Se ti stai approcciando a WordPress da zero e stai per lanciare il tuo sito web, prima di farlo assicurati di aver installato e abilitato il certificato SSL sul tuo sito WordPress.
Il certificato SSL ti permette di passare da un protocollo http ad uno https, nel pratico rende il tuo sito più sicuro e migliore agli occhi di Google.
In questo articolo ti spiegherò nel dettaglio di cosa si tratta, come ottenerlo e come abilitarlo su WordPress.
Indice dei contenuti [Nascondi/Mostra]
Che cos’è l’https?
L’https è il nuovo protocollo standard per i siti web.
Un protocollo è un metodo di trasmissione dati tra il browser dell’utente e il server. Questi vengono ora inviati in modo crittografato, a differenza del vecchio http e ciò né rende più difficile il furto da parte di hacker e quindi più sicuro il tuo sito web.
Per poter però eseguire la crittografia dei dati, è necessario installare il certificato SSL che in parole parole comunica che la connessione https è autentica.
Per farti capire meglio, qualsiasi proprietario di un sito web potrebbe inserire un link con la dicitura https senza però installare effettivamente un certificato di sicurezza.
Per esempio https://miosito.it/nome-pagina.
In questo caso i browser avvertono l’utente che il certificato non corrisponde alla URL digitata e che il sito è pericoloso.
Ricapitolando il certificato SSL è un modo per comunicare al browser e soprattutto all’utente che il tuo sito è sicuro. Infatti è ormai praticamente obbligatorio averlo se non vuoi vendere online o monetizzare un blog.
-> Come creare un Blog di successo e monetizzarlo
Perché devi assolutamente avere un certificato SSL sul tuo sito WordPress
Nel 2021 avere un certificato SSL sul proprio sito è ormai una cosa obbligata.
Già da luglio 2018 Google ha iniziato ad avvisare gli utenti che stanno visitando i siti che ne sono sprovvisti con la scritta “Non sicuro“.
Inoltre è ormai noto che i siti in https avranno dei vantaggi lato SEO, quindi di posizionamento nei risultati di ricerca, rispetto ai siti in http.
Infine, come ti scrivevo sopra, gli utenti hanno imparato ad abbandonare i siti che non presentano questo certificato, soprattutto se si tratta di un ecommerce. Perciò non attivarlo sul tuo sito, rischi di perdere traffico e di conseguenza soldi.
Ma non solo, perché i più famosi metodi di pagamento, come Stripe o PayPal, non funzionano senza l’https e il certificato SSL.
3 tipi di certificato SSL
I certificati SSL non sono tutti uguali.
Essenzialmente si dividono in due tipi:
- i certificati SSL convalidati dal dominio
- i certificati SSL convalidati da un ente esterno certificato
- i certificati SSL a convalida estesa
I certificati SSL convalidati dal dominio
I primi sono i certificati più diffusi perché vengono distribuiti direttamente dal Hosting su cui si ha il dominio.
Sono quelli più economici, anzi generalmente sono del tutto gratuiti, ma presentano un grado di sicurezza inferiore perché essendo disponibile semplicemente acquistando il dominio qualsiasi utente, anche un hacker malintenzionato potrebbe ottenerne uno e creare un sito per rubare i dati (come quelli della carta di credito per esempio).
Tuttavia sono quelli utilizzati dalla maggior parte dei siti web e in questa guida imparerai ad installare sul tuo sito proprio questo tipo di certificato SSL.
Infatti vanno benissimo per un sito di piccole medie dimensioni, per un ecommerce, per una startup ecc…
Poi quando il tuo business arriverà su livelli più alti e consolidati potrai sempre scegliere di installare un certificato più sicuro.
I certificati SSL convalidati da un ente esterno certificato
Questo tipo di certificato SSL permette non solo si rendere sicuro il sito ma anche di dimostrare che tu sia il proprietario del dominio in questione, comunicando gli utenti alcuni dati aziendali.
