Nel post di oggi approfondiremo la migrazione da HTTP a HTTPS e condivideremo i nostri consigli, sperando di rendere la transizione per il vostro sito WordPress più agevole possibile. Come alcuni di voi potrebbero già sapere, Google ha fatto sforzi intensi per raggiungere l’obiettivo di spostare tutti verso un web più sicuro. Per i proprietari di siti WordPress è sempre bello se si può essere proattivi. A causa di nuovi protocolli, vantaggi SEO e dati di referral ancora più accurati, non c’è mai stato momento migliore per migrare a HTTPS. Scoprite di più sul perché e sul come qui sotto.

Che cos’è HTTPS?

HTTPS (Hyper Text Transfer Protocol Secure) è un meccanismo che permette al browser o all’applicazione web di collegarsi in modo sicuro a un sito web. HTTPS è una delle misure per mantenere la vostra navigazione sicura e protetta. Questo comprende cose come accedere al sito web della vostra banca, acquisire informazioni sulla carta di credito e persino accedere al back-end del vostro sito WordPress. Per avere HTTPS sul vostro sito WordPress è necessario che abbiate un certificato SSL per la crittografia. Ciò garantisce che nessun dato sia mai passato in chiaro.

Secondo Builtwith, a partire da febbraio 2018, il 49,8% dei primi 10.000 siti web utilizza HTTPS. Questo a partire dal 5,68% del settembre 2015.

HTTPS nei siti principali

Utilizzo di HTTPS nei siti di punta

Da febbraio 2018, MozCast segnala che oltre il 77% delle query di ricerca è su HTTPS, rispetto al 26% di gennaio 2016. Ciò significa che ci sono molti siti che migrano da HTTP a HTTPS.

Query HTTPS di MozCast

Richieste HTTPS di MozCast

Lo stesso Google sta spingendo per raggiungere il 100% di crittografia su tutti i loro prodotti e servizi. A partire da gennaio 2018, circa il 91% del traffico verso Google viaggia su HTTPS. Questo a partire dal 48% del dicembre 2013.

Traffico HTTPS di Google

Traffico HTTPS di Google

E secondo i dati di telemetria di Firefox e dalle statistiche Let’s Encrypt, oltre il 66% dei caricamenti di pagina sono ora HTTPS.

Perché Dovreste Interessarvi di HTTPS?

Ci sono in realtà diversi motivi per cui i proprietari di siti web WordPress dovrebbero interessarsi di HTTPS e pensare di migrare subito da HTTP a HTTPS.

1. Sicurezza

Naturalmente, la ragione principale per passare a HTTPS è la maggiore sicurezza. Migrando da HTTP a HTTPS servirete il vostro sito web tramite una connessione SSL/TLS crittografata. Questo significa che i dati e le informazioni non sono più trasmessi in chiaro. Per i siti di eCommerce che processano informazioni relative a carte di credito, HTTPS è un must. Non è tecnicamente obbligatorio per legge, ma è vostra responsabilità come azienda proteggere i dati personali dei vostri clienti.

Oltre all’eCommerce, HTTPS può essere applicato anche alle vostre pagine di accesso di WordPress sui blog. Soprattutto per quelli di voi che eseguono siti WordPress multi-autore, se si opera su HTTP, ogni volta che una persona effettua l’accesso, tali informazioni vengono passate al server come testo normale. HTTPS è assolutamente vitale per mantenere una connessione sicura tra un sito web e un browser. In questo modo potete prevenire meglio che hacker o intrusi abbiano accesso al vostro sito web.

2. SEO

Google ha dichiarato ufficialmente che HTTPS è un fattore di ranking. Anche se è solo un piccolo fattore di ranking, molti di voi probabilmente cercherebbero di trarre ogni possibile vantaggio dalla SERP per battere la concorrenza. E a causa del fatto che Google spinge tutti a migrare su HTTPS, potete scommettere che il peso di questo fattore di ranking molto probabilmente aumenterà in futuro. Ecco un grande articolo sull’impatto di TLS/SSL sul ranking.

E date solo un’occhiata ad alcuni degli altri dati che riguardano SEO e HTTPS! Matthew Barby ha effettuato un’analisi di 1 milione di URL ed ha rilevato che oltre il 33% di tutte le pagine con ranking 1, 2 o 3 in Google utilizzano HTTPS.

Utilizzo di HTTPS rispetto al ranking di Google

Utilizzo di HTTPS rispetto al ranking di Google

3. Fiducia e Credibilità

Secondo un sondaggio di GlobalSign, il 28,9% dei visitatori cerca la barra degli indirizzi verde nel proprio browser. E il 77% di loro è preoccupato che i dati vengano intercettati o mal utilizzati online.

