WordPress sob HTTPS: como um certificado simples torna as tuas páginas mais rápidas de uma só vez

Jan Hornung Última atualização em 21.10.2020
9 min.
WordPress  HTTPS: Um simples certificado pode acelerar enormemente o seu site

Há um equívoco persistente de que o HTTPS torna o WordPress lento. De facto, é o contrário: graças ao HTTP/2, os sites encriptados por SSL às vezes são extremamente rápidos. E, graças a certificados SSL gratuitos e instalações integradas, nunca foi tão fácil mudar o WordPress para HTTPS. E isto é bom, porque as páginas HTTP em breve terão de aceitar algumas desvantagens. Mostramos o que a transição traz e como podes verificar rapidamente se o teu host usa HTTP/2.

Hoje, praticamente todos os clientes e utilizadores finais sabem a diferença entre sites encriptados e não encriptados. Pelo menos a um nível subjetivo: a fechadura verde simplesmente causa-te uma boa sensação. Tão conhecido como o efeito positivo na confiança dos visitantes do site é, no entanto, também a convicção errada que a SSL ou TLS (Explicam a diferença, por exemplo, os colegas da CHIP.de) tornam o WordPress lento.

E sim, teoricamente, isso também é verdade: porque se um site é entregue via HTTPS (a variante segura de HTTP), a conexão entre o servidor da web e o navegador demora um pouco mais devido ao chamado SSL handshake . Estamos a falar apenas de alguns milésimos de segundo.

Hoje em dia, a ideia de que o HTTPS torna o WordPress lento não passa de um rumor. Basicamente, um certificado SSL traz apenas vantagens para o teu site. E como em breve o Google começará a adicionar páginas não seguras às páginas não encriptadas, é hora de mudares o teu site para HTTPS.

Vou mostrar-te:

  • Por que razão este é o melhor momento para mudar o WordPress para HTTPS
  • Como mudar o WordPress para HTTPS
  • Porque o HTTP/2 torna os teus sites WordPress mais rápidos
  • Que aumento de desempenho podes esperar de um site WordPress sob HTTPS
  • Um truque simples para detetar se o teu host já está a usar HTTP/2 (o que, aliás, ele deve!)

Gira tudo à volta de HTTPS, quer seja WordPress ou não

Há três anos, o Google anunciou na sua conferência de desenvolvedores Google I/O o lema "HTTPS everywhere (em todo o lado)". Em resumo, os então desenvolvedores do Google, Pierre Far e Ilja Grigorik, defenderam a utilização do TLS (o protocolo sucessor do SSL) e mostraram na sua Sessão , entre outras coisas, formas de o implementar.

Apenas algumas semanas depois, em agosto de 2014, HTTPS então como sinal de classificação oficial, foi incluído no ranking de pesquisa do Google. Por isso, o Google tenta há anos fazer com que os operadores de sites mudem os seus sites para HTTPS, utilizando argumentos e criando factos.

O facto do Google Chrome punir, em breve, páginas HTTP com a indicação "não seguro", deve certamente ser visto como o próximo grande passo na ofensiva do Google "HTTPS everywhere". Na verdade, esta indicação já é exibida para páginas desde a versão 56 do Chromeque recuperam, por exemplo, informações sobre o cartão de crédito. No entanto, com a nova versão 62 do navegador do Google, esta regra é aplicada a todas as páginas que permitem a entrada/ inscrição de clientes, nomeadamente formulários de contacto ou campos de pesquisa.

As passwords e os cartões de crédito não são os únicos tipos de dados que devem ser privados. Qualquer tipo de dados que os utilizadores digitam em sites não deve ser acessível a outros na rede, por isso, a partir da versão 62, o Chrome mostrará o aviso "Não seguro" quando os utilizadores introduzirem dados em sites HTTP.

– Emily SchechterEquipa de segurança do Chrome.

SSL grátis: Nunca antes foi tão económico mudar o WordPress para HTTPS

Há três anos, quando os dois desenvolvedores do Google defenderam o TLS, era necessário comprar os certificados SSL e instalá-los. Isso mudou drasticamente desde então; e para melhor.

