La guida definitiva a HTTPS e SSL per WordPress

Hai mai notato che la maggior parte dei tuoi siti Web preferiti ha un URL che inizia con HTTPS? È più probabile che noterai quando la S, che indica che un URL è sicuro, non è presente. Questo perché Google ora contrassegna i siti Web senza un certificato SSL, un componente importante di un sito Web sicuro. Poiché la sicurezza del sito Web è così importante, è fondamentale comprendere HTTPS e SSL per WordPress.

Se gestisci un sito Web WordPress, vorrai che abbia SSL e HTTPS per una maggiore sicurezza e fiducia dei visitatori. Come bonus aggiuntivo, il tuo sito web avrà un ranking di ricerca SEO più alto. Quindi, se sei pronto per aggiungere un ulteriore livello di sicurezza e protezione sia per il tuo sito che per gli utenti che lo visitano, continua a leggere.

Che cos'è HTTPS e SSL?

HTTPS e SSL per WordPress vanno di pari passo. Di per sé, HTTP (il prefisso URL originale) sta per protocollo di trasferimento ipertestuale. L'installazione di un certificato SSL (Secure Sockets Layer) sul tuo sito web lo protegge. Quando sul tuo sito web è installato il certificato SSL o TLS appropriato, il prefisso URL passa da HTTP a HTTPS: protocollo di trasferimento ipertestuale sicuro.

Diamo un'occhiata più approfondita a cosa sono HTTPS e SSL e come funzionano. Secondo Mozilla Developer Network (MDN):

HTTPS (HyperText Transfer Protocol Secure) è una versione crittografata del protocollo HTTP. Utilizza SSL o TLS per crittografare tutte le comunicazioni tra un client e un server. Questa connessione sicura consente ai clienti di scambiare in modo sicuro dati sensibili con un server, ad esempio durante l'esecuzione di attività bancarie o acquisti online.

In sostanza, HTTPS significa che il tuo sito è crittografato end-to-end. Ciò significa che solo i due clienti su ciascuna estremità della transazione sono in grado di leggere i dati. Se un utente o un'entità malintenzionata dovesse intercettare la comunicazione, non otterrebbe altro che un pasticcio di caratteri casuali e confusi.

Ora, passiamo alla definizione di SSL dell'MDN:

Secure Sockets Layer, o SSL, era la vecchia tecnologia di sicurezza standard per creare un collegamento di rete crittografato tra un server e un client, assicurando che tutti i dati trasmessi fossero privati ​​e sicuri. L'attuale versione di SSL è la versione 3.0, rilasciata da Netscape nel 1996, ed è stata sostituita dal protocollo Transport Layer Security (TLS).

Quando si tratta di TLS rispetto a SSL, TLS è essenzialmente il seguito di SSL. Come SSL, TLS stabilisce una connessione crittografata tra un server e un client. I due protocolli si traducono in una migliore sicurezza per il tuo sito Web WordPress.

Hai bisogno di HTTPS e SSL?

La risposta breve è sì: hai bisogno di HTTPS e SSL. Oltre a creare fiducia con i tuoi visitatori, la sicurezza del sito è una competenza di una solida SEO. Nel 2018, Google ha iniziato a contrassegnare i siti Web senza un certificato SSL o TLS. Ciò scoraggia gli utenti dalla navigazione verso siti che non dispongono di un certificato SSL.

Anni fa, i certificati SSL erano costosi, in effetti migliaia di dollari. I grandi siti web che generavano entrate, come Facebook e Amazon, mostravano l'icona del lucchetto nella finestra del browser di un utente. Questo perché avevano il budget per acquistare il certificato. D'altra parte, il sito Web WordPress dell'utente medio aveva semplicemente un prefisso HTTP. Al giorno d'oggi, i certificati SSL sono sia necessari che convenienti.

Mentre WordPress ora installa automaticamente i certificati SSL su ogni nuovo sito Web, potresti avere un dominio precedente o un sito di lunga data che deve essere protetto. È possibile ottenere un certificato SSL gratuito per il tuo sito Web WordPress se non ne hai già uno. La maggior parte degli host offre anche un certificato SSL gratuito o scontato come parte dei loro pacchetti di hosting. Con HTTPS e SSL per WordPress ora così accessibili, non c'è motivo di lasciare il tuo sito web vulnerabile.

Come installare SSL per WordPress

Ti chiedi come installare SSL per WordPress? Ti guideremo attraverso i passaggi e ti mostreremo come è fatto.

