Era il 2014 quando Google invitò tutti a passare a HTTPS, dichiarandolo ufficialmente un fattore di posizionamento per le sue ricerche. Negli anni successivi l’appello è stato raccolto soprattutto dagli ecommerce, che più di altri siti devono garantire transazioni protette. A partire dal 2017, però, è cominciata una migrazione in massa dopo la decisione di Google di iniziare a fare sul serio con i controlli, e a penalizzare i siti rimasti in HTTP.
Se ancora non hai configurato il tuo sito con il protocollo raccomandato da Google, potresti aver notato una notevole flessione del traffico da qualche tempo. Questo perché i motori di ricerca contrassegnano le tue pagine come non sicure e scoraggiano gli utenti a visitarle. Ma non ti preoccupare: sei ancora in tempo per sistemare tutto con l’aiuto di WP-OK!
Oggi ti spieghiamo come migrare da HTTP a HTTPS su WordPress in nove passaggi, e ti consigliamo un plugin che può fare al caso tuo.
Ma cosa sono HTTPS, SSL e TLS?
Iniziamo a fare un po’ di chiarezza sui termini e sulle sigle che troverai in questo articolo.
HTTPS è l’acronimo per Hypertext Text Transfer Protocol Secure. Ovvero Protocollo di trasferimento ipertesto sicuro. È un’evoluzione più affidabile del tradizionale protocollo HTTP, che usa comunicazioni criptate (o cifrate) tra il server e il cliente. In questo modo nessun terzo malintenzionato può intercettare i dati che vengono scambiati.
E come vengono criptati i dati?
È il momento di fare la conoscenza del SSL, ovvero l’acronimo per Secure Socket Layer, spesso usato in modo intercambiabile con la sigla TLS – Transport Layer Security. Entrambi sono protocolli crittografici, ma in realtà TLS è la versione evoluta di SSL. Da sempre, se un sito vuole cifrare la trasmissione dei dati, lo fa acquistando un certificato SSL, che contiene una chiave di cifratura da piazzare sul server.
Perchè sono importanti HTTPS e SSL?
Sono 3 le ragioni per cui Google raccomanda l’uso del protocollo HTTPS:
- crittografia. I dati scambiati vengono criptati, al fine di proteggerli dalle intercettazioni. Ciò significa che, mentre l’utente consulta un sito web, nessuno può “ascoltare” le sue conversazioni, tenere traccia delle attività che svolge in più pagine o carpirne le informazioni;
- integrità dei dati. I dati non possono essere modificati o danneggiati durante il trasferimento, intenzionalmente o meno, senza essere rilevati;
- autenticazione. Dimostra che gli utenti comunicano con il sito web previsto. Protegge da attacchi man-in-the-middle e aumenta la fiducia dei visitatori, un fattore determinante per riuscire a trasformarli in clienti.
La prima cosa da fare per passare da HTTP a HTTPS su WordPress è quindi procurarti un certificato SSL per criptare i tuoi dati.
Dove si compra un certificato SSL?
Il certificato SSL è una specie di carta d’identità di un sito. Esiste infatti una Autorità Certificativa (CA, Certificate Authority), ente ufficiale che vende i certificati SSL ed è responsabile della correttezza dei dati. Questi certificati vengono depositati sul server e richiamati a ogni visita. Sono disponibili tre diversi tipi di certificati, a cui corrispondono diversi gradi di validazione. In ordine progressivo di autenticazione e costo sono:
- certificato SSL Domain Validated (DV);
- certificato SSL Organization Validated (OV);
- certificato SSL Extended Validation (EV).
Alcuni servizi di hosting forniscono certificati gratuiti – come SiteGround, Aruba e Hawk Host- , altri a pagamento – per esempio Site5 e HostGator –, a seconda del certificato richiesto. Controlla il sito del tuo hosting o contatta il supporto per sapere qual è il certificato più adatto per te e capire se puoi acquistarlo direttamente da loro. Se non ricevi un’assistenza adeguata dal tuo provider per migrare in HTTPS, potresti valutare di cambiare hosting.
È il momento di passare a HTTPS?
Come abbiamo detto, già nel 2014 Google ha annunciato che passare a HTTPS avrebbe aiutato nel posizionamento SEO – l’ottimizzazione di contenuti e pagine web per i motori di ricerca. Da allora, questa tendenza è continuata a crescere anno dopo anno fino a diventare un fattore determinante per i risultati di ricerca. Riuscire a ottenere un buon posizionamento per il tuo sito vuol dire ricevere più visite e più traffico e, di conseguenza, una maggiore visibilità (con guadagni più elevati).
