospedagens oferece instalação em um clique. Após instalar, configure redirecionamento permanente (301) de HTTP para HTTPS para evitar conteúdo duplicado e perda de autoridade.
Headers de segurança essenciais
- Strict-Transport-Security (HSTS) — força o navegador a usar sempre HTTPS nas próximas visitas. Reduz risco de downgrade attacks e de interceptação em redes inseguras.
- Content-Security-Policy (CSP) — define de onde scripts, estilos e imagens podem carregar. Mitiga XSS (cross-site scripting). Requer teste cuidadoso para não quebrar funcionalidades.
- X-Frame-Options — impede que sua página seja embutida em iframes (evita clickjacking). Valores comuns: SAMEORIGIN ou DENY.
- X-Content-Type-Options: nosniff — evita que o navegador interprete arquivos como MIME type incorreto, reduzindo riscos de exploits.
- Referrer-Policy — controla quanto da URL é enviada em referrals. Útil para privacidade e para evitar vazamento de dados sensíveis.
Como configurar no WordPress
Para HTTPS: use plugin como Really Simple SSL ou configure via hospedagem (cPanel, Plesk). O plugin ajusta URLs internas e força redirecionamento. Para headers: plugins como Security Headers ou configuração no .htaccess (Apache) ou no servidor (Nginx). Alguns provedores (Cloudflare, por exemplo) permitem ajustar headers pelo painel, sem tocar no servidor. Antes de ativar CSP, teste em ambiente de homologação para evitar quebrar scripts de terceiros.
HTTPS e performance
Alguns temem que HTTPS deixe o site mais lento. Na prática, com HTTP/2 e TLS 1.3, o overhead é mínimo. O benefício em segurança e ranking supera amplamente qualquer custo. Um site seguro e rápido (Core Web Vitals em dia) passa mais confiança e converte melhor, especialmente em e-commerce.
Conclusão
HTTPS e headers de segurança são a base de um site confiável. Verifique se seu site força HTTPS, se HSTS está ativo e se os headers recomendados estão configurados. Sua reputação, seu SEO e a confiança dos clientes agradecem.