Barra indirizzi HTTPS

HTTPS può aiutare la vostra azienda costruendo ciò che definiamo fiducia SSL. Vedendo quel lucchetto verde, i clienti avranno immediatamente maggiore tranquillità sapendo che i loro dati sono più sicuri.

4. Dati di Referral

Questo motivo è per tutti voi gente di marketing. Se utilizzate Google Analytics, probabilmente avete familiarità con i dati dei referral. Quello di cui molte persone non si rendono conto è che i dati di referral da HTTPS a HTTP sono bloccati in Google Analytics. Quindi cosa succede ai dati? Bene, la maggior parte è solo accorpata alla sezione “traffico diretto”. Se, invece, qualcuno sta passando da HTTP a HTTPS, il referrer è trasmesso.

Anche questo è importante perché se il vostro traffico di referral è improvvisamente calato, ma il traffico diretto è aumentato, potrebbe significare che uno dei vostri referrer maggiori è migrato di recente a HTTPS. É vero anche il contrario. Date un’occhiata a questa guida più approfondita di Moz sul traffico diretto.

5. Avvisi di Chrome

Da gennaio 2017, le versioni di Chrome 56 e successive ora contrassegnano come non sicuri i siti HTTP che trasmettono dati di password o carte di credito. Questo è molto importante se il vostro sito web ottiene la maggior parte del suo traffico da Chrome. Potete verificarlo in Google Analytics, nella sezione Pubblico in Browser e sistema operativo, così da vedere la percentuale di traffico che il vostro sito WordPress ottiene da Google Chrome.

Avviso di sicurezza in Google Chrome

Avviso di sicurezza in Google Chrome

E con Chrome 68 in arrivo a luglio 2018, questo sarà portato ancora più avanti e tutti i siti non HTTPS saranno contrassegnati come “non sicuri”, indipendentemente dal fatto che contengano o meno un modulo.

Chrome detiene oltre il 56% della quota di mercato dei browser, quindi questo influenzerà molti dei vostri visitatori. Potete sempre verificare quali browser utilizzano i vostri visitatori in Google Analytics in “Pubblico > Tecnologia > Browser e sistema operativo”. Come potete vedere in questo esempio, oltre il 63% dei visitatori del sito utilizza Google Chrome.

Utilizzo di Chrome da parte dei visitatori

Utilizzo di Chrome da parte dei visitatori

Google sta rendendo molto più chiaro ai visitatori che il vostro sito WordPress potrebbe non essere in esecuzione su una connessione protetta. Ecco alcuni suggerimenti di Google su come evitare l’avviso.

Anche Firefox ha seguito l’esempio e, a partire dalla fine di gennaio, con il rilascio di Firefox 51, mostrerà un lucchetto grigio attraversato da una linea rossa per siti non sicuri che raccolgono password. Naturalmente, se migrate l’intero sito su HTTPS, non dovrete preoccuparvene.

Lucchetto grigio in Firefox

Avviso di sicurezza in Firefox

Se non avete ancora eseguito la migrazione su HTTPS, potreste anche iniziare a ricevere i seguenti avvisi da Google Search Console.

A: proprietario di http://www.domain.com

Le seguenti URL includono campi di input per password o dati di carte di credito che attiveranno il nuovo avviso di Chrome. Esamina questi esempi per vedere dove saranno visualizzati questi avvisi, in modo da agire per proteggere i dati degli utenti. L’elenco non è esaustivo.
http://www.domain.com

Il nuovo avviso segna la prima fase di un piano a lungo termine per contrassegnare tutte le pagine servite tramite il protocollo HTTP non crittografato come “Non Protetto”.

6. Prestazioni

E, ultimo ma non meno importante, abbiamo le prestazioni. A causa di un nuovo protocollo chiamato HTTP/2, molto spesso, quei siti che sono propriamente ottimizzati per HTTPS possono anche aspettarsi di vedere miglioramenti nella velocità. HTTP/2 richiede HTTPS a causa del supporto dei browser. Il miglioramento delle prestazioni è dovuto a una serie di motivi, come il fatto che HTTP/2 è in grado di supportare meglio il multiplexing, il parallelismo, la compressione HPACK con codifica Huffman, l’estensione ALPN e il server push. In passato c’era un bel po’ di sovraccarico TLS quando si trattava di girare su HTTPS, ma ora questo si è molto ridotto. TLS 1.3, che uscirà presto, accelera ulteriormente le connessioni HTTPS!

È anche importante notare che le ottimizzazioni delle prestazioni web, come la segmentazione del dominio e la concatenazione, ora possono effettivamente danneggiare le prestazioni. Questi sono obsoleti e per la maggior parte non dovrebbero più essere utilizzati.

