Come installare il certificato di sicurezza SSL su WordPress per passare da HTTP a HTTPS

Aggiungere un certificato di sicurezza per il proprio sito è ormai una necessità. Anche se si tratta di un piccolo blog.

Esistono molti benefici per passare dalla navigazione sotto il protocollo HTTP a quella sotto il protocollo sicuro HTTPS: gli ultimi aggiornamenti dei browser (primo tra tutti di quello più utilizzato, Google Chrome) segnalano all’utente in modo evidente la navigazione non sicura, i dichiarati vantaggi SEO (Google parla apertamente di HTTPS come fattore di ranking), gli aspetti della user experience (gli utenti si sentono rassicurati dalla navigazione in modalità sicura).

In questo post vediamo i principali metodi per installare un certificato di sicurezza sul proprio sito e farlo diventare navigabile sotto https://. Si tratta di procedure piuttosto semplici, che riguardano sia aspetti più tecnici, come l’installazione del certificato sul server, sia aspetti legati all’ambito SEO: il passaggio ad HTTPS, cambiando di fatto tutti gli indirizzi, ha bisogno di alcuni accorgimenti a livello di reindirizzamento degli indirizzi stessi.

Installare un certificato SSL per il proprio sito

Il primo passo del passaggio del sito da http:// a https:// è installare un certificato di sicurezza SSL sul proprio sito.

I certificati SSL vengono installati sul web server del sito e deve essere installato un certificato per dominio.

Primo metodo: installare il certificato SSL tramite il fornitore di hosting

Il metodo più semplice per installare il certificato di sicurezza è sfruttare gli strumenti messi a disposizione dal fornitore dello spazio disco. Ormai quasi tutti i provider forniscono la possibilità di installare un certificato di sicurezza gratuito direttamente dal pannello di controllo dello spazio disco collegato al sito.

Se non si hanno esigenze di installare certificati professionali a pagamento, questa è la soluzione migliore per piccoli siti aziendali o blog.

Caso 1: Aruba.it

Aruba, uno dei principali fornitori di hosting italiani, fornisce un certificato SSL DV (Domain Validated) gratuito a tutti coloro che acquistano un qualsiasi pacchetto hosting.

La sua installazione è semplicissima: è sufficiente cliccare sull’apposita icona nel proprio pannello di controllo e l’attivazione è immediata.

Caso 2: Register.it

Anche Register.it, tramite il suo pannello di amministrazione dell’hosting, permette di installare gratuitamente un certificato di sicurezza.

Nella pagina WMH di gestione dello spazio disco, cliccare l’icona SSL/TLS e poi Installare un certificato su un dominio e seguire la semplice procedura guidata.

Secondo metodo: installare certificato SSL tramite cPanel

I fornitori di servizi di spazio disco permettono la gestione delle varie funzionalità del server tramite un software che si chiama cPanel. All’interno di questo software è possibile trovare diverse opzioni di configurazione, la cui disponibilità varia a seconda di come cPanel sia stato configurato dal fornitore del servizio. Ecco alcuni esempi di voci che si possono trovare nel pannello: la gestione del dominio, l’installazione di un determinato CMS, la configurazione dei backup e molto molto altro. Tra tutte queste opzioni possono essere presenti o meno le configurazioni sulla sicurezza.

I principali fornitori di hosting permettono di gestire da questo pannello quindi l’installazione del certificato SSL.

Una dettagliatissima guida alla configurazione del certificato attraverso cPanel si trova qui: https://mythemeshop.com/blog/lets-encrypt-free-ssl/.

Terzo metodo: installare certificato SSL su altri web server

Se il fornitore dello spazio disco non ha un’opzione automatica per l’installazione di un certificato SSL, oppure volete installare un certificato più evoluto, oppure ancora amministrate un vostro web server, è necessario eseguire una procedura diversa per il passaggio a HTTPS.

In questo caso ci sono queste istruzioni specifiche per installare Let’s Encrypt.

Configurare il proprio sito con un certificato SSL

Eseguita l’installazione del certificato sul proprio spazio disco con uno dei metodi visti sopra, è necessario eseguire alcune altre piccole operazioni di configurazione direttamente sul proprio sito, in particolare se si utilizza un CMS.

WordPress: configurazione manuale

Per WordPress, dal pannello di amministrazione, è necessario fare Impostazioni > Generali e, nella finestra Impostazioni generali, modificare Indirizzo WordPress (URL) e Indirizzo sito (URL) inserendo HTTPS al posto di HTTP.