Em 2016, a iniciativa Let's Encrypt começou a emitir certificados SSL gratuitos. Graças a patrocinadores , como - não admira - o Chrome, mas também o Facebook e as empresas do universo WordPress, os californianos hoje em dia conseguem fornecer quase 40 milhões de certificados SSL gratuitos ativos.

Números de crescimento HTTPS do WordPress Let's Encrypt. O número de certificados ativos aumentou quase oito vezes desde outubro de 2016.
Como se pode ver, o crescimento do Let's Encrypt tem aumentado fortemente desde outubro de 2016. Desde então, o número de certificados ativos aumentou quase oito vezes.

Este desenvolvimento tem influenciado massivamente o panorama do alojamento: certificados SSL gratuitos são hoje padrão e mesmo a configuração é agora possível para cada utilizador graças à integração de instalações com um clique.

No passado, o HTTPS era uma verdadeira dor de cabeça para o WordPress

Antes da distribuição massificada de certificados SSL gratuitos, há dois anos, a mudança do WordPress para HTTPS era uma verdadeira dor de cabeça, especialmente para proprietários de sites pequenos que precisavam apenas de certificados validados por domínio.

Informação: Estão disponíveis estes tipos de certificados SSL

  • Certificados DV: DV significa Domain Validated. Um certificado DV serve para verificar se o domínio e o espaço web "estão interligados". Se tudo estiver correto, podes assumir que quando acessas o domínio, chegas ao espaço web correspondente e não a um site de phishing. O processo de configuração ainda é bastante simples aqui: o administrador do domínio confirma que tem os direitos apropriados sobre um domínio e é então autorizado a encriptar a sua página.
  • Certificados OV: OV significa Organization Validated. Além da validação do domínio, tal certificado garante que a página que estás a visitar pertence realmente à empresa cuja oferta pretendias aceder.
  • Certificados EV: Os chamados Extended Validated Certificates vão um passo mais além: aqui o organismo de certificação verifica intensivamente os documentos da empresa. Entre outras coisas, o estatuto jurídico da empresa está incluído no certificado.

Mesmo a criação de um simples certificado DV costumava ser uma verdadeira dor de cabeça para sites WordPress e, eventualemnte, não ser viável para não-técnicos. Isto porque o processo consistia em pelo menos quatro etapas:

  1. Certificado de compra: Aqui era necessário lidar com os vários cenários de fornecedores e comparar ativamente preços e condições, mesmo para simples certificados DV. Isto também levou alguns fornecedores a inventarem características muito criativas, como apólices de seguro, para diferenciar os seus produtos. No caso de certificados estendidos, havia também a etapa de validação, ou seja, a prova de que eras o proprietário do domínio e também o proprietário da empresa. Dependendo do certificado, esse processo podia levar dias ou semanas.
  2. Preparar o certificado: O passo seguinte era armazenar as informações do certificado no servidor web. Dependendo do fornecedor, isto era mais ou menos complexo. Mas entretanto, todos os fornecedores de alojamento criaram um fluxo de trabalho mais ou menos bom que te guia como utilizador no processo de configuração.
  3. Preparar WordPress para HTTPS: Após a criação do certificado em si, o site tinha de ser preparado para a mudança de HTTP para HTTPS. Para isso, cada entrada na base de dados e cada recurso da página tinha de ser convertido para HTTPS e o resultado era então verificado quanto a erros de conteúdo misto.
  4. Configurar o Google: Após a mudança da página, as entidades no Google Analytics e na Google Search Console (anteriormente Google Webmaster Tools) tinham de ser ajustadas.

O desenvolvimento iniciado por Let's Encrypt em direção a certificados de TI gratuitos simplificou maciçamente este processo. Muitos hosts agora também oferecem uma instalação simplificada, onde no melhor dos casos Ativar e configurar um certificado com um clique a página é automaticamente mudada para HTTPS. Isto independentemente do projeto ser ou não um projeto WordPress.