Tutto sul web dovrebbe essere crittografato di default. – Jeff Atwood, Co-fondatore di Stack Overflow

Guida alla migrazione da HTTP a HTTPS

É giunto il momento di occuparsi della parte divertente, e migrare il vostro sito WordPress da HTTP a HTTPS. Prima di tutto analizziamo alcuni dei requisiti di base che dovrete verificare e alcune cose da tenere presente.

  • Avrete bisogno di un certificato SSL. Andremo più nel dettaglio su questo punto di seguito.
  • Controllate attentamente che il vostro host WordPress e il provider CDN supportino HTTP/2. Kinsta offre supporto HTTP/2 per tutti i clienti. Questo non è richiesto, ma lo preferirete per le prestazioni.
  • Dovrete riservare un bel po’ di tempo ad eseguire la vostra migrazione HTTPS. Non è una cosa che può essere fatta in 5 minuti.
  • Verificate due volte che tutti i servizi esterni e gli script che utilizzate abbiano una versione HTTPS disponibile.
  • È importante sapere che perderete i conteggi delle condivisioni sociali su tutti i vostri post e pagine a meno che non utilizziate un plugin che supporti il ​​recupero delle condivisioni. Questo perché i conteggi delle condivisioni si basano su un’API che aveva verificato la versione HTTP, e voi non avete alcun controllo sui social network di terze parti.
  • A seconda delle dimensioni del vostro sito, Google potrebbe impiegare un po’ di tempo per eseguire nuovamente la scansione di tutte le vostre pagine e post su HTTPS. Durante questo periodo potreste vedere variazioni nel traffico o nell’indicizzazione.
  • Non dimenticare le citazioni locali.
Vi consigliamo di disattivare l’integrazione CDN e disabilitare tutti i plugin di caching prima di iniziare, poiché questi possono rendere le cose più complicate.

1. Scegliere un Certificato SSL

La prima cosa che dovete fare è acquistare un certificato SSL se non ne avete uno. Google consiglia di utilizzare un certificato con chiave a 2048 bit o superiore. Vi consigliamo di acquistare certificati da fornitori come Comodo, DigiCert, GeoTrust, Thawte, Rapidssl o Trustwave. Ma ci sono anche alternative più economiche come GoGetSSL, NameCheap e GoDaddy. Esistono tre tipi principali di certificati tra cui è possibile scegliere:

  • Convalida del dominio: dominio singolo o sottodominio, (email o convalida DNS), emesso in pochi minuti. Questi possono essere in genere acquistati a partire da $9 all’anno.
  • Convalida azienda/organizzazione: dominio singolo o sottodominio, richiede una verifica aziendale che fornisca un livello più elevato di sicurezza/affidabilità, emesso entro 1-3 giorni.
  • Convalida estesa: singolo dominio o sottodominio, richiede una verifica aziendale che fornisca un livello più elevato di sicurezza/affidabilità, emesso in 2-7 giorni. Questo abilita l’intera barra verde come si vede sui siti web bancari.

Let’s Encrypt

A partire da aprile 2016, Let’s Encrypt ha, inoltre, creato un modo per ottenere certificati SSL gratuiti. Verificate con il vostro host WordPress e con il provider CDN per vedere se questi hanno un’integrazione Let’s Encrypt. Potete anche seguire la guida di Certbot su come installarli manualmente. I certificati Let’s Encrypt scadono ogni 90 giorni, quindi è importante avere un sistema automatico in funzione.

Se siete clienti Kinsta, ora abbiamo un’integrazione Let’s Encrypt! Ciò significa che l’installazione di un certificato SSL è estremamente semplice. Accedete al cruscotto di MyKinsta e fate clic su “Gestisci” accanto al vostro sito WordPress.

Gestisci sito WordPress

Gestisci sito WordPress

Fate clic su “Strumenti” e, alla voce Abilita HTTPS, selezionate “Aggiungi certificato Let’s Encrypt”.

Aggiungi certificato Let's Encrypt

Genera un certificato HTTPS gratuito

Avrete quindi un’opzione per scegliere i domini su cui installare un certificato SSL. Se il vostro sito è http://domain.com, e avete un reindirizzamento da www a non-www, dovrete comunque selezionare entrambi per il reindirizzamento HTTPS. Fate clic su “Genera”. (Nota: prima di questo, dovrete aggiungere tutti i vostri domini dal cruscotto di MyKinsta, compresi i sottodomini che richiedono SSL)

Credenziali HTTPS

Credenziali HTTPS

E questo è tutto! Saranno necessari alcuni secondi per l’installazione e il tuo sito dovrebbe essere completamente protetto.

2. Installazione di un Certificato SSL Personalizzato

Se avete acquistato un certificato SSL, dovete installarlo sul vostro sito WordPress. Quando si procede alla configurazione del certificato con il fornitore, viene richiesto di fornire il tipo di server. Se siete clienti Kinsta, il tipo dei nostri server web è Nginx, se tale opzione non è disponibile, allora l’opzione “Altro” andrà bene.