Non dimenticare di salvare!

Un altro settaggio da effettuare è la modifica del file .htaccess del sito. Questo perché altrimenti entrambe le versioni, HTTP e HTTPS, sarebbero raggiungibili, con risvolti negativi sia per gli utenti stessi, sia lato SEO.

Per correggere questa impostazione è necessario modificare il file .htaccess presente nella root del dominio, da così:

# BEGIN WordPress

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteBase /

RewriteRule ^index\.php$ – [L]

RewriteCond %{REQUEST_FILENAME} !-f

RewriteCond %{REQUEST_FILENAME} !-d

RewriteRule . /index.php [L]

</IfModule>

# END WordPress

A così

# BEGIN WordPress

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteBase /

RewriteCond %{HTTPS} off

RewriteCond %{HTTP:X-Forwarded-Proto} !https

RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

RewriteRule ^index\.php$ – [L]

RewriteCond %{REQUEST_FILENAME} !-f

RewriteCond %{REQUEST_FILENAME} !-d

RewriteRule . /index.php [L]

</IfModule>

# END WordPress

Con queste modifiche anche WordPress è a posto e visitando il proprio sito dovrebbe essere visualizzato il famigerato lucchetto verde.

WordPress: configurazione tramite plugin

Per installazioni già operative di WordPress, con diversi contenuti già pubblicati, esiste il plugin Really Simple SSL (https://wordpress.org/plugins/really-simple-ssl/) che esegue tutta la configurazione dell’SSL su WordPress in automatico, eccezion fatta per l’installazione del certificato sul web server. In questo caso è necessario seguire queste istruzioni per installare il certificato di Let’s Encrypt.

Una volta installato e attivato il plugin, nella maggior parte dei casi è sufficiente cliccare il tasto azzurro “Continua, attiva SSL!”

Verificare la corretta installazione e configurazione del certificato SSL

Eseguito uno dei metodi visti sopra, se il certificato è installato correttamente, il browser evidenzierà in qualche modo la sicurezza del vostro sito. La modalità varia da browser a browser, ma in genere davanti all’indirizzo della pagina comparirà un lucchetto (padlock) di colore verde.

Se il certificato installato è di quelli più evoluti, per esempio un Extended Validation SSL Certificate, questa visualizzazione può cambiare, per esempio scrivendo tutto l’indirizzo della pagina in verde, oppure aggiungendo anche la ragione sociale dell’intestatario del certificato, come avviene quando si visita il sito di Firefox https://www.mozilla.org/it/firefox/

NOTA: il certificato ha un periodo di validità, quelli a pagamento di solito sono sottoposti a un canone annuale. Qualora il certificato non venga rinnovato, il browser notificherà al visitatore della pagina web che il sito non è sicuro.

Se il certificato non è stato installato correttamente, il browser visualizzerà dei messaggi di errore. Il più frequente è un lucchetto giallo o grigio, di solito dovuto al fatto che qualche risorsa richiamata dal sito non ha il prefisso https.

Per vedere quali problemi determinano il padlock, si può cliccare sul lucchetto del browser oppure usare un tool gratuito come Why No Padlock? (https://www.whynopadlock.com/). Gli errori più frequenti riguardano situazioni in cui nelle pagine sono ancora presenti link con http://, oppure il sito è ancora fruibile in entrambe le versioni (per diversi motivi, per esempio una grossa fetta di utenti usa ancora browser non aggiornati, a causa di policy aziendali).

Per verificare che il proprio sito abbia HTTPS installato correttamente può essere utilizzato il tool on line gratuito SSL Server Test (https://www.ssllabs.com/ssltest/) che fornisce una valutazione (da A, ottima, a F, insufficiente) delle proprie pagine.

Un altro tool gratuito, segnalato da Emanuele Arosio e Paolo Gioia, è Linksspy (http://linksspy.com/seo-tools). Come gli altri strumenti visti, anche questo esegue un check up completo dell’installazione del certificato.

