Imparare a spostare il tuo sito web su HTTPS è una questione importante. Al giorno d’oggi, condividiamo dati sensibili come le informazioni della carta di credito e della banca o le credenziali di accesso decine di volte al giorno.
Utilizzare il web per lo shopping ci dà molte comodità. Non abbiamo più bisogno di uscire per fare commissioni, comprare la spesa, pagare le bollette o parlare con gli altri faccia a faccia. Diavolo, proprio prima di scrivere questa guida, stavamo provando gli occhiali online!
Tuttavia, c’è un rovescio della medaglia. Come proprietario di un sito web – specialmente se hai un negozio online e/o tratti informazioni finanziarie o altre informazioni sensibili – hai la responsabilità di tenerle al sicuro. Uno dei passi più importanti per farlo è usare HTTPS e la crittografia SSL sul tuo sito. Questo è ciò di cui parleremo in questa guida.
In questa guida, parleremo innanzitutto di cosa si intende per HTTPS e SSL e come funziona. Inoltre, parleremo delle ragioni per aggiungere la crittografia al vostro sito. Poi ti diremo dove puoi ottenere un certificato SSL per il tuo sito e infine ti forniremo una guida passo dopo passo su come spostare il tuo sito in HTTPS.
Pronto? Allora indossate i vostri occhiali protettivi e parliamo un po’ di sicurezza.
Clicca qui per vedere 8 passi per spostare il tuo WordPress su https://
Come funziona HTTPS – Una breve definizione
Prima di tuffarci su come spostare il tuo sito web su HTTPS, definiamo innanzitutto di cosa stiamo parlando. Anche se non sai esattamente cosa sono HTTPS e SSL, probabilmente li hai già visti all’opera.
HTTPS e SSL sono visibili sugli URL dei siti
Al giorno d’oggi gli URL della maggior parte dei grandi siti (e sempre di più anche quelli più piccoli) iniziano con https:// invece del familiare https://. Infatti, se guardi nella barra del tuo browser mentre sei su questo sito, vedrai esattamente questo.
A fianco, noterai anche il simbolo del lucchetto. Questo è il modo in cui i browser moderni mostrano che sei su un sito che utilizza la crittografia SSL. In alcuni casi, includono anche il nome della società. Entrambi sono segni che sei su un sito che prende sul serio la privacy dei suoi visitatori.
Cosa significa veramente?
HTTPS sta per Hypertext Transport Protocol Secure. Il suo cugino, HTTP (che sta per lo stesso, meno il Secure alla fine), è il protocollo di comunicazione usato di solito per facilitare il traffico web.
Qual è la differenza?
La versione sicura usa un certificato SSL (Secure Socket Layer) per stabilire una connessione tra browser e server. Ciò significa che qualsiasi informazione scambiata viene criptata.
La crittografia è il processo di sostituzione delle informazioni in chiaro (come nomi utente e password) con numeri e lettere casuali. In questo modo, non sono più leggibili dagli esseri umani e più difficili da interpretare se qualcuno le intercetta.
Sembra utile, giusto? Ma ne hai davvero bisogno sul tuo sito? Esaminiamo alcune buone ragioni per aggiungere HTTPS al vostro sito WordPress.
Una nota veloce: Tecnicamente SSL non è più il nome corretto. Alla fine degli anni ’90, il nome è cambiato in TLS (Transport Layer Security) e SSL è stato effettivamente ritirato. Tuttavia, il suo nome è rimasto in giro.
Come spostare il tuo sito WordPress su HTTPS (8 passi)
Va bene, ora stiamo arrivando alla carne e alle patate di questo articolo: come spostare il tuo sito da HTTP a HTTPS. Faremo questo passo per passo per assicurarci che tu possa seguirlo senza problemi. Dopotutto – anche noi ci preoccupiamo della sicurezza del tuo sito!