Il provider SSL richiederà un codice CSR per creare/firmare il file del certificato. Per generare un codice CSR e una chiave RSA, compilate il seguente modulo: https://www.ssl.com/online-csr-and-key-generator/.

Vi consigliamo di compilare tutti i campi, ma quanto meno, dovreste inserire quanto segue:

  • Nome comune (nome di dominio)
  • Indirizzo email
  • Organizzazione
  • Città/Località
  • Stato/Contea/Regione
  • Nazione

Nota: per il campo del nome comune, se si sta generando un certificato con wildcard, sarà necessario immettere il nome del dominio come *.domain.com.

Genera un modulo CSR

Genera un modulo CSR

Il modulo genererà il file della chiave privata e il CSR. Assicuratevi di salvare entrambi in quanto senza di essi il certificato sarà inutilizzabile.

CSR e chiave privata

CSR e chiave privata

Caricate il vostro CSR con il vostro provider SSL per rigenerare il vostro certificato SSL (.cert).

Sarà quindi necessario andare dal tuo host WordPress e dar loro il certificato e la chiave privata. Se siete un cliente Kinsta, potete accedere alla dashboard, fare clic su un sito, andare alla scheda Strumenti e, alla voce Abilita HTTPS, selezionare “Aggiungi credenziali HTTPS personalizzate” per iniziare.

Certificato SSL personale su WordPress

Installare un certificato SSL personale su WordPress

Sarete quindi in grado di aggiungere la vostra chiave privata e il vostro certificato.

Chiave certificato SSL

Applicare il certificato

3. Verifica del Certificato SSL

Quindi, ora avete installato il vostro certificato SSL, dovreste verificarlo per assicurarvi che tutto sia configurato correttamente. Un modo rapido e semplice per farlo è quello di utilizzare lo strumento gratuito di verifica SSL di Qualys SSL Labs. Se tutto è corretto, nel test dovreste ricevere un valutazione espressa con la lettera A, come mostrato di seguito.

Verifica certificato SSL

Verificare il livello del certificato SSL

Guardate i nostri tutorial più approfonditi su come eseguire un controllo SSL.

4. Reindirizzare HTTP a HTTPS

Dopo aver verificato il certificato SSL, il passo successivo è reindirizzare in modo permanente tutto il traffico HTTP a HTTPS. Ci sono un paio di opzioni diverse quando si sceglie di reindirizzare HTTP a HTTPS in WordPress.
Se siete clienti di Kinsta, il modo più semplice è quello di utilizzare il nostro strumento Forza HTTPS. Questo vi consente di reindirizzare automaticamente da HTTP a HTTPS con pochi semplici clic a livello di server.
Potete anche farlo con un plugin gratuito per WordPress. Nota: i nostri esempi includono tutti una direttiva di reindirizzamento 301 che è il modo corretto di effettuarlo in relazione alla SEO. L’utilizzo di un diverso tipo di reindirizzamento potrebbe danneggiare il vostro ranking. È anche importante sapere che i redirect 301 potrebbero non passare il 100% del link juice, anche se Google potrebbe dire che in realtà lo fanno. Date un’occhiata a questo post di Cyrus su Moz a proposito delle migrazioni HTTPS e ai redirect 301.

Opzione 1: Reindirizzare HTTP a HTTPS in MyKinsta (Semplice e Rapido)

Potete facilmente reindirizzare tutto il traffico da HTTP a HTTPS su MyKinsta. Accedete al pannello di controllo MyKinsta, andate al vostro sito e fate clic su “Strumenti”. Quindi fate clic sul pulsante “Abilita”, alla voce Forza HTTPS.

Forza HTTPS WordPress

Forza HTTPS per WordPress

Potete decidere di utilizzare il vostro dominio primario come destinazione o un dominio alternativo obbligatorio. Quindi fate clic su “Forza HTTPS.”

Opzioni Forza HTTPS

Opzioni Forza HTTPS

Opzione 2: Reindirizzare da HTTP a HTTPS in Nginx

NGINX

Se il vostro server web esegue Nginx, potete facilmente reindirizzare tutto il vostro traffico HTTP a HTTPS aggiungendo il seguente codice al file di configurazione Nginx. Questo è il metodo consigliato per reindirizzare WordPress in esecuzione su Nginx.

server { listen 80; server_name domain.com www.domain.com; return 301 https://domain.com$request_uri; }

Qui da Kinsta utilizziamo Nginx per tutti. La grande notizia è che non dovete preoccuparvi di tutto questo. Se dovete aggiungere un redirect, aprite semplicemente un rapido ticket di supporto e fateci sapere quale dominio dovete reindirizzare. Lo aggiungiamo noi alla configurazione di Nginx.

