Já faz um tempo que o Google anunciou que passaria a privilegiar sites seguros (em HTTPS) nos resultados das buscas, com vistas a tornar a Internet "mais segura" (seja lá o que isso signifique). Apesar de tudo, ainda vemos muitos sites rodando em HTTP, sem a camada de criptografia. Acredito que isto se deva, principalmente, ao custo que tem um certificado SSL. Até mesmo os ditos "certificados SSL gratuitos" não são exatamente gratuitos (a partir do segundo ano tem-se que pagar a renovação).

Entretanto, caso o objetivo seja apenas validar a criptografia no navegador e — principalmente — para o Googlebot, existe uma alternativa gratuita 100% funcional. E além disso ainda vai prover cache para o site, aliviando a carga no servidor. Estamos falando de CloudFlare.

Então, a primeira coisa a fazer é criar uma conta lá, adicionar o seu domínio e trocar o DNS para os servidores que a CloudFlare indicar. No modelo de SSL você deve escolher o Flexible, que não tem nenhuma exigência especial no seu servidor.

Depois de o DNS propagar você deve acionar o cache da CloudFlare (caso não tenha aceitado as configurações padrão) para que seja possível usar o certificado SSL deles. É o ícone da nuvenzinha douradinha que indica o cache ativo.

Este procedimento todo demora uns três minutos para configurar, e umas duas horas para o DNS propagar, em se tratando de domínios .com.br. Se estiver inseguro para fazer, peça ajuda ao seu host ou troque para uma hospedagem de alto desempenho que vai te ajudar com a CloudFlare sem criar complicações.

Passado o tempo necessário para a propagação do DNS (novamente: peça ajuda ao host para verificar essa condição) será necessário instalar dois pequenos plugins no WordPress. Um para evitar um loop de redirecionamento infinito e outro para evitar o erro de mixed content (que acontece quando uma página https incorpora elementos de localizações http).

O primeiro plugin a instalar é o CloudFlare Flexible SSL. É só instalar, ativar e ser feliz. Ele é quem vai evitar o loop de redirecionamento supra citado.

O segundo plugin, que também só requer instalação e ativação, é o Force HTTPS, que vai garantir que o WordPress não crie links HTTP para dentro do próprio site, evitando o erro de mixed content que produz aquele "aviso" amarelo em cima do cadeadinho do SSL, indicando que algo não está bem.

Depois que tudo estiver feito, resta apenas instruir a CloudFlare a servir o nosso site exclusivamente em HTTPS. Para isso é só criar uma regra de página — Page Rule em Inglês — com a URL *seusite.com.br* e a regra Always use https ligada.

Não é necessário alterar o endereço do site nas configurações do WP, pode deixar tudo em http mesmo, os plugins fazem os ajustes necessários.

Tome cuidado de seguir a sequência correta, ou você pode ficar sem acesso ao seu blog. Reitero que seu host é quem tem mais condições de ajudar nesse assunto. Se ele não quiser fazer, troque de hospedagem.

HTTPS de graça no WP (versão TL;DR)