Back-Up del tuo sito
Ogni volta che fai dei cambiamenti importanti al tuo sito, dovresti sempre farne il backup prima. In questo modo, nel caso in cui qualcosa vada storto (non che ce lo aspettiamo) puoi tornare alla versione funzionante.
In questo caso non è diverso, il backup del tuo sito web è il tuo primo compito. Ancora meglio – se ne hai la possibilità, esegui prima il processo che segue su un server di prova, non solo sul tuo sito live.
Implement Your SSL Certificate
La prima cosa che faremo è procurarci un certificato SSL. Quanto sia facile o complicato questo processo, dipende in gran parte dal vostro host.
Per esempio, durante la ricerca di questa guida, abbiamo scoperto che il nostro attuale host non supporta Let’s Encrypt e non ha intenzione di farlo. Inutile dire che siamo in procinto di cambiare. Speriamo che il vostro sia un po’ più lungimirante, come le aziende di questa lista.
Lo scenario ottimale è che il vostro host offra un’opzione per spostare il vostro sito su HTTPS direttamente nella dashboard di gestione. Per esempio, per passare il tuo sito a Let’s Encrypt in cPanel, puoi seguire queste istruzioni. Trovate gli stessi passi per Plesk qui.
Per tutti gli altri, c’è Certbot. Se hai accesso alla shell amministrativa sul tuo server, puoi semplicemente selezionare il tipo di server web e il sistema operativo che stai usando. Dopo di che, il sito vi dirà come implementare Let’s Encrypt sul vostro server.
Se ottenete il vostro certificato SSL da una fonte diversa, seguite le istruzioni del vostro fornitore di hosting per implementare il passaggio (questo è anche il motivo per cui rivolgersi a loro in primo luogo non è una brutta idea).
Una volta fatto questo, dovete iniziare a fare le modifiche necessarie al vostro sito WordPress. Questo è ciò di cui parleremo dopo. Se pensate che quanto segue sia troppo tecnico, potete anche provare il plugin Really Simple SSL. Si prende cura della maggior parte del lavoro pesante descritto di seguito.
Aggiungi HTTPS all’area amministrativa di WordPress
Il primo posto dove potrete godere della nuova connessione sicura è la dashboard di WordPress. Proteggendo prima il back end, vi assicurate che ogni volta che un utente accede, le sue informazioni vengano scambiate in modo sicuro.
Per fare ciò, aprite wp-config.php
nella vostra cartella principale di WordPress e aggiungete la seguente linea da qualche parte prima di dove dice That’s all, stop editing!.
define('FORCE_SSL_ADMIN', true);
Una volta aggiornato il file, è ora di testare se funziona. Per questo, prova ad accedere alla tua pagina di login con HTTPS nell’URL, per esempio tramite https://yoursite.com/wp-admin. Se tutto ha funzionato correttamente, ora dovresti avere una connessione sicura. Quindi continuate.
Aggiornate l’indirizzo del sito
Dopo aver spostato il backend di WordPress su HTTPS, è il momento di fare lo stesso per il resto del vostro sito. Potete farlo aggiornando l’indirizzo del sito sotto Settings > General.
Aggiungi https:// all’inizio dell’indirizzo di WordPress e del sito. Poi aggiorna le tue impostazioni salvando. Siate consapevoli che potreste aver bisogno di accedere di nuovo in seguito.
Cambiare i link nel vostro contenuto e modelli
Ora è il momento di aggiornare tutti i link nel vostro contenuto e database che includono il vecchio protocollo HTTP. Un plugin come Velvet Blues o lo script Search and Replace possono aiutarti in questo. Tuttavia, fate attenzione! Se gestiti in modo scorretto, possono anche rovinare il tuo sito. Meno male che hai fatto il backup prima, vero?
