Punti chiave
Devi attivare HTTPS su WordPress? Stai cercando di spostare WordPress da HTTP a HTTPS e installare un certificato SSL sul tuo sito web?
Il nostro reparto di sicurezza informatica ha ricevuto parecchie richieste dai clienti da quando Google ha iniziato a contrassegnare tutti i siti Web senza SSL come “non sicuri” a partire da luglio 2018. In questo articolo, mostreremo come spostare correttamente WordPress da HTTP a HTTPS aggiungendo un Certificato SSL.
Vuoi aggiornare il tuo WordPress ad HTTPS in maniera rapida?
Chiedi ai nostri esperti: svolgiamo il lavoro in pochi giorni senza effetti sulla SEO
Che cos’è HTTPS?
HTTPS o Secure HTTP è un metodo di crittografia che protegge la connessione tra il browser dell’utente e il server. Ciò rende più difficile per gli hacker intercettare la connessione.
Ogni giorno condividiamo le nostre informazioni personali con diversi siti Web sia che effettuiamo un acquisto o semplicemente effettuiamo il login.
Per proteggere il trasferimento dei dati, è necessario creare una connessione sicura e qui entrano in gioco SSL e HTTPS.
A ciascun sito viene rilasciato un certificato SSL univoco ai fini dell’identificazione. Se un server sta fingendo di essere su HTTPS e il suo certificato non corrisponde, la maggior parte dei browser moderni avvertirà l’utente di scollegarsi dal sito web perchè pericoloso
Ora probabilmente ti starai chiedendo, perché avresti bisogno di spostare il tuo sito WordPress da HTTP a HTTPS specialmente se si tratta di un semplice blog o sito web di piccole imprese che non raccoglie alcun pagamento online.
Perché hai bisogno di HTTPS e SSL?
L’anno scorso Google ha annunciato un piano per migliorare la sicurezza Web generale incoraggiando i proprietari dei siti Web a passare da HTTP a HTTPS. Come parte di questo piano, il popolare browser Web Chrome ha contrassegnato tutti i siti Web senza un certificato SSL come “Non protetto” a partire da luglio 2018.
Google ha anche confermato che i siti Web con SSL godranno di vantaggi SEO e posizionamenti più elevati. Dall’anno scorso, un gran numero di siti Web è così passato da HTTP a HTTPS.
Google ha lanciato a più riprese l’avviso “Non protetto” in Chrome. Ad esempio, se qualcuno visita un sito Web HTTP utilizzando la finestra di navigazione in incognito, verrà contrassegnato come Non protetto. Se qualcuno visita un sito Web HTTP in modalità normale e prova a compilare un modulo di contatto o un altro modulo, il sito Web verrà contrassegnato come non protetto.
Se i tuoi lettori e clienti dovessero vedere questo avviso, avrebbero certamente una cattiva impressione.
Questo è il motivo per cui tutti i siti web devono spostarsi da HTTP a HTTPS e installare immediatamente SSL.
Ancora di più, se vuoi accettare pagamenti online sul tuo sito eCommerce: allora hai veramente bisogno di SSL. Così come fanno la maggior parte delle società di pagamento come Stripe , PayPal Pro, Authorize.net, ecc che richiedono una connessione sicura prima di accettare i pagamenti.
Primo passo: scegliere e acquistare un certificato di sicurezza SSL
I requisiti per l’utilizzo di SSL in WordPress non sono molto alti. Tutto quello che devi fare è acquistare un certificato SSL. In linea teorica è possibile avere un certificato gratuito, ma questi hanno solitamente un livello di protezione appena sufficiente.
Vediamo quali tipi di certificati SSL esistono:
Scegliamo il certificato SSL più adatto per te e lo installiamo.
Migrazione da HTTP ad HTTPS completa chiavi in mano. Contattaci
I certificati SSL convalidati dal dominio
I certificati SSL convalidati dal dominio sono quelli in cui l’hosting che ospita il sito conferma l’esistenza del sito e del suo amministratore.
L’autorità di certificazione può generalmente convalidare tramite e-mail, DNS o HTTP.