Utilizzo di un plug-in

Iniziamo installando SSL per WordPress utilizzando un plugin. Per questo tutorial, stiamo usando Really Simple SSL. Questo plugin sposta automaticamente il tuo sito Web WordPress su SSL. Quindi, se il tuo URL mostra ancora HTTP anziché HTTPS, questo plug-in si occuperà del problema e ti aiuterà a proteggere il tuo sito.

Andiamo a questo.

1. Passare alla pagina del plug-in SSL Really Simple e fare clic su Download. Salva il file .zip del plugin sul tuo computer.

2. Apri una nuova scheda del browser, accedi alla dashboard di WordPress e fai clic su Plugin.

3. Dalla schermata Plugin, fare clic su Aggiungi nuovo.

4. Dalla pagina Aggiungi plug-in, fare clic su Carica plug-in.

5. Quindi, carica il file .zip associato al tuo plug-in. Scegli il tuo file, quindi fai clic su Installa ora.

6. WordPress visualizzerà una pagina che mostra l'avanzamento del caricamento. Una volta caricato il plug-in, fai clic su Attiva plug-in.

Possibili regolazioni del plugin

7. Come puoi vedere, sul sito su cui sto lavorando è già stato rilevato un certificato SSL. Ma se non avessimo già SSL, i passaggi successivi che dovremmo coprire sarebbero:

• Modifica di qualsiasi riferimento http:// nei file .css e .js in https://
• Rimozione di script, fogli di stile o immagini originati in un dominio senza SSL
• Accedi di nuovo (perché una volta attivato il plugin, WordPress ti disconnetterà)

Quando sei pronto, fai clic su Attiva SSL per finalizzare l'installazione. Questo plugin cambierà il tuo URL predefinito in HTTPS.

8. Ora SSL è attivato. La finestra del plug-in mi mostra quali passaggi devono essere eseguiti per proteggere ulteriormente il sito Web. Really Simple SSL fornisce articoli e risorse per aiutarmi a modificare le mie impostazioni di sicurezza a un livello ottimale. Posso esaminarli uno per uno per ottimizzare la mia sicurezza.

Stai eseguendo Divi sul tuo sito WordPress? Alcuni utenti con Divi riscontrano problemi con contenuti misti quando installano Really Simple SSL. In tal caso, è necessario svuotare la cache Divi per risolvere il problema. Leggi di più su come risolvere il problema qui.

Rivedi le impostazioni del plug-in SSL

Ora è il momento di passare alla pagina principale dei plug-in e controllare le impostazioni del plug-in SSL. Basta fare clic su Impostazioni per iniziare. Vedrai lo stesso elenco di controllo delle risorse di prima. Basta scorrere la pagina verso il basso per vedere dove è possibile attivare le impostazioni.

Le impostazioni predefinite del plug-in dovrebbero essere adeguate, ma puoi sempre apportare modifiche. In primo luogo, vuoi assicurarti che il fixer di contenuti misti sia selezionato. Molto probabilmente, quello sarà già selezionato. In caso contrario, controllalo e salva la pagina.

Assicurati di leggere la documentazione allegata prima di modificare le impostazioni.

Questo è tutto! Hai installato SSL per WordPress tramite plugin.

Installazione manuale

Ora, diamo un'occhiata a come installare manualmente SSL per WordPress. Inizieremo aprendo una nuova scheda del browser e navigando su SSL gratuitamente (ZeroSSL).

1. Dalla home page, inserisci l'URL del tuo sito nella barra di testo e fai clic su Crea certificato SSL gratuito.

2. Ti verrà chiesto di creare un account. Una volta fatto, il sito ti reindirizzerà alla home page di ZeroSSL. Da lì, fai clic su Nuovo certificato.

3. Nella pagina successiva, puoi inserire il tuo dominio nella casella di testo, quindi fare clic su Passaggio successivo.

4. Puoi scegliere se creare un certificato di 90 giorni gratuitamente o un certificato di 1 anno (a pagamento). Se ne scegli uno che duri 90 giorni, dovrai tornare indietro e rigenerarne un altro ogni 90 giorni. Dopo aver selezionato l'opzione con cui vuoi andare, fai clic su Passaggio successivo.

5. Successivamente, puoi fare in modo che il programma generi automaticamente una richiesta di firma del certificato (CSR), se lo desideri. Puoi anche inserire manualmente le tue informazioni. Lo scopo di questo è verificare la tua identità e il fatto che tu, in effetti, possiedi il dominio per cui stai generando l'SSL. Ti verrà quindi chiesto di selezionare il piano che desideri.

