Punti chiave
Devi attivare HTTPS su WordPress? Stai cercando di spostare WordPress da HTTP a HTTPS e installare un certificato SSL sul tuo sito web?ย
Il nostro reparto di sicurezza informatica ha ricevuto parecchie richieste dai clienti da quando Google ha iniziato a contrassegnare tutti i siti Web senza SSL come “non sicuri” a partire da luglio 2018. In questo articolo, mostreremo come spostare correttamente WordPress da HTTP a HTTPS aggiungendo un Certificato SSL.
Vuoi aggiornare il tuo WordPress ad HTTPS in maniera rapida?
Chiedi ai nostri esperti: svolgiamo il lavoro in pochi giorni senza effetti sulla SEO
Che cos’รจ HTTPS?
HTTPS o Secure HTTP รจ un metodo di crittografia che protegge la connessione tra il browser dell’utente e il server.ย Ciรฒ rende piรน difficile per gli hacker intercettare la connessione.
Ogni giorno condividiamo le nostre informazioni personali con diversi siti Web sia che effettuiamo un acquisto o semplicemente effettuiamo il login.
Per proteggere il trasferimento dei dati, รจ necessario creare una connessione sicura e qui entrano in gioco SSL e HTTPS.
A ciascun sito viene rilasciato un certificato SSL univoco ai fini dell’identificazione.ย Se un server sta fingendo di essere su HTTPS e il suo certificato non corrisponde, la maggior parte dei browser moderni avvertirร l’utente di scollegarsi dal sito web perchรจ pericoloso
Ora probabilmente ti starai chiedendo, perchรฉ avresti bisogno di spostare il tuo sito WordPress da HTTP a HTTPS specialmente se si tratta di unย semplice blogย oย sito web di piccole imprese che non raccoglie alcun pagamento online.
Perchรฉ hai bisogno di HTTPS e SSL?
L’anno scorso Google ha annunciato un piano per migliorare la sicurezza Web generale incoraggiando i proprietari dei siti Web a passare da HTTP a HTTPS.ย Come parte di questo piano, il popolare browser Web Chrome ha contrassegnato tutti i siti Web senza un certificato SSL come “Non protetto” a partire da luglio 2018.
Google ha anche confermato che i siti Web con SSL godranno di vantaggi SEO e posizionamenti piรน elevati.ย Dall’anno scorso, un gran numero di siti Web รจ cosรฌ passato da HTTP a HTTPS.
Google ha lanciato a piรน riprese l’avviso “Non protetto” in Chrome.ย Ad esempio, se qualcuno visita un sito Web HTTP utilizzando la finestra di navigazione in incognito, verrร contrassegnato come Non protetto.ย Se qualcuno visita un sito Web HTTP in modalitร normale e prova a compilare un modulo di contatto o un altro modulo, il sito Web verrร contrassegnato come non protetto.
Se i tuoi lettori e clienti dovessero vedere questo avviso, avrebbero certamente una cattiva impressione.
Questo รจ il motivo per cui tutti i siti web devono spostarsi da HTTP a HTTPS e installare immediatamente SSL.
Ancora di piรน, se vuoi accettare pagamenti online sul tuoย sito eCommerce: allora hai veramente bisogno di SSL. Cosรฌ come fanno la maggior parteย delle societร di pagamentoย comeย Stripeย , PayPal Pro, Authorize.net, ecc che richiedono una connessione sicura prima di accettare i pagamenti.
Primo passo: scegliere e acquistare un certificato di sicurezza SSL
I requisiti per l’utilizzo di SSL in WordPress non sono molto alti. Tutto quello che devi fare รจ acquistare un certificato SSL. In linea teorica รจ possibile avere un certificato gratuito, ma questi hanno solitamente un livello di protezione appena sufficiente.
Vediamo quali tipi di certificati SSL esistono:
Scegliamo il certificato SSL piรน adatto per te e lo installiamo.
Migrazione da HTTP ad HTTPS completa chiavi in mano. Contattaci
I certificati SSL convalidati dal dominio
I certificati SSL convalidati dal dominio sono quelli in cui l’hosting che ospita il sito conferma l’esistenza del sito e del suo amministratore.
L’autoritร di certificazione puรฒ generalmente convalidare tramite e-mail, DNS o HTTP.