Durante la convalida via e-mail, l’autorità di certificazione invierà una e-mail all’amministratore. Da lì, il proprietario del sito farà clic su un collegamento nell’email per richiedere un certificato da verificare.
Attraverso la verifica via DNS invece, l’utente convalida di essere il proprietario del sito tramite un record DNS collegato al dominio del sito web.
Un record DNS è un file di testo che mostra a quali indirizzi IP è associato ciascun dominio.
La convalida HTTP prevede invece che l’utente comprovi la proprietà del sito creando e salvando un file di testo nella cartella Web pubblica del proprio dominio.
Una volta che un certificato è valido e l’autorità lo firma, i browser Web mostreranno che ora esiste una connessione HTTPS sicura.
I certificati convalidati dal dominio sono solo certificati di crittografia.
Tutto quello che devi fare per ottenerne uno è dimostrare la tua proprietà del sito.
Dal momento sono così facili da ottenere, ci sono diversi vantaggi e svantaggi dei certificati SSL convalidati dal dominio.
Vantaggi dei certificati SSL convalidati dal dominio
- Sono economici. Il processo per ottenere un certificato SSL convalidato dal dominio è solitamente automatizzato, il che comporta un costo inferiore rispetto ad altri certificati SSL.
- Non ci vuole molto per ottenerne uno. In genere in questo modo è possibile ottenere un SSL in pochi minuti e non sarà necessario inviare documenti aggiuntivi per verificare la propria attività.
Svantaggi dei certificati convalidati dal dominio
- Non sono sicuri come altri certificati SSL. Qualsiasi hacker può ottenere un certificato SSL valido per il dominio e quindi nascondere la propria identità.
- Per questo motivo, i visitatori potrebbero non fidarsi del tuo sito o non sentirsi a proprio agio con le loro informazioni di pagamento con questo tipo di certificato.
Certificati SSL convalidati da un ente
Il certificato SSL convalidato da una ente permette di dimostrare la proprietà di un dominio verificando anche che tu sia il titolare di un’organizzazione o azienda in un determinato paese, stato e città.
Il processo per ottenere uno di questi certificati è esattamente come quello usato per ottenere un certificato convalidato dal dominio, ma devi fare alcuni passi aggiuntivi per verificare l’identità della tua azienda.
Non ci vuole troppo tempo per ottenere questo tipo di certificato: da alcune ore a diversi giorni.
Questi tipi di certificati mostrano anche le informazioni della tua azienda nei dettagli del certificato, come questo da Amazon.
Per i consumatori, avere queste informazioni aggiuntive potrebbe dargli una maggiore sicurezza, portandoli ad avere maggiori probabilità di effettuare un acquisto.
Certificati SSL di validazione estesa
Il certificato SSL di convalida estesa richiede alle imprese di fornire ancora più dettagli per dimostrare la proprietà di un’azienda.
Questo certificato ti offre lo stesso tipo di convalida dei certificati sia del dominio che di un ente, ma dimostra anche che hai registrato legalmente la tua azienda.
Questa convalida può richiedere giorni o settimane, a seconda di ciò che richiede l’autorità di certificazione.
Questo richiede che tu fornisca documenti che certificano l’identità della tua azienda e altre informazioni.
È possibile identificare facilmente questi tipi di certificati tramite la barra verde nel browser Web che contiene il nome dell’azienda, come PayPal.
Le autorità di certificazione rilasciano questi tipi di certificati solo dopo aver ricevuto documenti che dimostrano due elementi: l’esistenza operativa e l’ubicazione di un’azienda e la coerenza tra tali informazioni.
Successivamente, l’organizzazione che emette il certificato rilascerà l’autorizzazione appropriata alla società e al sito web.
Per questi motivi, questo è il tipo più sicuro di certificato SSL quando si tratta di livello di validazione.
Configurare WordPress per utilizzare SSL e HTTP
Dopo aver abilitato il certificato SSL sul tuo nome di dominio, dovrai configurare WordPress per utilizzare i protocolli SSL e HTTP sul tuo sito web.
Ti mostreremo due metodi per farlo e potrai scegliere quello che si adatta meglio alle tue necessità.
Attivare SSL / HTTPS in WordPress tramite un plugin
Questo metodo è più semplice ed è raccomandato per i principianti.