Anche SEMrush ha un tool che permette di capire dove non è stato implementato bene HTTPS. Nel post di Valentina Pacitti “10 errori più comuni HTTPS”, a un certo punto c’è un box in cui inserire l’URL del proprio dominio per verificare se l’implementazione è corretta o meno. Cliccando il bottone verde “Verificalo subito” inizia l’audit e lo strumento inizia a fare una scansione (è possibile limitare l’analisi a un certo numero di pagine). Cliccando su “Site audit” alla fine della scansione, nella sezione “Thematic Score” si clicca sul box HTTPS e si arriva a una pagina “HTTPS Implementations” in cui sono presenti una serie di informazioni, tra le quali se il certificato è sicuro, se il server è affidabile, ecc. Se il tool dà tutto verde (100%) ma il sito dà il lucchetto grigio, è necessario eseguire qualche altra analisi, come ispezionare il codice della pagina manualmente, oppure ricercare il mixed content, ossia la presenza di riferimenti non HTTPS nelle pagine (tab Security della Inspector Console di Chrome e poi click sul punto esclamativo in alto a destra della barra, in automatico ci dice le risorse che sono “mixed content”). [questa dritta è tratta dal webinar SEMrush “HTTPS: aspetti strategici e tecnici. Dalla migrazione all’implementazione”, tenuto da Emanuele Arosio e Paolo Gioia il 25/5/17]

Infine Cyrus Shepard ha redatto un’utilissima checklist per verificare la corretta implementazione del certificato SSL su un sito e non perdere posizionamenti.

Come non perdere posizionamenti dopo il passaggio ad https: le azioni SEO

Oltre alle modifiche relative al proprio sito, ci sono da eseguire due azioni indispensabili dal punto di vista dei motori di ricerca, una su Search Console e una su Google Analytics.

Search Console

Su Search Console occorre creare una nuova proprietà relativa all’indirizzo https:// e collegarla al relativo account di Google Analytics.

Da Search Console > Aggiungi proprietà e inserire l’indirizzo del sito con https.

Una volta cliccato il bottone Aggiungi, Search Console vorrà verificare l’effettiva titolarità da parte nostra di quello spazio disco. Ci sono varie modalità di verifica.

Se il nome a dominio è stato registrato con un provider noto a Search Console, come per esempio Aruba e Register.it, il tool stesso indicherà una procedura consigliata che prevede una piccola modifica ai parametri DNS del domino. Per eseguire questa operazione sarà necessario autenticarsi sul pannello di controllo dell’hosting ed eseguire alcuni semplici passaggi.

Google Analytics

Terminata l’impostazione della proprietà su Search Console, deve essere cambiata un’impostazione anche su Google Analytics: è necessario indicargli che la nuova versione è sotto HTTPS e non più sotto HTTP.

Per far questo occorre:

• autenticarsi a Google Analytics ????
• selezionare la vista opportuna
• cliccare sulla rotella in fondo a sinistra (“Amministratore”)
• in “Impostazioni proprietà” nella colonna proprietà, cambiare l’URL predefinito da http:// a https://

• cliccare il bottone blu “Salva” in fondo alla colonna

Ultimi passaggi

Sempre in ottica di web marketing devono essere verificati altri due aspetti:

• verificare che il file sitemap.xml del sito abbia recepito con i nuovi indirizzi, ed eventualmente aggiornarlo
• se sono in corso campagne di search engine marketing (SEM) è necessario aggiornare gli URL delle campagne, soprattutto in AdWords, altrimenti viene perso il tracciamento dei risultati e Google Analytics segnala questo tipo di traffico come organico invece che come paid.

Risorse per approfondire

Ecco una lista di risorse per chi volesse andare ancora più in profondità:

• La guida ufficiale di Google
• La guida ufficiale HTTPS for WordPress di WordPress
• Il post Moving Your Website to HTTPS / SSL: tips & tricks di Joost de Valk su Yoast
• Il post How to Deploy HTTPS Correctly di Chris Palmer e Yan Zhu
• Il post Enabling HTTPS Without Sacrificing Your Web Performance di Billy Hoffman su Moz
• Il webinar di Emanuele Arosio e Paolo Gioia “HTTPS: aspetti strategici e tecnici. Dalla migrazione all’implementazione” sul canale YouTube di SEMrush del 25/5/17

Conclusioni

Rendere il proprio sito sicuro tramite l’installazione di un certificato di sicurezza è oggi un’operazione necessaria ma piuttosto semplice.

Per piccoli siti o blog è inoltre un’operazione sostanzialmente senza costi e rapida da implementare, ma che fornirà benefici sia per i visitatori del sito che per i motori di ricerca, che avranno più fiducia nelle pagine che consultano.

Per siti che eseguono transazioni economiche o trattano molti dati degli utenti, il passaggio a HTTPS rappresenta un passaggio obbligato.

Se ti ho aiutato a fare questo passo, scrivi la tua esperienza nei commenti qui sotto.

Non dimenticare di condividere questo post sui social, magari fai un favore a qualcuno dei tuoi contatti.