El SSL lo tendrás que contratar con el hosting.

El SSH no tienen nada que ver con esto es un protocólo de comunicación, que viene a ser como el Telnet pero cifrado y mucho más seguro. Se puede usar para encapsular todas las comunicaciones por él, como si fuese una VPN, pero vamos, creo que a la hora de crear in sitio web eso no aplica.

Y con respecto a lo demás, sí, no va nada encriptado, toda la comunicación va sin cifrar, lo que quiere decir que si alguien está en la misma red que el cliente o el servidor podría llegar a ver esa comunicación, pero en la práctica no es tan sencillo. Lo normal suele ser que el pass en la base de datos esté encriptado y la comprobación se haga por PHP, por lo que la contraseña viajaría sin cifrar y sólo lo haría en el servidor para comprobarla con la base de datos.

Si eres muy paranoico, puedes encriptar los datos antes de mandarlos (por medio de Javascript).