Da gennaio 2017 Google ha anche iniziato a mostrare il grado di sicurezza della connessione nella barra degli indirizzi. A partire dalla versione 56 del suo browser Chrome, potrai osservarlo per tutte quelle pagine che mostrano i campi di username e password, o in cui bisogna inserire i dati della carta di credito.Questo è solo l’inizio della concretizzazione del piano a lungo termine iniziato nel 2014 per marcare tutte le pagine con il protocollo HTTP come non sicure.
Dopo diversi studi Google ha concluso che i visitatori di un sito non considerano l’assenza dell’icona “sicuro” un segnale di avvertimento di cui tenere conto. Anche quando dovrebbero!
Molte persone infatti si aspettano la famosa icona col lucchetto, che vedi nell’esempio qui sopra, solo sui siti della banca o su ecommerce. Ma ogni giorno inseriamo email, password, indirizzi e numeri di telefono su sempre più siti… senza preoccuparci del ‘lucchetto’.
Ecco perché Google ha deciso di cambiare approccio e indicare invece le pagine non sicure.
Da inizio 2017 il mitico motore di ricerca, tramite lo strumento di Search Console, invia notifiche tipo questa:
Nonsecure Collection of Passwords will trigger warnings in Chrome 56 for <sito>
To: owner of <sito>
Beginning in January 2017, Chrome (version 56 and later) will mark pages that collect passwords or credit card details as “Not Secure” unless the pages are served over HTTPS.
The following URLs include input fields for passwords or credit card details that will trigger the new Chrome warning. Review these examples to see where these warnings will appear, and so you can take action to help protect users’ data. The list is not exhaustive.
<segue una lista di pagine dove ci sono moduli con password o carte di credito non cifrati>
Nella prima fase (Chrome dalla versione 56 in su) compare l’avviso che il sito non è sicuro nelle pagine con campi di inserimento password e campi di inserimento carta di credito che non usano HTTPS.
Nota tecnica: non basta che il modulo invii i dati a una pagina HTTPS. La pagina con il modulo deve essere HTTPS!
Ecco come apparirà una pagina non HTTPS che richiede una password:
Durante il 2017 è stato esteso questo controllo anche alle pagine con moduli di contatto o raccolta dati del sito. Infine nel 2018 la segnalazione di sito non sicuro è stata estesa a tutti i siti che non usano HTTPS, come spieghiamo nel video.
Come migrare da HTTP a HTTPS un sito WordPress
La transizione da HTTP a HTTPS su WordPress è un lavoro da specialisti che ti raccomandiamo di fare senza supervisione tecnica, solo se hai le conoscenze richieste. Tieni presente che anche se il dominio del tuo sito non cambia, l’indirizzo per arrivarci viene invece modificato.
Qui sotto ti illustriamo i 9 passaggi principali per la migrazione, ma ricorda che in alcuni casi, anche facendo tutto con attenzione, potrebbero risultare insufficienti e richiedere ulteriori interventi.
1. Procurati un certificato SSL
Controlla con il tuo hosting: alcuni lo offrono gratis. Altri invece si faranno pagare il certificato e magari anche l’installazione.
2. Attiva HTTPS per la Dashboard
Per prima cosa è necessario attivare HTTPS per le pagine della Dashboard di amministrazione di WordPress, così eviti di ritrovarti a non poter accedere al pannello di gestione del tuo sito.
Per farlo, ti basta aggiungere questa riga al file wp-config.php:
define(‘FORCE_SSL_ADMIN’, true);
3. Attiva HTTPS sul resto del sito
Aggiorna la configurazione del tuo sito per far in modo che punti a HTTPS invece che a HTTP. Lo si fa cambiando le URL presenti nella pagina di impostazioni generali di WordPress:
4. Ridireziona le richieste
Redireziona tutte le richieste al sito da HTTP a HTTPS.
Si fa direttamente dal file .htaccess inserendo queste righe:
# Force HTTPS
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
5. Verifica i link
Verifica sia i link interni che esterni, per rimpiazzare http:// con il nuovo indirizzo https://.
6. Aggiorna Google Search Console e Google Analytics
Verifica la proprietà del tuo sito in Google Search Console e aggiorna la XML sitemap, per continuare a monitorare il tuo sito con questo utilissimo strumento (non sai di cosa stiamo parlando? No problem, ecco la guida WP-OK su come creare e configurare la sitemap).
