Solicitar diagnóstico

O aviso de não seguro no seu site está destruindo sua credibilidade antes da primeira venda

O navegador exibe o aviso antes de qualquer conteúdo. Antes do título, antes da foto, antes do preço. O visitante vê "Sua conexão não é particular" ou o cadeado riscado e precisa decidir: continuar ou voltar. A maioria volta.

Segurança digital para PMEs não é um tema técnico complexo. É um conjunto de configurações básicas que protegem o site, o visitante e a reputação da empresa. Este artigo explica o que cada aviso significa, o que resolver primeiro e o que é necessário para adequação mínima à LGPD.

O que o aviso de site não seguro significa

Existem três avisos diferentes que o navegador exibe, cada um com uma causa específica:

"Não seguro" na barra de endereço (sem cadeado): o site usa HTTP em vez de HTTPS. Isso significa que os dados trocados entre o visitante e o servidor, incluindo informações digitadas em formulários, trafegam sem criptografia. Qualquer pessoa na mesma rede pode interceptar esse tráfego.

"Sua conexão não é particular" (tela vermelha bloqueando o site): o certificado de segurança existe mas está inválido ou expirado. O navegador bloqueia o acesso ativamente e exibe um aviso de risco antes de qualquer conteúdo. Muitos usuários não sabem como prosseguir mesmo que queiram.

"Site não disponível com segurança" ou variantes no celular: problemas de configuração do certificado, como certificado válido para um domínio mas o site sendo acessado por outro (por exemplo, www. vs. sem www.). O usuário vê o aviso sem entender o que está errado.

Em todos os casos, o impacto é o mesmo do ponto de vista comercial: o visitante perde a confiança antes de ver qualquer conteúdo da empresa.

HTTPS e certificado SSL: o básico que todo site precisa ter

SSL (Secure Sockets Layer) é o protocolo que criptografa a comunicação entre o navegador do visitante e o servidor do site. HTTPS é o protocolo HTTP com SSL ativo. O cadeado fechado ao lado do endereço indica que a conexão é segura.

O certificado SSL precisa ser instalado no servidor onde o site está hospedado. A maioria dos serviços de hospedagem oferece certificado gratuito via Let's Encrypt. Não existe razão técnica ou financeira para um site estar sem HTTPS em 2026.

Além de proteger o visitante, o HTTPS é fator de ranqueamento confirmado pelo Google desde 2014. Dois sites com conteúdo equivalente: o que tem HTTPS recebe preferência. E o Chrome, navegador mais usado no Brasil, exibe ativamente o aviso de "não seguro" para sites sem certificado.

Para configurar o HTTPS corretamente e garantir que o redirecionamento de HTTP para HTTPS está ativo, evitando que versões inseguras do site ainda sejam acessíveis, veja o que inclui a configuração e segurança de sites para PMEs.

O que vai além do HTTPS na segurança do site

HTTPS protege a comunicação entre o usuário e o servidor. Não protege o site em si contra invasão. Existem outras vulnerabilidades comuns em sites de PMEs:

CMS desatualizado: WordPress, Joomla e outros gerenciadores de conteúdo lançam atualizações regularmente para corrigir falhas de segurança. Um site rodando uma versão desatualizada tem vulnerabilidades conhecidas que qualquer script automatizado consegue explorar. A atualização leva minutos e elimina a vulnerabilidade.

Plugins e temas vulneráveis: plugins de terceiros são a principal porta de entrada de ataques em sites WordPress. Plugins abandonados (sem atualização há mais de um ano) devem ser substituídos. Plugins de fontes não confiáveis nunca devem ser instalados.

Senha de administrador fraca: "admin123", o nome da empresa como senha ou qualquer combinação curta e simples são vulnerabilidades críticas. Ataques de força bruta tentam milhares de combinações por segundo. Senha forte e única para o painel administrativo é o mínimo necessário.

Backup inexistente: sem backup recente, qualquer problema (ataque, falha de servidor, erro de atualização) pode resultar em perda total do site. Backup automático diário ou semanal, armazenado fora do servidor principal, é a rede de segurança mínima.

LGPD para PMEs: o que precisa estar no site

A Lei Geral de Proteção de Dados (LGPD) se aplica a qualquer empresa que colete dados pessoais de usuários brasileiros, independente do tamanho. Se o site tem formulário de contato, essa lei se aplica a você.

Três elementos básicos que todo site precisa ter para adequação mínima:

1. Política de privacidade clara e acessível: uma página explicando quais dados são coletados, para qual finalidade, por quanto tempo são mantidos e como o usuário pode solicitar a exclusão. A linguagem deve ser simples, sem juridiquês. O link para essa página deve estar visível no rodapé e em qualquer formulário de coleta de dados.

2. Aviso de cookies com opção de aceitar ou recusar: se o site usa cookies de rastreamento (Google Analytics, pixels de remarketing, chat), o visitante precisa ser informado e ter a opção de recusar antes que os cookies sejam ativados. O aviso deve aparecer na primeira visita.