Opzione 3: Reindirizzare HTTP a HTTPS in Apache

Apache

src: Apache Software Foundation

Se il vostro server web sta eseguendo Apache, potete facilmente reindirizzare tutto il vostro traffico HTTP a HTTPS aggiungendo il seguente codice al vostro file .htaccess. Questo è il metodo consigliato per reindirizzare WordPress in esecuzione su Apache.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Nessuno dei server di Kinsta esegue Apache.

Reindirizzare HTTP a HTTPS con il plugin Really Simple SSL

La terza opzione che avete per reindirizzare da HTTP a HTTPS è quella di utilizzare il plugin gratuito per WordPress Really Simple SSL. Non consigliamo questo metodo come soluzione definitiva perché i plugin di terze parti possono sempre presentare dei nuovi problemi e incompatibilità. È una buona soluzione temporanea, ma dovreste davvero aggiornare i vostri collegamenti HTTP come vi mostreremo più avanti.

Il plugin Really Simple SSL

Il plugin Really Simple SSL

Implementare un Header HSTS (opzionale)

HSTS (HTTP Strict Transport Security) è un’intestazione di sicurezza che si aggiunge al server web che forza il browser ad utilizzare connessioni protette quando un sito viene eseguito su HTTPS. Questo può aiutare a prevenire attacchi man-in-the-middle (MitM) e hijack dei cookie. Potete utilizzare i redirect 301 precedenti insieme con l’intestazione HSTS. Si legga il nostro articolo approfondito su come aggiungere HSTS.

5. Controllare i Redirect in Eccesso

Dopo aver aggiunto un redirect da HTTP a HTTPS, dovreste ricontrollarlo per assicurarvi di non avere troppi reindirizzamenti. Questo problema è abbastanza comune e può influire sulla velocità del vostro sito WordPress. Potete utilizzare lo strumento di mappatura dei redirect di Patrick Sexton per vedere facilmente quanti reindirizzamenti ci sono sul vostro sito. Di seguito è riportato un esempio di redirect che non sono stati impostati correttamente e che sono facilmente individuabili con il tool di mappatura dei redirect. Potete vedere che esistono reindirizzamenti HTTPS duplicati che si verificano sia nelle versioni www che non www.

Redirect non impostati correttamente

Redirect non impostati correttamente

Ecco un esempio di redirect configurati correttamente. Come potete vedere, si verifica un solo redirect.

Redirect impostati correttamente

Redirect impostati correttamente

Date un’occhiata al nostro post approfondito sui reindirizzamenti di WordPress e le migliori pratiche per prestazioni più veloci.

6. Aggiornare i Collegamenti HTTP hard-coded

Ora che avete i vostri redirect, è giunto il momento di correggere tutti le URL HTTP inserite manualmente. Generalmente, non è raccomandato inserire manualmente le URL, ma molto probabilmente nel corso del tempo probabilmente lo avete fatto, lo facciamo tutti. Di seguito sono elencate alcune opzioni che avete per aggiornare i collegamenti da HTTP a HTTPS.

Opzione 1 – Strumento di Ricerca e Sostituzione di Kinsta

Se siete clienti di Kinsta, avete un semplice strumento di ricerca e sostituzione nella bacheca MyKinsta.

Il tool Search and Replace di Kinsta

Il tool cerca e sostituisci di Kinsta

Ecco i semplici passaggi da seguire per l’aggiornamento delle URL da HTTP a HTTPS:

  • Inserite nel campo ricerca il valore che volete cercare nel database, che in questo caso è il nostro dominio HTTP: http://wpdev.ink.
  • Immettete nel campo sostituisci il nuovo valore che deve essere utilizzato per sostituire il valore che si sta cercando. In questo caso è il nostro dominio HTTPS, https://wpdev.ink.
  • Assicuratevi prima che l’opzione “Dry Run” sia selezionata, poiché in questo modo si effettua il conteggio delle sostituzioni effettuate senza effettuarle effettivamente. Quindi fate clic su “Sostituisci”.
  • È quindi possibile eseguire nuovamente “Sostituisci” senza selezionare Dry Run per apportare le modifiche nel database.
Conferma cerca e sostituisci dal vivo

Conferma cerca e sostituisci dal vivo

Date un’occhiata al nostro tutorial su ricerca e sostituzione per ulteriori dettagli.

Opzione 2 – Il Plugin Better Search Replace

Un altro metodo semplice che potete utilizzare è un plugin gratuito chiamato Better Search Replace, dal fantastico team WordPress di Delicious Brains.