Se hai dei link a risorse e risorse esterne nei tuoi template di tema e nei file di funzione con link HTTP assoluti, è importante correggere anche questi. Cose da considerare:
- Immagini, video, audio ospitati sul tuo sito
- Fonts web
- Iframe
- File JavaScript e CSS o risorse referenziate all’interno di questi file
- Link interni
Se possibile, cambiate i vostri link in //
invece di https://
. Si creeranno così da soli dei link relativi!
Implementare 301 Redirects in .htaccess
Il prossimo passo per spostare il vostro sito su HTTPS è impostare un redirect che invii automaticamente i visitatori alla versione sicura. Per questo, useremo .htaccess
. Questo è il nome di un importante file di sistema sul vostro server (di solito nella directory principale di WordPress).
Di solito contiene le impostazioni per l’utilizzo di bei permalink, quindi la vostra installazione probabilmente ne ha già uno. Per trovarlo, assicuratevi di permettere al vostro client FTP di mostrare i file nascosti perché .htaccess
è invisibile per default. Se non ne avete uno, basta creare un file di testo semplice, rinominarlo in .htaccess
e caricarlo nella directory principale di WordPress.
Dopo di che, aggiungete le seguenti righe:
<IfModule mod_rewrite.c>RewriteEngine OnRewriteCond %{HTTPS} offRewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} </IfModule>
Ecco fatto. D’ora in poi, i visitatori (compresi i bot di Google) dovrebbero atterrare automaticamente sulla versione HTTPS del vostro sito WordPress. Assicuratevi che nessuna pagina sia disponibile in entrambe le versioni. Questo può portare a problemi di contenuti duplicati. Non va bene per il SEO.
Test e Go Live
Ok, ora che abbiamo finito con i passi principali, è il momento di testare se tutto funziona correttamente. Per questo, vai su SSL Test. Inserisci il nome del tuo dominio e clicca su Submit. Questo ti darà un punteggio complessivo di quanto bene hai implementato SSL sul tuo sito e dettagli per trovare potenziali problemi al fine di risolverli.
Dopo di che, striscia il tuo sito con uno strumento come SSL Check. In questo modo, puoi catturare qualsiasi link residuo che hai dimenticato. Se tutto va bene, è il momento di andare live.
Bene fatto! Ora hai solo bisogno di aggiornare alcune periferie.
Aggiorna il tuo ambiente del sito
Se ha funzionato bene, ora è il momento di fare gli ultimi passi per completare il trasferimento a HTTPS:
- Aggiorna la tua sitemap – Idealmente, il tuo plugin SEO lo fa automaticamente. Tuttavia, non sempre funziona così. Con Yoast SEO potrebbe essere necessario spegnere il plugin una volta per aggiornare la sitemap. Non dimenticate di includerlo nel vostro file robots.txt e di aggiornare tutti gli altri link hardcoded che potreste avere lì.
- Aggiungete il sito ai vostri strumenti per i webmaster – Andate in ogni strumento per i webmaster che state usando e aggiungete la versione HTTPS del vostro sito come una nuova proprietà. Mentre sei lì, carica la nuova mappa del sito. Potreste anche considerare di fare un fetch and crawl e inviare qualsiasi file di disavow che sono già attivi per la vecchia versione del vostro sito.
- Aggiornate la vostra CDN – Se state utilizzando una rete di consegna dei contenuti (uno dei modi per accelerare il vostro sito WordPress), è anche necessario passare a SSL. Molti di loro hanno questa funzione integrata e il vostro CDN dovrebbe avere una documentazione su questo. Altrimenti, chiedete al loro supporto di aiutarvi.
- Fate il passaggio nei vostri analytics – Se i vostri analytics hanno bisogno di un URL predefinito, assicuratevi di aggiornarlo con il nuovo prefisso. Per Google Analytics, trovi l’opzione sotto Admin > Property Settings > Default URL. Inoltre, annota quando hai fatto il passaggio a HTTPS per capire i cambiamenti del traffico.