Verifica del dominio e SSL per l'installazione manuale di WordPress

6. Ti verrà ora chiesto di verificare il tuo dominio. Puoi farlo in tre modi:

• Attraverso la verifica e-mail
• Aggiungendo un nuovo record CNAME sul tuo server host
• Tramite caricamento file HTTP

A seconda dell'opzione scelta, segui le istruzioni fornite sul sito.

7. Una volta verificato il tuo dominio, il sito genererà il tuo certificato SSL. È possibile scaricare il certificato, quindi fare clic su Passaggio successivo.

8. Ora dovrai caricare il certificato SSL sul tuo cPanel. Questo processo potrebbe avere un aspetto leggermente diverso a seconda dell'host che utilizzi. Per istruzioni dettagliate, cerca il tuo host in questo elenco di ZeroSSL, che ti guiderà attraverso la finalizzazione del tuo SSL per l'installazione di WordPress.

Ai fini di questo articolo, ti mostrerò come appare tramite il mio cPanel Bluehost.

9. Innanzitutto, vai al tuo cPanel e scorri verso il basso fino alla sezione SICUREZZA. Fare clic su SSL/TLS.

10. Fai clic su "Genera, visualizza, carica o elimina certificati SSL".

11. Ora vedrai un elenco di certificati attualmente sul tuo server. Scorri verso il basso fino alla sezione "Carica un nuovo certificato".

12. Ora hai un paio di opzioni. Puoi:

• Decomprimi il certificato SSL che hai scaricato da ZeroSSL, quindi carica il file .crt.
• Oppure puoi aprire il file .crt in un editor di testo di base. Copia il testo completo del certificato, quindi torna al tuo cPanel e incollalo nella casella di testo "Carica un nuovo certificato". Ciò include il testo dell'intestazione e del piè di pagina che indica l'inizio e la fine del certificato.

13. Fare clic su Carica certificato. Successivamente, ti consigliamo di ricontrollare che l'installazione sia andata a buon fine. Puoi controllare il tuo certificato sulla tua dashboard ZeroSSL. In alternativa, prova a navigare verso il tuo URL con il prefisso https:// per vedere se funziona per te.

Questo è tutto!

Domande frequenti su SSL e HTTPS

Ora, diamo un'occhiata ad alcune domande frequenti su HTTPS e SSL per WordPress.

Come faccio a sapere se il mio sito ha un certificato SSL?

Apri una nuova finestra del browser e accedi al tuo sito web. Guarda a sinistra del tuo prefisso URL. La finestra del browser dovrebbe visualizzare l'icona di un lucchetto accanto all'URL. In alternativa, fai clic nella casella di testo e dovresti essere in grado di vedere HTTPS visualizzato.

SSL e HTTPS renderanno il mio sito più lento?

SSL e HTTPS possono rendere il tuo sito leggermente più lento. Tuttavia, se i visitatori del tuo sito Web riscontrano la schermata di errore di Google che impedisce loro di accedere al tuo sito Web HTTP in primo luogo, è più un problema. O sacrificherai una piccola quantità di velocità per un sito Web sicuro di cui gli utenti si fidano, oppure dovrai affrontare un'elevata frequenza di rimbalzo da un sito non protetto.

Ho installato il certificato SSL, ma il mio sito mostra ancora che non è sicuro. Cosa faccio ora?

Ricontrolla che l'installazione sia andata a buon fine. Puoi farlo in WordPress navigando nella pagina delle impostazioni del tuo plug-in o controllando l'installazione manuale tramite la dashboard di ZeroSSL. Potrebbero esserci alcune impostazioni che devi attivare o potresti dover eseguire la risoluzione dei problemi.

Se visualizzi continui errori SSL sul tuo sito, potrebbe essere necessario:

• • Forza i reindirizzamenti da HTTP a HTTPS
  • Correggi gli errori di contenuto misto (immagini interrotte)
  • Ispeziona i plugin e i temi esistenti per individuare eventuali errori

• Risolvi un ciclo di reindirizzamento
• Risolvi ulteriormente il tuo certificato SSL, che potrebbe mostrare un avviso di certificato non valido (in tal caso, puoi rinnovarlo)

Per controllare gli errori SSL, puoi fare clic con il pulsante destro del tuo sito Web e selezionare Ispeziona nel menu a discesa. Gli errori sono evidenziati in rosso. Puoi segnalare errori all'autore di un plug-in o tema, al tuo provider di hosting web o al tuo team di supporto tecnico, a seconda di dove e come è ospitato e configurato il tuo sito.