Un esempio di questo certificato è quello di Amazon. Infatti cliccando sull’icona del lucchetto e poi sulla voce Certificato potrai vedere i dati aziendali e chi ha rilasciato il certificato.
I certificati SSL a convalida estesa
Quest’ultimi sono simili ai secondi ma in più viene certificata anche la proprietà dell’azienda.
Ci possono volere giorni o settimane per ottenere questo tipo di certificati perché l’ente di rilascio richiederà dei documenti aziendali e verifica l’attendibilità degli stessi.
Tra tutti i certificati, questo è sicuramente quello più sicuro e più costoso. Un esempio è il sito di PayPal.
Abilitare il certificato SSL sul server
Prima di procedere con l’installare il certificato SSL sul tuo sito WordPress dobbiamo prima attivarlo sul server.
Per questa guida prenderemo come esempio un server Siteground, che è l’hosting che utilizzo per tutti i miei progetti web e per tutti i miei Clienti e che ti consiglio vivamente.
Una volta che avrai effettuato il login al tuo account Siteground entra all’interno del Site Tools del tuo sito web.
Dal menu laterale clicca su Sicurezza > Gestione SSL.
Ora non ti resta che selezionare il tuo dominio e su “Seleziona SSL” scegliere Let’s Encrypt, questo è il nome del certificato SSL gratuito fornito da Siteground. Clicca infine su Ottieni.
Ora clicca sul menu con i 3 puntini, seleziona Forza HTTPS e successivamente abilita l’opzione come nell’immagine.
Questo farà in modo che WordPress vada a forzare l’uso del SSL/https in tutte le pagine del tuo sito Web.
In alternativa puoi aggiungere una riga di codice al file wp-config.php sopra la stringa /* That’s all, stop editing! Happy publishing. */.
define('FORCE_SSL_ADMIN', true);
Attivare il certificato SSL su WordPress
Siamo a metà dell’opera. Quest’ultima operazione è veramente molto semplice.
Se sei arrivato a questo punto hai attivato correttamente il certificato sul server, ma adesso dobbiamo comunicare a WordPress di fare uno switch dal vecchio protocollo http al nuovo https.
Per fare questo vai su Impostazioni > Generali e cambia semplicemente l’indirizzo WordPress (URL) e Indirizzo sito (URL) aggiungendo una “s” dopo http. Premi su Salva modifiche.
Accorgimenti importanti da non dimenticare
Prima di terminare il nostro viaggio sul passaggio al https ci sono 2 ultime cose da fare, ma veramente molto importanti.
Reindirizzare tutte le URL da http a https
Aver attivato il certificato SSL sul tuo sito WordPress non farà scomparire magicamente la vecchia versione in http, anzi per Google sono due siti differenti!
Per questo motivo devi aggiungere nel file .htaccess questa riga di codice che farà in modo che qualsiasi utente acceda ad un link in http venga subito riportato alla sua versione in https e lo stesso vale per Google.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>
Controllare i Mixed Content
Capita spesso che una volta attivato il certificato SSL e l’https il sito possa presentare ancora delle immagini o degli script in http. Questi vengono chiamati Mixed Content o contenuto misto.
Vanno individuati e corretti per avere l’https completamente configurato senza errori.
Trovarli è molto semplice. Ti basta visitare ogni pagina del tuo sito, cliccare con il tasto destro del mouse e selezionare Ispeziona.
Si aprirà la tab di debug di Chrome o del tuo browser che stai utilizzando. Vai alla scheda Console.
Qui troverai tutti gli errori di Mixed Content generati dalla pagina. Adesso dovrai cercare cosa genera questi errori (di solito un’immagine o uno script) e sostituire http con https e il gioco è fatto.
Conclusione
Bene, siamo arrivati alla fine di questa guida e a questo punto dovresti avere il tuo certificato SSL correttamente installato senza troppi problemi.
È stato facile vero?
Ciao grazie per l’articolo , io ho un hosting siteground ho installato un codice di sicurezza esterno e il sito saluteepensiero.it è sicuro ma quando metto il nome sul browser non compare nulla non riesco a capire il motivo.