- Conserva i conteggi delle condivisioni sociali – Se mostri i contatori delle condivisioni sociali sul tuo sito, potresti dover fare alcune modifiche per tenerli aggiornati. Non dimenticare di aggiornare i link al tuo sito nei tuoi profili sociali! E fai lo stesso nei tuoi modelli di e-mail.
Questo è tutto! Sei riuscito a spostare con successo il tuo sito web su HTTPS. Congratulazioni, non è stata un’impresa da poco. Se tutto è andato bene, non resta che darti una pacca sulla spalla e festeggiare. In caso di problemi, abbiamo alcuni suggerimenti per la risoluzione dei problemi.
Perché dovresti spostare il tuo sito web su HTTPS?
Attualmente, solo lo 0,1% di tutti i siti web utilizza SSL. Di conseguenza, non sembra che la tecnologia sia essenziale per gestire una presenza web di successo. Tuttavia, ci sono ancora ragioni convincenti per entrare a far parte della minoranza.
Il tuo sito gestisce informazioni sensibili
Prima di tutto, se hai un negozio online che gestisce informazioni sulle carte di credito o dati sensibili simili, spostare il tuo sito su HTTPS è un must assoluto. I clienti vogliono fidarsi del tuo sito e dovrebbero essere in grado di farlo. È tua responsabilità fare in modo che ciò accada.
Per esempio, se qualcuno usa un punto wifi pubblico per accedere a un sito non sicuro, altri sono in grado di rubare i loro dettagli di pagamento. Se usano quelle informazioni per derubare il tuo cliente, quanto pensi sia probabile che quella persona torni sul tuo sito? Non molto.
Senza HTTPS è anche possibile alterare i dati che i tuoi visitatori ricevono. In questo modo, una terza parte potrebbe aggiungere annunci, malware, o altre cose che sicuramente non vuoi che gli altri vedano sulla tua presenza sul web.
Tuttavia, anche se ti occupi “solo” delle normali informazioni di login, non è una cattiva idea offrire un ulteriore livello di sicurezza e tenerlo al sicuro. I tuoi utenti lo apprezzeranno sicuramente.
HTTPS è un segno di affidabilità e autenticità
Parlando di visitatori: a causa della spinta generale per l’adattamento HTTPS sul web, la crittografia è diventata qualcosa che i consumatori si aspettano sempre più. Infatti, ormai il 28,9% guarda la barra degli indirizzi verde nel proprio browser, un numero che probabilmente aumenterà con il tempo.
Perché gli interessa? Perché il piccolo lucchetto non significa solo che il loro traffico è protetto, ma anche che il sito è autentico e chi dice di essere, non un falso. Dopo tutto, lo stesso studio mostra che il 77% degli utenti finali sono preoccupati che i loro dati siano intercettati e usati in modo improprio.
Quindi, se hanno la scelta tra il vostro sito senza HTTPS e un concorrente che l’ha implementato, ci sono buone probabilità che decidano contro di voi. Soprattutto perché i principali browser (Chrome, Firefox) ora contrassegnano i siti, che hanno moduli su pagine senza HTTPS, come insicuri.
In futuro, potrebbero generalmente avvertire qualsiasi sito che non ha la crittografia in atto. E tu non vuoi davvero essere tra questi.
Benefici per il SEO
Non solo i consumatori si aspettano che tu faccia il passaggio a HTTPS, ma anche i motori di ricerca lo fanno. Google ha annunciato ufficialmente nel 2014 che avere un certificato SSL è ora un fattore di ranking. Inoltre – anche se debole al momento, l’importanza di HTTPS aumenterà nel tempo.
Inoltre, i dati di riferimento da HTTPS a HTTP sono bloccati in Google Analytics. Quindi, se hai un sito web che funziona con il vecchio protocollo e ricevi molti riferimenti da siti che funzionano su HTTPS, non lo vedrai correttamente nella tua web analytics. In questo modo, potreste non essere consapevoli delle piattaforme che vi inviano molto traffico e perdere l’opportunità di amplificare i vostri canali di marketing.