Se non sei uno sviluppatore, è meglio non tentare di modificare i tuoi plugin o temi. È troppo facile rompere qualcosa di cui non sei a conoscenza o che influisce sul tuo sito su larga scala.

A seconda dello strumento che hai selezionato, dovresti essere in grado di ottenere una certa assistenza. Puoi porre domande nei forum aperti, seguire le guide per la risoluzione dei problemi o contattare il tuo host per assistenza. Se gestisci Divi, abbiamo un team di chat dal vivo che può aiutarti anche tu. Molto probabilmente, sarai in grado di ottenere assistenza da qualcun altro che ha esperienza nel problema che stai riscontrando.

Come posso correggere gli errori di contenuto misto?

Errori di contenuto misto si verificano quando hai installato SSL per WordPress, ma il tuo sito web vede ancora alcuni dei contenuti come non sicuri. Potresti notare immagini mancanti, ad esempio. Per risolvere questo problema, puoi impostare il tuo sito WordPress per visualizzare contenuti misti.

È possibile correggere gli errori di contenuto misto installando e attivando il plug-in SSL Insecure Content Fixer. Se continui a ricevere errori di contenuto misto, è possibile che qualcosa non vada nel database. Dovrai eseguire alcuni passaggi aggiuntivi per risolvere il problema, inclusa l'installazione e l'esecuzione del plug-in Better Search and Replace. Abbiamo scritto un post per guidarti attraverso la correzione di errori di contenuto misto qui.

Come faccio a forzare HTTPS?

Per forzare HTTPS, potrebbe essere necessario impostare reindirizzamenti automatici da HTTP a HTTPS. Forzare i reindirizzamenti automatici impedirà agli utenti di aprire la versione HTTP del tuo sito Web, che tecnicamente esiste ancora.

Ecco un tutorial di Name.com che ti guida attraverso il processo tramite cPanel. In alternativa, puoi risolvere questo problema direttamente nel file . htacess tramite il tuo client FTP. Questo tutorial di Dreamhost ti guiderà attraverso i passaggi per forzare il caricamento sicuro del tuo sito.

Quanto costano i certificati SSL?

I certificati SSL variano ampiamente nel prezzo, da quelli gratuiti a circa $ 1000 all'anno. In media, tendono ad essere molto meno costosi. Il prezzo dipende dal servizio scelto e dal livello di supporto richiesto.

C'è una differenza tra i certificati SSL gratuiti e quelli a pagamento?

Non in termini di funzionalità. Sia i certificati SSL gratuiti che quelli a pagamento offrono la stessa quantità di sicurezza agli utenti finali. Tuttavia, un certificato SSL a pagamento avrà probabilmente supporto tecnico aggiuntivo e una convalida più approfondita. Se sei a tuo agio con la risoluzione dei problemi fai-da-te del tuo SSL, l'utilizzo di un certificato gratuito potrebbe funzionare perfettamente per te. Ma se pensi di aver bisogno di supporto tecnico continuo e non vuoi reinstallare un nuovo certificato gratuito ogni volta che quello attuale scade, un certificato SSL a pagamento potrebbe essere un'opzione migliore.

Devo rinnovare il mio certificato SSL?

Il rinnovo del certificato SSL dipende dal tuo host. Se stai utilizzando un host che include un certificato SSL come parte del tuo piano di hosting, può essere configurato per il rinnovo automatico (e al giorno d'oggi, molti sono impostati in questo modo in modo che gli utenti non debbano mai toccarli). Se utilizzi l'opzione certificato SSL di 90 giorni o 1 anno di ZeroSSL, dovrai rinnovare manualmente il certificato SSL a intervalli.

Conclusione

Ora che sai come installare e risolvere i problemi del tuo certificato SSL, è il momento di proteggere il tuo sito WordPress. HTTPS e SSL per WordPress sono di fondamentale importanza per il successo del tuo sito web e il livello di fiducia con gli utenti (e con Google). Se vuoi rendere il tuo sito fattibile non solo ora, ma in futuro, assicurati di bloccarlo con HTTPS e SSL.

Hai riscontrato problemi con SSL per WordPress? Come ti sei avvicinato a risolverli? Lasciaci un commento qui sotto e facci sapere.

Immagine in evidenza dell'articolo di Eny Setiyowati / shutterstock.com