In questo articolo troverete una guida semplice e chiara per poter generare un certificato SSL e spostare Wordpress da HTTP a HTTPS. Inoltre vedremo come creare un redirect 301 delle pagine HTTP del sito al sicuro HTTPS.

Introduzione

La sicurezza informatica è ormai fondamentale per il funzionamento del web, è un argomento scottante, ci sono sempre più siti, sempre più utenti e purtroppo sempre più truffe.

Se stai leggendo questo articolo senz’altro ti sarai chiesto “…perché devo generare un certificato SSL e usare l’https per il mio sito? …è già sicuro, non è un e-commerce e non voglio fregare nessuno”.
Purtroppo però, i cyber utenti del tuo sito questo non lo possono sapere e nemmeno i motori di ricerca (ne esistono altri oltre Google?).
Google allora, direi giustamente, da Gennaio 2017 ha deciso di spingere i gestori delle pagine web ad adottare in ogni caso il protocollo https, premiando questi siti e posizionandoli per primi nella graduatoria del suo motore di ricerca.

Dunque la risposta alla vostra domanda sul perché utilizzare l’https per qualsiasi sito, indipendentemente dal fatto che sia o non sia un e-commerce o integri o meno moduli di scambio di informazioni è, oltre alla maggiore sicurezza, il piazzamento sul motore di ricerca e la visibilità del sito stesso.

“Perché lo ha deciso Google” mi sembra un motivo sufficiente, un po come qualche anno fa decise di penalizzare tutti i siti non mobile friendly (ps: date un occhiata alle pagine ottimizzate AMP).

In ogni caso, nei prossimi mesi, utilizzando il browser Google Chrome, tutti i siti web con protocollo HTTP saranno segnalati con un avviso rosso di pericolo all’apertura, invitando l’utente ad allontanarsi e a non proseguire la navigazione.
Perciò è molto importante non prendersi all’ultimo e aggiornare il proprio sito il prima possibile.

Riconoscere un sito sicuro

Su Chrome lo si riconosce dalla scritta verde “Sicuro” che trovi prima della url, che inizia appunto con https, o dal simbolo del lucchetto chiuso presente anche in altri browser.

Creare un certificato SSL

La procedura più semplice è quella di richiedere un certificato SSL direttamente al gestore dell’hosting del sito. In questo modo la procedura di generazione e installazione verrà fatta in automatico e senza complicazioni.
Attualmente molti hosting forniscono un certificato SSL DV (Domain Validation) completamente gratuito (va benissimo per la maggior parte dei siti).

Se invece avete esigenze particolari e/o volete richiedere certificati più sicuri (SSL OV, SSL EV) dovrete farne specifica richiesta al fornitore dell’hosting o a gestori di certificati come startcomca.com con costi sicuramente più elevati.

Ad esempio Aruba fornisce il servizio di generazione e installazione di un certificato SSL DV in modo gratuito e quasi automatico.

Impostare Wordpress per l’https

 

La procedura è molto semplice, basterà andare in Impostazioni/Generali di Wordpress e correggere l’URL nel campo “Indirizzo WordPress” e “Indirizzo sito” con l’https prima del sito, come nell’immagine d’esempio qui sotto.

Dopo aver salvato le modifiche vi verrà chiesto di procedere nuovamente al login di Wordpress per concludere la configurazione.

Ora Wordpress è impostato correttamente per usare l’https ma non per reindirizzare tutti gli utenti ad usare la connessione sicura, quindi se ad esempio il sito è già indicizzato e il motore di ricerca rimanda ad una pagina preesistente in http, l’utente rimarrà su tale connessione.

Aggiungere un redirect alle pagine in HTTPS

Procedura manuale

La procedura manuale è un po complessa. Bisogna modificare il file .htaccess che si trova nella cartella base del sito e aggiungere queste righe di codice:

Oppure queste righe se il server utilizzato dal proprio sito è nginx (molto meno usato):

Ricordatevi ovviamente di sostituire l’URL con quello del vostro sito.
Per effettuare tale operazione dovrete usare un client ftp come ad esempio Filezilla per scaricare e caricare il file .htaccess sul sito e un editor come Sublime Text per modificarlo, entrambi disponibili gratuitamente.

Procedura semplificata, utilizzando un plugin (CONSIGLIATA)

Probabilmente stiamo usando Wordpress proprio perché ci consente di creare un sito web senza avere particolari competenze informatiche e poter sfruttare gli innumerevoli plugin esistenti che ci permettono di fare più o meno tutto.
Questa operazione non è da meno, esistono moltissimi plugin che funzionano egregiamente.

Tra quelli che ho testato vorrei consigliarvi questo: Really Simple SSL

Dopo l’installazione vi basterà andare in Impostazioni/SLL per poter configurare il redirect in modo semplice e veloce.

Nella pagina Proprietà del plugin troverete tutte le opzioni che vi serviranno.

Io vi consiglio di selezionare:

  • Sostituisci automaticamente il contenuto misto (vi aiuta a non avere link che rimandano a pagine http);
  • Enable 301 .htaccess redirect (attiva il redirect 301 dal file .htaccess, in pratica esegue in automatico la procedura manuale descritta qui sopra).

ATTENZIONE: Il redirect 301 sul file .htaccess è sicuramente il più performante ma potrebbe non essere supportato dal vostro server, in tal caso dovrete usare l’opzione “Abilita javascript al reindirizzamento a SSL” oppure “Enable WordPress 301 redirection to SSL” per utilizzare il redirect rispettivamente in Javascript o interno a Wordpress.

Se attivando l’opzione “Enable 301 .htaccess redirect” il vostro sito dovesse diventare inaccessibile non disperatevi, semplicemente quel tipo di redirect non è supportato dal vostro server. Dovrete dunque disabilitarlo manualmente. Per farlo seguite questi semplici step:

  1. Aprire un Client FTP come Filezilla,
  2. Aprire il file .htaccess contenuto della cartella base (root) del sito con un editor come Sublime Text,
  3. Cercare la riga contenente questo testo # BEGIN rlrssslReallySimpleSSL,
  4. Rimuovere tutte le righe tra # BEGIN e # END e  salvare,
  5. Prevenire che il plugin riscriva quelle righe in automatico:
    Aprire il file wp-config.php contenuto della cartella base (root) del sito con un editor come Sublime Text,
    Aggungere in cima al file, appena dopo <?php la seguente riga:
    define( ‘RLRSSSL_DO_NOT_EDIT_HTACCESS’, TRUE ); e salvare il file.
    Entrare nel pannello di controllo di wordpress, andare su Impostazioni/SLL e togliere la spunta dall’opzione Enable 301 .htaccess redirect e usare un altro metodo di reindirizzamento.
    Ora si possono rimuovere senza problemi le modifiche affettuate al file .htaccess e wp-config.php.

Monitorare il sito HTTPS su Google Search Console

Dopo aver completato le operazioni descritte in questo articolo dovrai aggiungere il sito HTTPS alla tua Google Search Console, anche se il tuo sito HTTP è già monitorato.

Search Console infatti, gestisce HTTP e HTTPS separatamente, non condividendo i dati relativi a tali proprietà. Pertanto, avendo pagine che adottano entrambi i protocolli, bisogna indicare una proprietà Search Console distinta per ciascuno di essi.

Per saperne di più: LINK

Privacy Preference Center