Durante la convalida via e-mail, l’autoritร di certificazione invierร una e-mail all’amministratore.ย Da lรฌ, il proprietario del sito farร clic su un collegamento nell’email perย richiedere un certificatoย da verificare.
Attraverso la verifica via DNS invece, l’utente convalida di essere il proprietario del sito tramite un record DNS collegato al dominio del sito web.
Unย record DNSย รจ un file di testo che mostra a quali indirizzi IP รจ associato ciascun dominio.
La convalida HTTP prevede invece che l’utente comprovi la proprietร del sito creando e salvando un file di testo nella cartella Web pubblica del proprio dominio.
Una volta che un certificato รจ valido e l’autoritร lo firma, i browser Web mostreranno che ora esiste unaย connessione HTTPSย sicura.
I certificati convalidati dal dominio sono solo certificati di crittografia.
Tutto quello che devi fare per ottenerne uno รจ dimostrare la tua proprietร del sito.
Dal momento sono cosรฌ facili da ottenere, ci sono diversi vantaggi e svantaggi dei certificati SSL convalidati dal dominio.
Vantaggi dei certificati SSL convalidati dal dominio
- Sono economici.ย Il processo per ottenere un certificato SSL convalidato dal dominio รจ solitamente automatizzato, il che comporta un costo inferiore rispetto ad altri certificati SSL.
- Non ci vuole molto per ottenerne uno.ย In genere in questo modo รจ possibile ottenere un SSL in pochi minuti e non sarร necessario inviare documenti aggiuntivi per verificare la propria attivitร .
Svantaggi dei certificati convalidati dal dominio
- Non sono sicuri come altri certificati SSL.ย Qualsiasi hacker puรฒ ottenere un certificato SSL valido per il dominio e quindi nascondere la propria identitร .
- Per questo motivo, i visitatori potrebbero non fidarsi del tuo sito o non sentirsi a proprio agio con le loro informazioni di pagamento con questo tipo di certificato.
Certificati SSL convalidati daย unย ente
Il certificato SSL convalidato da una ente permette di dimostrare la proprietร di un dominio verificando anche che tu sia il titolare di un’organizzazione o azienda in un determinato paese, stato e cittร .
Il processo per ottenere uno di questi certificati รจ esattamente come quello usato per ottenere un certificato convalidato dal dominio, ma devi fare alcuni passi aggiuntivi per verificare l’identitร della tua azienda.
Non ci vuole troppo tempo per ottenere questo tipo di certificato: da alcune ore a diversi giorni.
Questi tipi di certificati mostrano anche le informazioni della tua azienda nei dettagli del certificato,ย come questo da Amazon.
Per i consumatori, avere queste informazioni aggiuntive potrebbe dargli una maggiore sicurezza, portandoli ad avere maggiori probabilitร di effettuare un acquisto.
Certificati SSL di validazione estesa
Il certificato SSL di convalida estesa richiede alle imprese di fornire ancora piรน dettagli per dimostrare la proprietร di un’azienda.
Questo certificato ti offre lo stesso tipo di convalida dei certificati sia del dominio che di un ente, ma dimostra anche che hai registrato legalmente la tua azienda.
Questa convalida puรฒ richiedere giorni o settimane, a seconda di ciรฒ che richiede l’autoritร di certificazione.
Questo richiede che tu fornisca documenti che certificano l’identitร della tua azienda e altre informazioni.
ร possibile identificare facilmente questi tipi di certificati tramite la barra verde nel browser Web che contiene il nome dell’azienda,ย come PayPal.
Le autoritร di certificazione rilasciano questi tipi di certificati solo dopo aver ricevuto documenti che dimostrano due elementi: l’esistenza operativa e l’ubicazione di un’azienda e la coerenza tra tali informazioni.
Successivamente, l’organizzazione che emette il certificato rilascerร l’autorizzazione appropriata alla societร e al sito web.
Per questi motivi, questo รจ il tipo piรน sicuro di certificato SSL quando si tratta di livello di validazione.
Configurare WordPress per utilizzare SSL e HTTP
Dopo aver abilitato il certificato SSL sul tuo nome di dominio, dovrai configurare WordPress per utilizzare i protocolli SSL e HTTP sul tuo sito web.
Ti mostreremo due metodi per farlo e potrai scegliere quello che si adatta meglio alle tue necessitร .
Attivare SSL / HTTPS in WordPress tramite un plugin
Questo metodo รจ piรน semplice ed รจ raccomandato per i principianti.