Innanzitutto, è necessario installare e attivare il plugin SSL Really Simple .
Dopo l’attivazione, devi visitare Impostazioni » Pagina SSL . Il plugin rileverà automaticamente il certificato SSL e configurerà il tuo sito WordPress per l’utilizzo di HTTP.
Il plugin si prenderà cura di tutto. Ecco cosa fa il plug-in dietro le quinte:
- Controlla il certificato SSL
- Imposta WordPress per utilizzare https negli URL
- Imposta i reindirizzamenti da HTTP a HTTP
- Cerca gli URL nel tuo contenuto che continuano a essere caricati da fonti HTTP non sicure e tenta di risolverli.
Nota: il plug-in tenta di correggere gli errori di contenuto misto utilizzando la tecnica di buffer di output. Può avere un impatto negativo sulle prestazioni perché sta sostituendo il contenuto sul sito mentre viene caricata la pagina. Questo impatto si verifica solo sul caricamento della prima pagina e dovrebbe essere minimo se si utilizza un plug-in di memorizzazione nella cache.
Anche se il plugin dice che puoi mantenere l’SSL e disattivare in sicurezza il plugin, dobbiamo dire che questo non è vero al 100%. E’ meglio lasciare attivo il plugin in ogni momento, perché la disattivazione del plug-in restituirà errori di contenuto misto.
Attivare SSL / HTTPS in WordPress manualmente
Questo metodo richiede di risolvere i problemi manualmente e modificare i file WordPress. Tuttavia questa è una soluzione permanente e più performante.
Per prima cosa, devi visitare Impostazioni » Pagina generale .Da qui è necessario aggiornare i campi di WordPress e indirizzo URL del sito sostituendo http con https.
Non dimenticare di fare clic sul pulsante “Salva modifiche” per memorizzare le tue impostazioni.
Una volta salvate le impostazioni, WordPress ti disconnetterà e ti verrà chiesto di effettuare nuovamente l’accesso.
Successivamente, devi impostare i reindirizzamenti di WordPress da HTTP a HTTPS aggiungendo il seguente codice al tuo file .htaccess .
<IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] </IfModule>
Se si è su server nginx (la maggior parte degli utenti non lo sono), è necessario aggiungere il seguente codice per reindirizzare da HTTP a HTTPS nel file di configurazione:
server { listen 80; server_name example.com www.example.com; return 301 https://example.com$request_uri; }
Non dimenticare di sostituire esempio.com con il tuo nome di dominio.
Seguendo questi passaggi, eviterete che l’HTTPS di WordPress non funzioni, poiché WordPress caricherà l’intero sito Web utilizzando https.
Se si desidera forzare SSL e HTTPS nell’area di amministrazione di WordPress o nelle pagine di accesso, è necessario configurare SSL nel file wp-config.php .
Aggiungi semplicemente il seguente codice sopra la riga “Questo è tutto, smetti di editare!” Nel tuo file wp-config.php:
define('FORCE_SSL_ADMIN', true);
Questa linea consente a WordPress di forzare SSL / HTTPs nell’area di amministrazione di WordPress.
Una volta fatto questo, il tuo sito Web è completamente configurato per utilizzare SSL / HTTPS, ma continuerai a riscontrare errori di contenuto misto.
Questi errori sono causati da fonti (immagini, script o fogli di stile) che vengono ancora caricati utilizzando il protocollo HTTP non sicuro negli URL. In questo caso, non potrai vedere l’icona di un lucchetto sicuro nella barra degli indirizzi del tuo sito web.
Molti browser moderni bloccheranno automaticamente script e risorse non sicuri. Potresti visualizzare l’icona di un lucchetto ma con una notifica a riguardo nella barra degli indirizzi del browser.
Puoi scoprire quale contenuto è scoperto da HTTPS attraverso un protocollo insicuro usando lo strumento Ispeziona del tuo browser. L’errore di contenuto misto verrà visualizzato nel codice.
Noterai che la maggior parte degli URL ancora rimasti all’HTTP sono immagini, iframe e gallerie di immagini mentre alcuni sono script e fogli di stile caricati dai tuoi plugin e temi WordPress.