Aggiorna la configurazione della tua proprietà web in Google Analytics ed eventuali Goals, altrimenti rischi di perdere le statistiche di accesso! Ti spieghiamo come farlo qui nel video:
7. Verifica i servizi esterni
Attenzione a tutti i servizi esterni che si aspettano richieste dal vecchio indirizzo in HTTP come i tuoi account pubblicitari (AdWords, Facebook Ads, per dire i più comuni), i servizi di statistiche e tracciamento dati (per esempio HotJar), A/B testing (Visual Website Optimizer) o CDN (CloudFlare).
8. Test, test e ancora test
Verifica e conferma che la migrazione sia avvenuta in maniera corretta. Il tool online SSL Checker ti aiuta a fare una prima verifica. La console di Chrome (o Firefox) poi, è utile per identificare eventuali problemi di mixed-content, che avvengono quando un sito HTTPS continua a caricare delle risorse via HTTP… rovinando tutti gli sforzi fatti fino a quel momento 🙁
9. Occhio alla SEO
Questo punto è ancora molto dibattuto. Alcuni giurano che il passaggio ad HTTPS ha fatto crollare il traffico ricevuto da Google perché i backlink – cioè i link al loro sito presenti su altri siti – hanno perso il loro vantaggio SEO. La cosa non è confermata, ma abbiamo riscontrato una tendenza comune ad aggiornare i backlink usando il nuovo URL https://.
Per farlo, dovrai contattare i webmaster dei siti che ospitano i link verso le tue pagine web per chiedere di aggiornare i collegamenti. Se hai pochi siti che puntano al tuo (li puoi vedere nella Google Search Console) è un’operazione che richiede poco tempo, ma se ne hai centinaia o migliaia diventa parecchio più complicato.
Configurare l’HTTPS su WordPress con un plugin
Esistono poi alcuni plugin WordPress per l’HTTPS e la sua configurazione; il migliore tra quelli che abbiamo provato è Really Simple SSL.
Per migrare il tuo sito verso il protocollo sicuro ti basterà procurarti un certificato SSL, installare il plugin e visitare la pagina delle impostazioni dell’estensione. SSL Really Simple rileverà in automatico il certificato e si occuperà di configurare il tuo sito per usare sempre HTTPS e impostare i reindirizzamenti da HTTP a HTTPS.
Really Simple SSL è disponibile sia in versione gratuita che in abbonamento annuale premium, per ricevere aggiornamenti e assistenza. È uno strumento molto utile per passare da HTTP a HTTPS su WordPress per siti semplici con poche pagine. Per strutture più complesse ti consigliamo comunque di cercare l’aiuto di un professionista.
Scegli la sicurezza di una realtà specializzata nella manutenzione WordPress
Per il successo della tua attività online ormai è impensabile evitare di effettuare la migrazione da HTTP a HTTPS. Non ti permette solo di migliorare la protezione dei dati di navigazione di chiunque capiti sul tuo sito, ma ti aiuta a conquistare la fiducia dei visitatori consolidando la tua reputazione digitale.
Ce lo dice Google!
Come hai visto nell’articolo, fare tutto nel modo giusto richiede tempo, precisione e competenze che potresti non avere. Plugin del tipo di Really Simple SSL sono molto utili, ma difficilmente sono sufficienti per una corretta configurazione.
Se ancora non hai impostato l’HTTPS sul tuo sito, possiamo farlo noi per te. I nostri abbonamenti di gestione includono il passaggio ad HTTPS per WordPress e molti altri servizi, che ti aiuteranno a far crescere la tua attività digitale in sicurezza e con il supporto di una squadra di specialisti.
2 risposte
Aggiungo alla lista piu che ottima he avete fatto di eliminare, almeno sui mac, dalla app keychain tutti i certificati non validi x data o altro. Alcuni gg fa un mio sito di ecommerce, pur configurato x https non restituiva il padlock e non era accessibile tramite virgin media (equivalente a servizio internet telecom in Italia… o di altri op.) Lo stesso sito non presentava problemi https se lo accedevo usato rete mobile via hotspot. Dopo aver seguito tutti gli steps sia indicati qui che su altri siti ho risolto ripulendo e ricaricando la pagina ma a seguito di cancellazione dei certificati nkn validi memorizzati nella app nativa del. mac Os. Hope this help!
Ciao Fabrizio!
Era un problema lato client quindi, grazie per la nota!