3. Formulários com informação sobre uso dos dados: abaixo de qualquer formulário de contato, deve constar brevemente para que os dados serão usados e um link para a política de privacidade. Uma linha é suficiente: "Seus dados serão usados apenas para responder sua mensagem. Saiba mais na nossa Política de Privacidade."

Esses três passos não substituem consultoria jurídica especializada para situações mais complexas de coleta e tratamento de dados. Mas eliminam as inadequações mais visíveis e demonstram compromisso com a privacidade do usuário.

Tom correto para abordar LGPD com clientes: adequação básica e acessível, reduz risco e passa confiança. Não existe "blindagem legal" garantida por configurações técnicas, mas a ausência das configurações básicas é um risco desnecessário.

Como a falta de segurança afeta vendas e confiança

O aviso de "não seguro" aparece antes de qualquer conteúdo. Para o cliente potencial, ele traduz como: "essa empresa não cuida dos próprios processos." É uma inferência rápida e, do ponto de vista do usuário, razoável. Se a empresa não cuida da segurança do próprio site, como cuidará dos dados e dos interesses do cliente?

O impacto é especialmente alto em segmentos onde confiança é o fator central de decisão: saúde, jurídico, financeiro, educação. Um escritório de advocacia ou uma clínica médica com aviso de "não seguro" perde credibilidade antes de qualquer argumento técnico ou profissional.

O segundo impacto é no SEO. Google usa HTTPS como fator de ranqueamento. Sites sem certificado competem em desvantagem mesmo que o conteúdo seja excelente. É um problema duplo: menos visitas e menos conversão das visitas que chegam.

O terceiro impacto é nos anúncios pagos. O Google Ads penaliza páginas de destino sem HTTPS com Quality Score menor, o que aumenta o custo por clique. Investir em anúncios com site sem certificado é pagar mais para levar usuários a uma página que os afasta.

Passo a passo para tornar seu site seguro

A sequência correta, da correção mais urgente para as complementares:

1. Ativar HTTPS e configurar redirecionamento: instalar o certificado SSL no servidor (gratuito via Let's Encrypt na maioria das hospedagens) e configurar redirecionamento automático de HTTP para HTTPS. Todo acesso via http:// deve ser encaminhado para https:// automaticamente.

2. Renovar certificado se expirado: certificados SSL têm validade, geralmente de 90 dias a 1 ano dependendo do tipo. Certificados via Let's Encrypt renovam automaticamente quando configurados corretamente. Se o aviso é de certificado expirado, a renovação resolve.

3. Atualizar CMS, temas e plugins: acessar o painel administrativo e aplicar todas as atualizações disponíveis. Remover plugins e temas não utilizados. Manter apenas o que está em uso ativo.

4. Adicionar página de política de privacidade: criar uma página acessível pelo rodapé com as informações básicas de coleta e uso de dados. Linkar nos formulários de contato.

5. Configurar aviso de cookies: instalar solução de consentimento de cookies compatível com LGPD. Para sites WordPress, há plugins específicos para isso. Para sites customizados, o desenvolvimento é simples.

Para um mapeamento completo de vulnerabilidades específicas do seu site e uma lista de ações priorizadas pelo impacto, veja o que inclui a auditoria de segurança do seu site. O resultado é um plano de correção com estimativa de tempo e custo para cada item.

Perguntas frequentes

O certificado SSL é gratuito ou precisa pagar?

A maioria dos serviços de hospedagem oferece certificado SSL gratuito via Let's Encrypt. Hospedagens como Locaweb, HostGator, Umbler e similares incluem o certificado nos planos. Certificados pagos (EV SSL) existem para casos específicos como e-commerce de alto volume ou bancos, onde o nível de validação é mais rigoroso. Para o site de uma PME de serviços, o certificado gratuito é suficiente.

Meu site pode ser multado pela LGPD? O que preciso fazer?

A LGPD prevê penalidades para violações de privacidade, mas a fiscalização prioritária é sobre empresas com grande volume de dados. Para PMEs, o foco deve ser nas adequações básicas: política de privacidade, aviso de cookies e formulários com consentimento. Esses passos não substituem consultoria jurídica para situações específicas, mas eliminam as inadequações mais visíveis e demonstram boa-fé no tratamento dos dados.

Como saber se meu site está seguro ou vulnerável?

Quatro verificações básicas: (1) acessar o site e verificar se aparece cadeado fechado na barra de endereço; (2) acessar o SSL Labs (ssllabs.com/ssltest) e inserir o domínio para um relatório detalhado do certificado; (3) verificar no painel do CMS se há atualizações pendentes; (4) verificar se há backup automático configurado. Se algum desses pontos estiver com problema, é o ponto de partida da correção.

Auditoria técnica do seu site

Seu site está ajudando ou travando a geração de clientes?

Gratuito · Sem cadastro · Resultado em segundos

Veja também

Se você quer aprofundar cada etapa dessa estratégia, estes guias detalham os próximos passos.