Innanzitutto, รจ necessario installare e attivare il pluginย SSL Really Simpleย .ย
Dopo l’attivazione, devi visitareย Impostazioni ยปย Paginaย SSLย .ย Il plugin rileverร automaticamente il certificato SSL e configurerร il tuo sito WordPress per l’utilizzo di HTTP.
Il plugin si prenderร cura di tutto. Ecco cosa fa il plug-in dietro le quinte:
- Controlla il certificato SSL
- Imposta WordPress per utilizzare https negli URL
- Imposta i reindirizzamenti da HTTP a HTTP
- Cerca gli URL nel tuo contenuto che continuano a essere caricati da fonti HTTP non sicure e tenta di risolverli.
Nota:ย il plug-in tenta di correggere gli errori di contenuto misto utilizzando la tecnica di buffer di output.ย Puรฒ avere unย impatto negativo sulleย prestazioniย perchรฉ sta sostituendo il contenuto sul sito mentre viene caricata la pagina.ย Questo impatto si verifica solo sul caricamento della prima pagina e dovrebbe essere minimo se si utilizza un plug-in di memorizzazione nella cache.
Anche se il plugin dice che puoi mantenere l’SSL e disattivare in sicurezza il plugin, dobbiamo dire che questo non รจ vero al 100%.ย E’ meglio lasciare attivo il plugin in ogni momento, perchรฉ la disattivazione del plug-in restituirร errori di contenuto misto.
Attivare SSL / HTTPS in WordPress manualmente
Questo metodo richiede di risolvere i problemi manualmente e modificare i file WordPress.ย Tuttavia questa รจ una soluzione permanente e piรน performante.
Per prima cosa, devi visitareย Impostazioni ยปย Paginaย generaleย .Da qui รจ necessario aggiornare i campi di WordPress e indirizzo URL del sito sostituendo http con https.
Non dimenticare di fare clic sul pulsante “Salva modifiche” per memorizzare le tue impostazioni.
Una volta salvate le impostazioni, WordPress ti disconnetterร e ti verrร chiesto di effettuare nuovamente l’accesso.
Successivamente, devi impostare i reindirizzamenti di WordPress da HTTP a HTTPS aggiungendo il seguente codice al tuoย file .htaccessย .
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>
Se si รจ su server nginx (la maggior parte degli utenti non lo sono), รจ necessario aggiungere il seguente codice per reindirizzare da HTTP a HTTPS nel file di configurazione:
server {
listen 80;
server_name example.com www.example.com;
return 301 https://example.com$request_uri;
}
Non dimenticare di sostituire esempio.com con il tuo nome di dominio.
Seguendo questi passaggi, eviterete che l’HTTPS di WordPress non funzioni, poichรฉ WordPress caricherร l’intero sito Web utilizzando https.
Se si desidera forzare SSL e HTTPS nell’area di amministrazione di WordPress o nelle pagine di accesso, รจ necessario configurare SSL nel file wp-config.php .
Aggiungi semplicemente il seguente codice sopra la riga “Questo รจ tutto, smetti di editare!” Nel tuo file wp-config.php:
define('FORCE_SSL_ADMIN', true);
Questa linea consente a WordPress di forzare SSL / HTTPs nell’area di amministrazione di WordPress.ย
Una volta fatto questo, il tuo sito Web รจ completamente configurato per utilizzare SSL / HTTPS, ma continuerai a riscontrare errori di contenuto misto.
Questi errori sono causati da fonti (immagini, script o fogli di stile) che vengono ancora caricati utilizzando il protocollo HTTP non sicuro negli URL.ย In questo caso, non potrai vedere l’icona di un lucchetto sicuro nella barra degli indirizzi del tuo sito web.
Molti browser moderni bloccheranno automaticamente script e risorse non sicuri.ย Potresti visualizzare l’icona di un lucchetto ma con una notifica a riguardo nella barra degli indirizzi del browser.
Puoi scoprire quale contenuto รจ scoperto da HTTPS attraverso un protocollo insicuro usando loย strumento Ispezionaย del tuo browser.ย L’errore di contenuto misto verrร visualizzato nel codice.
Noterai che la maggior parte degli URL ancora rimasti all’HTTP sono immagini, iframe e gallerie di immagini mentre alcuni sono script e fogli di stile caricati dai tuoi plugin e temi WordPress.