Tempi di caricamento più veloci
Rimanendo in tema di SEO, HTTPS è anche significativamente più veloce. Non ci credi? Prova qui (usa una finestra privata per evitare il caching delle immagini). Quando abbiamo eseguito il test, HTTPS era un enorme 83% più veloce!
Non male, vero? Soprattutto perché la velocità di caricamento della pagina è anche un fattore di ranking.
Non solo, ma i visitatori ci tengono. Infatti, una grossa fetta lascerà il tuo sito se non si carica entro tre secondi. Per questo e altri motivi, date un’occhiata alla nostra guida su come velocizzare WordPress.
Suggerimenti per la risoluzione dei problemi HTTPS
Purtroppo, spostare il vostro sito su HTTPS non è tutto rose e fiori. Potrebbero venire fuori alcune cose che devono essere affrontate.
Avvisi di contenuto misto
I problemi più comuni che sorgono dopo aver spostato il tuo sito web su HTTPS sono gli avvisi di contenuto misto. Questo accade quando il browser trova dei link non sicuri su una pagina altrimenti sicura. Di solito si tratta di aggiornare i link alle librerie jQuery, ai font personalizzati o simili alla loro versione HTTPS.
Di solito dovresti occupartene durante la scansione del tuo sito prima di pubblicarlo. Tuttavia, se trovate un avvertimento come questo, assicuratevi di controllare cosa lo sta causando.
A parte gli strumenti di cui sopra, potete anche usare Why No Padlock? per pagine singole. Poi, correggi qualunque sia il problema.
Riduzione delle classifiche di ricerca
Il passaggio da HTTP a HTTPS può influenzare negativamente le tue classifiche. Cosa?! Non abbiamo detto prima che questo è un bene per il SEO? Perché le tue classifiche dovrebbero scendere allora?
Prima di tornare indietro e prendere a calci HTTPS, ascoltaci prima. Se il vostro SEO è influenzato negativamente, questo è di solito solo temporaneo.
Vedete, Google tratta https:// e https:// URL come due entità diverse. Anche se impostate i redirect 301 (come abbiamo fatto sopra), questi trasferiscono solo il 90-99% del link juice. Ecco perché le vostre classifiche potrebbero scendere all’inizio.
Tuttavia, dopo il calo iniziale, dovrebbero effettivamente aumentare nel tempo. Come accennato, Google considera l’uso di SSL un fattore di ranking positivo, quindi se spostate il vostro sito web su HTTPS, lo rendete effettivamente più attraente ai loro occhi. Questo vi avvantaggerà a lungo termine.
In poche parole…
Mantenere il vostro sito e il suo traffico sicuro è una delle questioni più importanti per qualsiasi proprietario di siti web. Sapere che possono fidarsi di te con i loro dati sensibili è importante per i consumatori. In tempi di aumento dei furti di dati, questo è un vantaggio enorme e HTTPS e SSL sono gli strumenti per ottenerlo.
Oltre a segnalare l’affidabilità ai consumatori, quando passi il tuo sito web a HTTPS ti permette anche di beneficiare di una maggiore velocità e un migliore SEO. Inoltre, con un servizio gratuito come Let’s Encrypt, il costo non è più un deterrente.
Sopra, avete imparato come ottenere un certificato SSL gratuito e implementarlo sul vostro sito WordPress. Siamo passati attraverso i passi necessari per spostare il vostro intero sito sul cugino sicuro di HTTP e abbiamo anche parlato di altre considerazioni da prendere in considerazione quando si effettua il passaggio.
Se avete seguito, ora siete in grado di aggiungere HTTPS e SSL al vostro sito WordPress. Sappiate che questo è un grande investimento per il futuro e dove il web si sta muovendo. I vostri visitatori, gli utenti e il vostro sito vi ringrazieranno.