Correggere il contenuto misto
Una volta eseguito il passaggio da HTTP ad HTTPS, vi potrebbero essere degli elementi ancora scoperti. Si chiamano “Contenuti Misti“, e vanno individuati e corretti con delle procedure manuali o semi-manuali. Vediamo nel dettaglio come intervenire
Correggere il contenuto misto nel database di WordPress
La maggior parte degli URL non corretti saranno immagini, file, incorporamenti e altri dati memorizzati nel database di WordPress.
Tutto quello che devi fare per risolvere è trovare tutti gli incorporamenti del tuo vecchio URL del sito web nel database avviato con http e sostituirlo con il tuo nuovo URL del sito web che inizia con https.
Puoi farlo facilmente installando e attivando il plugin Better Search Replace.
Dopo l’attivazione, è necessario visitare la pagina Strumenti »Ricerca migliore Sostituisci. Sotto il campo “Cerca”, devi aggiungere l’URL del tuo sito web con http
.Successivamente, aggiungi l’URL del tuo sito web con https sotto il campo “Sostituisci”.
Sotto, vedrai tutte le tue tabelle del database di WordPress. È necessario selezionarle tutte per eseguire un controllo approfondito.
Infine, devi deselezionare la casella accanto a “Esegui automaticamente” , quindi fare clic sul pulsante “Esegui ricerca / Sostituisci”.
Il plugin ora cercherà nel tuo database WordPress gli URL che iniziano con http e li sostituirà con URL https sicuri. Potrebbe richiedere del tempo a seconda delle dimensioni del tuo database WordPress.
Risolvere errori di contenuto misto nel tema WordPress
Un altro problema dopo il passaggio ad HTTPS è contenuto misto nel tema di WordPress. Qualsiasi tema WordPress decente che segua gli standard di codifica di WordPress non causerà questo problema.
Innanzitutto, dovrai utilizzare lo strumento Inspect del browser per trovare le risorse errate ecapire da dove vengono caricate.
Dopodiché, dovrai trovarli nel tuo tema WordPress e sostituirli con https. Questo sarà un po ‘difficile per la maggior parte dei principianti, dato che non sarai in grado di vedere quali file di temi contengono questi URL.
Correggere gli errori di contenuto misto causati dai plugin
Alcuni contenuti misti verranno creati dai plugin di WordPress. Qualsiasi plugin WordPress che segue gli standard di codifica di WordPress non causerà errori di contenuto misto ma gli altri sì.
Non è consigliabile mettersi a modificare i file plugin di WordPress mentre è meglio contattare l’autore del plugin e farglielo sapere. Se non risponde o non è in grado di aggiornare, è necessario trovare un sostituto adatto.
Nota: se per qualche motivo riscontri ancora errori di contenuto misto, ti consigliamo di utilizzare temporaneamente il plug-in Really Simple SSL, in modo che gli utenti non subiscano alcun impatto mentre correggi il problema su un sito Web di gestione temporanea o uno sviluppatore.
Invia il tuo WordPress HTTPS alla Search Console di Google
I motori di ricerca come Google considerano https e http come due diversi siti web. Ciò significa che dovrai far sapere a Google che il tuo sito web è stato spostato per evitare problemi di SEO.
Per farlo, devi solo accedere al tuo account Google Search Console e fare clic sul pulsante “Aggiungi una proprietà“. Verrà visualizzato un popup in cui è necessario aggiungere il nuovo indirizzo https del tuo sito web.
Successivamente, Google ti chiederà di verificare la proprietà del tuo sito web. Ci sono diversi modi per farlo: puoi selezionare un qualsiasi metodo e seguire le istruzioni per verificare il tuo sito.
Una volta verificato il tuo sito, Google inizierà a mostrare i rapporti della tua console di ricerca.
Devi anche assicurarti che entrambe le versioni https e http siano aggiunte in Search Console.
Questo indica a Google che desideri che la versione https del tuo sito web sia considerata la versione principale. In combinazione con i reindirizzamenti 301 che hai impostato in precedenza, Google trasferirà i tuoi ranking di ricerca alla versione https del tuo sito web e molto probabilmente vedrai addirittura miglioramenti nelle classifiche di ricerca.