Correggere il contenuto misto
Una volta eseguito il passaggio da HTTP ad HTTPS, vi potrebbero essere degli elementi ancora scoperti. Si chiamano “Contenuti Misti“, e vanno individuati e corretti con delle procedure manuali o semi-manuali. Vediamo nel dettaglio come intervenire
Correggere il contenuto misto nel database di WordPress
La maggior parte degli URL non corretti saranno immagini, file, incorporamenti e altri dati memorizzati nel database di WordPress.ย
Tutto quello che devi fare per risolvere รจ trovare tutti gli incorporamenti del tuo vecchio URL del sito web nel database avviato con http e sostituirlo con il tuo nuovo URL del sito web che inizia con https.
Puoi farlo facilmente installando e attivando il pluginย Better Search Replace.
Dopo l’attivazione, รจ necessario visitare la paginaย Strumenti ยปRicerca migliore Sostituisci.ย Sotto il campo “Cerca”, devi aggiungere l’URL del tuo sito web conย httpย .Successivamente, aggiungi l’URL del tuo sito web con https sotto il campo “Sostituisci”.
Sotto, vedrai tutte le tue tabelle del database di WordPress.ย ร necessario selezionarle tutte per eseguire un controllo approfondito.
Infine, devi deselezionare la casella accanto a “Esegui automaticamente”ย , quindi fare clic sul pulsante “Esegui ricerca / Sostituisci”.
Il plugin ora cercherร nel tuo database WordPress gli URL che iniziano con http e li sostituirร con URL https sicuri.ย Potrebbe richiedere del tempo a seconda delle dimensioni del tuo database WordPress.
Risolvere errori di contenuto misto nel tema WordPress
Un altro problema dopo il passaggio ad HTTPS รจ contenuto misto nel tema di WordPress.ย Qualsiasi tema WordPress decente che segua gli standard di codifica di WordPress non causerร questo problema.
Innanzitutto, dovrai utilizzare lo strumento Inspect del browser per trovare le risorse errate ecapire da dove vengono caricate.
Dopodichรฉ, dovrai trovarli nel tuo tema WordPress e sostituirli con https.ย Questo sarร un po ‘difficile per la maggior parte dei principianti, dato che non sarai in grado di vedere quali file di temi contengono questi URL.
Correggere gli errori di contenuto misto causati dai plugin
Alcuni contenuti misti verranno creati dai plugin di WordPress.ย Qualsiasi plugin WordPress che segue gli standard di codifica di WordPress non causerร errori di contenuto misto ma gli altri sรฌ.
Non รจ consigliabile mettersi a modificare i file plugin di WordPress mentre รจ meglio contattare l’autore del plugin e farglielo sapere. Se non risponde o non รจ in grado di aggiornare, รจ necessario trovare un sostituto adatto.
Nota: se per qualche motivo riscontri ancora errori di contenuto misto, ti consigliamo di utilizzare temporaneamente il plug-in Really Simple SSL, in modo che gli utenti non subiscano alcun impatto mentre correggi il problema su un sito Web di gestione temporanea o uno sviluppatore.
Invia il tuo WordPress HTTPS alla Search Console di Google
I motori di ricerca come Google considerano https e http come due diversi siti web. Ciรฒ significa che dovrai far sapere a Google che il tuo sito web รจ stato spostato per evitare problemi di SEO.
Per farlo, devi solo accedere al tuoย account Google Search Consoleย e fare clic sul pulsante “Aggiungi una proprietร “. Verrร visualizzato un popup in cui รจ necessario aggiungere il nuovo indirizzo https del tuo sito web.
Successivamente, Google ti chiederร di verificare la proprietร del tuo sito web.ย Ci sono diversi modi per farlo: puoi selezionare un qualsiasi metodo e seguire le istruzioni per verificare il tuo sito.
Una volta verificato il tuo sito, Google inizierร a mostrare i rapporti della tua console di ricerca.
Devi anche assicurarti che entrambe le versioni https e http siano aggiunte in Search Console.
Questo indica a Google che desideri che la versione https del tuo sito web sia considerata la versione principale.ย In combinazione con i reindirizzamenti 301 che hai impostato in precedenza, Google trasferirร i tuoi ranking di ricerca alla versione https del tuo sito web e molto probabilmente vedrai addirittura miglioramenti nelle classifiche di ricerca.