Opzioni Better Search Replace

Le opzioni di Better Search Replace

Opzione 3: interconnect/it Search Replace DB PHP Script

Alle prese con i tempi di inattività e problemi di WordPress? Kinsta è la soluzione di hosting progettata per farvi risparmiare tempo! Scopri i nostri servizi

Una terza opzione per eseguire una ricerca e sostituzione in WordPress consiste nell’utilizzare uno script PHP gratuito di interconnect/it chiamato Search Replace DB. É uno dei nostri strumenti preferiti da utilizzare in qualsiasi migrazione da HTTP a HTTPS.

Importante! L’utilizzo di questo script potrebbe interrompere il vostro sito WordPress se non sapete cosa state facendo. Se non vi sentite sicuri, contattate prima uno sviluppatore o il vostro host web.

Per utilizzare lo script, è sufficiente scaricare il file zip, estrarre la cartella denominata search-replace-db-master e rinominarla in qualcosa di segreto di vostra scelta. Nel nostro esempio, l’abbiamo rinominata in update-db-1551. Quindi caricatela via FTP, SFTP o SCP nella directory pubblica del vostro server web. In genere è la stessa directory che contiene la cartella /wp-content. Quindi accedi alla vostra cartella segreta dal browser, ad esempio https://domain.com/update-db-1551.

Interconnect search-replace

Lo script cerca e sostituisci di Interconnect

Lo script tenterà automaticamente di trovare e popolare il campo del database, ma è necessario verificare che i dettagli siano corretti e che riguardi il database su cui si desidera eseguire un’operazione di ricerca/sostituzione. Potete cliccare prima su “dry run” per vedere cosa sarà aggiornato/sostituito. Quindi, quando siete pronti, cliccate su “live run” per eseguire gli aggiornamenti del database e la ricerca e sostituzione in WordPress.

E l’esempio di una migrazione HTTPS potrebbe essere quello di sostituire “http://yourdomain.com” con “https://yourdomain.com”.

Opzioni search replace

Opzioni search replace

È anche molto importante, per motivi di sicurezza, che cancelliate questo script quando avrete finito! È possibile fare clic sul pulsante “delete me”. Se non lo fate, potrebbe lasciare il vostro sito web vulnerabile ad attacchi. Si consiglia inoltre di ricontrollare il server web e verificare che la cartella e lo script siano stati completamente rimossi. Nota: questo script aggiornerà tutte le occorrenze nel vostro database, compresa la URL del vostro sito WordPress, i link inseriti manualmente in pagine e post, ecc.

Se avete inserito manualmente la home page, il sito o il contenuto di WP nel vostro file wp-config.php, assicurati di aggiornare tutto ad HTTPS.

define('WP_HOME', 'https://yourdomain.com');
define('WP_SITEURL', 'https://yourdomain.com');
define( 'WP_CONTENT_URL', 'https://yourdomain.com/wp-content' );

Se avete un CDN e utilizzate un CNAME, come cdn.domain.com, probabilmente dovrete eseguire lo script una seconda volta, per fare una ricerca di qualsiasi URL http://cdn.domain.com inserita manualmente e sostituirla con https://cdn.domain.com.

Opzione 4: Cerca e Sostituisci con WP-CLI

Per gli utenti e sviluppatori tecnologicamente più esperti, che non amano abbandonare la linea di comando, è possibile aggiornare i link utilizzando WP-CLI. Si consiglia di leggere questa guida avanzata alla ricerca e sostituzione in WP-CLI.

7. Aggiornare Script Personali e Librerie Esterne

Ora che avete aggiornato le vostre vecchie URL hard-coded, dovrete controllare qualsiasi script personalizzato o libreria esterna che potreste aver aggiunto nell’intestazione, nel footer, ecc. Potrebbe trattarsi di cose come la libreria jQuery di Google, Font Awesome, CrazyEgg, AdRoll, Facebook, Hotjar, ecc. Ad esempio, per jQuery di Google, dovete semplicemente aggiornarlo per fare riferimento alla versione HTTPS:

<script src="https://ajax.googleapis.com/ajax/libs/jquery/3.1.0/jquery.min.js"></script>

Praticamente ogni provider e/o servizio dovrebbe avere una versione HTTPS a cui è possibile passare.

8. Migrare il CDN da HTTP a HTTPS

Successivamente, se state utilizzando un CDN, dovrete migrare anche questo su HTTPS, altrimenti incorrerete nelle anomalie dell’avviso di contenuto misto nel vostro sito WordPress. Se state utilizzando il CDN di Kinsta, potete saltare questo passaggio poiché tutto viene eseguito dal nostro CDN su HTTPS di default.

Ma qui ci sono alcuni collegamenti utili e tutorial su come installare e configurare SSL per diversi fornitori di CDN di terze parti. Nota: alcuni di essi hanno anche un’integrazione Let’s Encrypt, il che significa che SSL è gratuito. Se avete problemi, potete sempre verificare con il vostro provider CDN per farvi aiutare nella migrazione da HTTP a HTTPS.