DICA: Tens de configurar o SSL sem instalação com um clique?

Se tiveres azar, o teu host ainda não oferece uma instalação simplificada. Neste caso, tens de ser tu a fazer as configurações WordPress para HTTPS:

  • O colega Jonas Tietgen, também conhecido por Ninja WP, explica como fazer isso.
  • De forma semelhante, as orientações do René Dasbeck, também conhecido por networker
  • E também o colega Finn Hillebrandt do blogmojo já tratou do tema

Sem Google não há HTTP/2

Já tinha mencionado: como parte da ofensiva "HTTPS everywhere", o Google sempre se interessou em garantir que o máximo de sites possível fosse executado com um certificado SSL. Aliás, este também deve ser o motivo pelo qual o Chrome é o patrocinador oficial do Let's Encrypt. O gigante dos motores de busca também tem sido fundamental no desenvolvimento do HTTP/2.

Porque o protocolo anterior, o SPDY, foi desenvolvido pela primeira vez como uma experiência da Google para explorar possibilidades técnicas com as quais o quase antigo HTTP / 1 poderia ser melhorado. Isto foi em 2009. Em 2015, as conclusões do projeto experimental SPDY foram transferidas para o protocolo HTTP / 2 padronizado.

É por isso que o HTTP / 2 torna os teus sites WordPress mais rápidos

O HTTP/2 foi equipado com uma série de novas funcionalidades que permitem que a transferência de dados seja muito mais rápida:

  • Multiplexação: Com esta funcionalidade, podem ser carregados vários diferentes fluxos de dados por meio de uma conexão entre o servidor da web e o cliente (ou seja, o browser dos visitantes do teu site). Com o HTTP/1 deve ser aberta uma conexão separada para cada fluxo de dados. E abrir estas ligações leva o seu tempo.
  • Compactação do cabeçalho: Cada pedido HTTP que um cliente faz a um servidor web contém meta informações para que a página possa ser configurada corretamente. Esta metainformação tem crescido ao longo dos anos. O HTTP/2 compacta estas informações e, assim, economiza o volume de dados.
  • Servidor push: Às vezes também chamado de cache push. O princípio por trás desta funcionalidade é muito simples: a grande maioria dos pedidos a um site são muito semelhantes. Se o teu servidor web reconhece o padrão de busca típico, por exemplo para a tua página inicial, então o servidor envia para o browser, sem ser solicitado, todas as informações necessárias para construir a página. Desta forma, o browser tem de enviar para o servidor basicamente menos solicitações HTTP. Isto torna a criação de páginas mais rápida.

Bem, tudo isso soa muito bem em teoria. Mas o que é que isto significa na prática? A página de teste HTTPS vs. HTTP mostra de forma impressionante como é grande a diferença entre as duas gerações do protocolo.

Numa comparação entre HTTPS e HTTP, HTTPS pode ser às vezes muito mais rápido.
Num dos nossos testes, o teste HTTP/1 vs. HTTP/2 mostrou diferenças no tempo de carregamento, como do dia para a noite. A variante HTTP do teste foi 914% mais lenta do que a variante HTTP/2. Estes são bons presságios para mudares os teus sites WordPress para HTTPS.

Claro que é especialmente interessante ver como estas novas funcionalidades afetam o tempo de carregamento dos teus sites no mundo real. Podes simplesmente perguntar ao teu host se o teu site está a ser executado num servidor habilitado para HTTP/2 (ou descobre por ti mesmo usando este simples truque). É suposto que, naturalmente, o WordPress funcione sob HTTPS.

A verdadeira prova: HTTPS torna o WordPress 45% mais rápido no teste

Mas vamos direto ao ponto principal: que tipo de aumento de desempenho podes esperar realisticamente ao mudar de um site WordPress para HTTPS? Porque, com um site finalizado, os 914% medidos não serão exibidos. Por isso, testámos o tempo tudo com a nossa página inicial, ou seja, testámos raidboxes.de uma vez com e uma vez sem HTTPS.

O HTTPS do WordPress sem SSL faz com que a RAIDBOXES precise de mais de 5 segundos para carregar
O HTTPS do WordPress com SSL faz com que a RAIDBOXES precise de apenas 3 segundos para carregar
Fizemos o teste real com a Webpagetest. O tempo de carregamento de um clone de raidboxes.de foi medido através de servidores de teste alemães. Foram realizados sete testes consecutivos para as variantes HTTPS e HTTP e a média dos resultados foi calculada. Importante: a página mostra uma pontuação de desempenho muito baixa, porque certos recursos funcionam apenas no domínio correto do site. O fator decisivo para a comparação é, portanto, apenas o tempo de carregamento.

O teste mostra: Uma cópia da nossa página inicial é automaticamente 45% mais rápida com HTTPS. O nosso teste detalhado com sete testes sucessivos de servidores alemães mostra resultados semelhantes.

Uma dica importante para webmasters: para que possas ver rapidamente se teu host usa HTTP/2

E porque o HTTPS traz aos teus projetos WordPress-WordPress esse conveniente aumento de desempenho, é ainda mais importante que saibas se o teu host usa HTTP/2. Naturalmente podes apenas pedir suporte, mas também existe um método com o qual podes ver rapidamente se o teu site ou qualquer outro site que estás a testar beneficia com HTTP/2.

Precisas apenas de uma coisa: um gráfico em cascata do teu site. Crias isto medindo o tempo de carregamento com as ferramentas Webpagetest,, Pingdom ou GTmetrix. Basta inserir o URL a ser testado e executar o teste. Para esta dica, não importa de onde e com que especificações o teste é realizado.

No gráfico em cascata terminado, agora só tens de prestar atenção se os pedidos individuais são carregados simultaneamente ou apenas cronologicamente. Se eles forem carregados simultaneamente, o teu site utilizará HTTP/2.

HTTPS WordPress vs HTTP WordPress
Como se pode ver, as solicitações individuais na versão esquerda (HTTP) são carregadas cronologicamente, uma após a outra. Na versão da direita (WordPress com HTTPS), todos os pedidos são carregados simultaneamente.

Se ativaste o HTTPS nos teus projetos WordPress-WordPress e as solicitações não forem carregadas em paralelo, deves entrar rapidamente em contacto com o teu host 😉

Conclusão: HTTPS como uma oportunidade para os teus projetos WordPress

O Google começou recentemente a enviar os primeiros e-mails de aviso aos operadores de páginas HTTP. Porque a partir da versão 62, as páginas do navegador Chrome que permitem as entradas dos utilizadores terão a indicação "não seguro".

Exemplo HTTPS do WordPress de um site HTTP na nova versão do Chrome 62
Por exemplo, a barra de endereço dos colegas da t3n ficaria assim se o Chrome exibisse o aviso "Não seguro" em todas as páginas HTTP.

Isto significa, em princípio, que cada página HTTP com um formulário de contacto ou função de comentário é marcada pelo Google. Felizmente, nunca foi tão fácil como hoje criar o próprio site WordPress para HTTPS: Os certificados SSL são, na sua maioria, gratuitos e as instalações com um clique poupam muito trabalho durante a configuração e permitem que webmasters tecnicamente menos experientes façam a troca. E o nosso teste mostra: Mesmo com um site menos otimizado, o WordPress pode beneficiar extremamente com HTTPS e simplesmente carrega muito mais rápido.

Na melhor das hipóteses, é preciso apenas um clique. Portanto, se ainda executas páginas sob HTTP, aconselhamos-te a trocar o mais rapidamente possível.

Membro da equipa RAIDBOXES desde o primeiro momento e chefe de suporte. Ele prefere falar sobre o PageSpeed ​​ e desempenho do site em BarCamps e em WordCamps. A melhor maneira de o subornar é com um café expresso - ou um pretzel da Baviera.

Artigos relacionados

Comentários sobre este artigo

Escreve um comentário

O teu endereço de e-mail não será publicado. Os campos obrigatórios estão marcados com * .