Una volta aggiornato il CDN, assicuratevi di aggiornarlo in qualsiasi plugin di WordPress che state utilizzando per l’integrazione. Nell’esempio seguente utilizziamo CDN Enabler e spostiamo semplicemente la URL da HTTP a HTTPS e abilitiamo l’opzione CDN HTTPS in fondo.

Cambiare il CDN a HTTPS

Cambiare il CDN a HTTPS

9. Controllare il Proprio Sito Web Per gli Avvisi di Contenuti Misti

Successivamente, bisognerà fare un controllo finale sul vostro sito WordPress per assicurarvi di non ricevere avvisi di contenuti misti. Questi avvisi vengono visualizzati quando si caricano sia gli script HTTPS che HTTP. Non è possibile caricare entrambi. Quando migrate a HTTPS, tutto deve essere eseguito su HTTPS. Wired ha documentato il passaggio da HTTP a HTTPS e questo è un ostacolo in cui si sono imbattuti:

“[…] una delle maggiori sfide del passaggio a HTTPS è la preparazione di tutti i nostri contenuti per essere consegnati tramite connessioni sicure. Se una pagina viene caricata su HTTPS, tutte le altre risorse (come immagini e file Javascript) devono essere caricate su HTTPS. Stiamo riscontrando un volume elevato di rapporti relativi a questi problemi di “contenuto misto” o eventi in cui una risorsa HTTP non sicura viene caricata nel contesto di una pagina HTTPS protetta. Per eseguire correttamente il rollout, dobbiamo assicurarci di avere un minor numero di problemi di contenuti misti – che stiamo offrendo il maggior numero possibile di contenuti di WIRED.com nel modo più sicuro possibile. “

Di seguito sono riportati alcuni esempi di ciò che accade nei browser se non si eliminano questi avvisi.

Esempio di Avviso di Contenuto Misto in Chrome

Ecco un esempio di ciò che accade in Chrome quando viene generato un avviso di contenuto misto.

Avviso di contenuto misto in Chrome

Avviso di contenuto misto in Chrome

Esempio di Avviso di Contenuto Misto in Firefox

Ecco un esempio di cosa succede in Firefox quando si attiva un avviso di contenuto misto.

Avviso di contenuto misto in Firefox

Avviso di contenuto misto in Firefox

Esempio di Avviso di Contenuto Misto in Internet Explorer

Ecco un esempio di ciò che accade in Internet Explorer quando viene generato un avviso di contenuto misto. Come si può vedere, IE è probabilmente uno dei peggiori perché in realtà interrompe il rendering della pagina fino a quando non si fa clic sul popup.

Avviso di contenuto misto in Internet Explorer

Avviso di contenuto misto in IE

C’è un ottimo piccolo strumento gratuito chiamato SSL Check di JitBit che potete eseguire per eseguire facilmente la scansione del vostro sito web o URL alla ricerca di contenuti non sicuri. Lo strumento eseguirà la scansione del sito HTTPS WordPress e cercherà immagini non sicure, script e file CSS che attiveranno un messaggio di avviso nei browser. Il numero di pagine sottoposte a scansione è limitato a 200 per sito Web.

Potete anche utilizzare Chrome DevTools per eseguire un controllo rapido su qualsiasi pagina esaminando il pannello delle richieste di rete. Anche il pannello di sicurezza è molto utile. Potete vedere immediatamente tutte le origini non sicure e quindi fare clic sulle richieste per vedere da cosa vengono fuori.

Verifica HTTPS in Chrome Dev Tools

Verifica HTTPS in Chrome

C’è anche un software desktop chiamato HTTPS Checker che potete installare per effettuare la scansione del vostro sito. Può aiutarvi a controllare avvisi e contenuti “non sicuri” dopo importanti cambiamenti. È disponibile su Windows, Mac e Ubuntu. Il piano gratuito ti consente di controllare fino a 100 pagine.

Il software HTTPS checker

Il software HTTPS checker

10. Aggiornare il Profilo di Google Search Console

Ora che il vostro sito WordPress è attivo e funzionante su HTTPS e, si spera, non ci sono avvisi, è giunto il momento di approfondire alcuni aspetti del marketing. Alcuni di questi sono molto importanti, quindi non ignorateli! La prima cosa che dovrete fare è creare un nuovo profilo in Google Search Console per la versione HTTPS.

HTTPS in Google Search Console

Aggiungere proprietà HTTPS in GSC

Dopo aver creato la nuova versione HTTPS, dovrete inviare nuovamente i file delle sitemap, le nuove versioni HTTPS.

File HTTPS sitemap

File HTTPS sitemap

Se avete un file di rifiuto (disavow file) di backlink malevoli o una penalità, dovrete inviarlo di nuovo. Non tutti avranno uno di questi file. Questo è molto importante! Se non lo fate, potreste danneggiare in modo permanente il vostro sito. Andate allo strumento Rifiuta Link di Google e fate clic sul vostro profilo HTTP originale. Scaricate il file di rifiuto, se esiste. Quindi tornate di nuovo allo strumento e inviate il vostro file di rifiuto nella versione HTTPS.

Nota: dopo aver fatto tutto ciò, potrete eliminare in sicurezza il profilo HTTP in Google Search Console.

11. Strumenti per Webmaster di Bing

Bing Webmaster Tools è leggermente diverso dalla Google Search Console. In realtà non è necessario creare un nuovo profilo HTTPS, è sufficiente inviare la sitemap HTTPS appena creata.

HTTPS in Bing Webmaster Tools

HTTPS in Bing Webmaster Tools

12. Google Analytics

Successivamente è necessario aggiornare la proprietà e la visualizzazione di Google Analytics. Ciò non influenzerà i vostri dati di analisi, ma sarà semplicemente di aiuto quando collegherete il vostro sito alla Google Search Console, ecc. Per aggiornare la proprietà, fate clic sulle impostazioni della proprietà del dominio e, alla voce Default URL, cambiatela alla versione HTTPS://.

La proprietà di Google Analytics a HTTPS

Aggiornare la proprietà di Google Analytics a HTTPS

Per aggiornare la vostra visualizzazione, fate clic sulle impostazioni di visualizzazione del dominio e, alla voce Website URL, modificate la versione di HTTPS://.

HTTPS in Google Analytics

Aggiornare le visualizzazione di Google Analytics a HTTPS

Dovrete anche ricollegare il vostro profilo Google Search Console che avete creato al passaggio 8 con il vostro account di Google Analytics. Per fare ciò, fate clic sulle impostazioni delle proprietà del dominio, andate giù e fate clic su “Adjust Search Console”. Potete quindi collegare il vostro nuovo profilo HTTPS GSC. Effettuare questo collegamento consente ai dati delle query di ricerca di confluire nel vostro account di Google Analytics.

Collegare Google Analytics a GSC

Collegare Google Analytics a GSC

13. Il Canale di YouTube

Se avete un canale su YouTube, dovrete associare nuovamente il vostro sito web alla nuova versione HTTPS in Google Search Console. In caso contrario, riceverete errori con annotazioni e altre cose su YouTube che avvertono del fatto che il link HTTPS non è valido. Nella vostra dashboard di YouTube fate clic sul vostro canale e poi su “Avanzate”. Quindi cambiate il dominio nella nuova versione HTTPS e fai clic su Aggiungi. Potrebbe essere necessario rimuovere quello vecchio e quindi aggiungerlo nuovamente. Dovrete quindi approvarlo andando su Google Search Console, facendo clic sui messaggi relativi a quel sito e facendo clic su Approva.

Siti associati YouTube

Aggiornare un sito associato a YouTube a HTTPS

14. Varie

E questo è tutto ciò che riguarda la migrazione da HTTP a HTTPS! Ecco alcuni altri elementi vari che dovreste aggiornare. Alcuni di questi potrebbero essere o non essere applicabili per voi a seconda di ciò che utilizzate.

Assicuratevi di controllare che il vostro file robots.txt sia accessibile e funzionante.
Assicuratevi che tutti i tag canonici rimandino alla versione HTTPS (questo dovrebbe essere già stato fatto se avete seguito il Passaggio 4 sopra).
Se si sta eseguendo un plugin di commenti come Disqus, sarà necessario migrare i commenti di Disqus da HTTP a HTTPS.
Aggiornate le vostre URL nel vostro software di Email Marketing
Aggiornate le URL degli annunci PPC: AdWords, Bing Ads, AdRoll, Facebook Ads, ecc.
Aggiornate i link ai social media (pagina Facebook, Twitter Bio, Pinterest, Google+, ecc.)

Anche il team di ricerca di Google ha pubblicato di recente le risposte a 13 domande frequenti relative alle migrazioni HTTPS.

Sommario

Come potete vedere, in una migrazione da HTTP a HTTPS probabilmente c’è un po’ di più di quanto avreste potuto pensare in origine. Tuttavia, è tutto abbastanza semplice e se seguite i passaggi riportati sopra dovrebbe andare tutto bene. Se siete clienti Kinsta e avete problemi con la vostra migrazione HTTPS con il vostro sito WordPress, sentevi liberi di contattarci. Abbiamo dimenticato altri importanti suggerimenti di migrazione da HTTP a HTTPS? Se è così, scriveteli nei commenti qui sotto.

31
Condivisioni