Nel luglio 2018, Google Chrome ha iniziato a contrassegnare tutti i siti non HTTPS come “Non sicuri”, indipendentemente dal fatto che raccolgano dati. Da allora, l’HTTPS è diventato più importante che mai!

Nel post di oggi approfondiremo la migrazione da HTTP a HTTPS e offriremo consigli pratici per rendere la transizione dei vostri siti WordPress il più agevole possibile. Per i proprietari di un sito WordPress, è sempre molto importante essere proattivi.

Grazie ai nuovi protocolli web, ai vantaggi SEO e ai dati di riferimento ancora più precisi, non c’è mai stato un momento migliore per migrare i siti WordPress su HTTPS. Scoprite di seguito come e perché.

Cos’è HTTPS?

HTTPS (Hypertext Transfer Protocol Secure) è un meccanismo che consente al vostro browser o alla vostra applicazione web di connettersi a un sito web in modo sicuro. L’HTTPS è una delle misure che aiutano a mantenere la navigazione sicura e protetta.

Ciò riguarda anche l’accesso al sito web della vostra banca, l’acquisizione dei dati della carta di credito e persino l’accesso al back-end del vostro sito WordPress. L’HTTPS sul vostro sito WordPress richiede un certificato SSL per la crittografia. Questo garantisce che nessun dato venga trasmesso in chiaro.

Secondo Builtwith, a marzo 2022, il 73,08% dei 10.000 siti web più importanti utilizza HTTPS. Questo dato è in aumento rispetto al 49,8% di febbraio 2018:

Utilizzo di HTTPS dei siti web più importanti
Utilizzo di HTTPS dei siti web più importanti

A partire da maggio 2022, MozCast riporta che oltre il 98,9% delle query di ricerca avviene tramite HTTPS, rispetto al 26% di gennaio 2016. Ciò suggerisce che molti siti stanno migrando da HTTP a HTTPS.

Anche Google sta spingendo per raggiungere il 100% di crittografia sui suoi prodotti e servizi. A partire dal maggio 2022, circa il 95% del traffico di Google avviene su HTTPS, rispetto al 48% del dicembre 2013.

Query HTTPS di MozCast
Query HTTPS di MozCast

Secondo i dati di telemetria di Firefox e le statistiche di Let’s Encrypt, oltre il 78% dei caricamenti di pagina è ora su HTTPS.

Perché Preoccuparsi dell’HTTPS?

Ci sono diversi motivi per cui i proprietari di siti web WordPress dovrebbero preoccuparsi dell’HTTPS e pensare di migrare da HTTP a HTTPS ora.

1. Sicurezza

Naturalmente, la ragione principale per cui migrare su HTTPS è la maggiore sicurezza. Con la migrazione da HTTP a HTTPS, il vostro sito web viene servito da una connessione crittografata SSL/TLS. Ciò significa che i dati e le informazioni non vengono più trasmessi in chiaro. Per i siti di commercio elettronico che elaborano informazioni sulle carte di credito, si tratta di un requisito indispensabile. Non è tecnicamente obbligatorio per legge, ma è vostra responsabilità come azienda proteggere i dati dei vostri clienti.

Questo vale anche per le pagine di login o i blog di WordPress. Se gestite siti WordPress multi-autore tramite HTTP, ogni volta che una persona effettua il login, le informazioni vengono trasmesse al server in chiaro. HTTPS è fondamentale per mantenere un sito web e una connessione al browser sicuri. In questo modo potrete evitare che gli hacker accedano al vostro sito web.

2. SEO

Google ha dichiarato ufficialmente che HTTPS è un fattore di ranking. Anche se si tratta solo di un piccolo fattore di ranking, la maggior parte di voi probabilmente sfrutterà ogni vantaggio possibile nelle SERP per battere la concorrenza.

A causa della spinta di Google a reindirizzare tutti da HTTP a HTTPS, potete scommettere che il peso di questo fattore di ranking molto probabilmente aumenterà in futuro. Uno studio di Semrush ha rilevato che il 98% dei contenuti Featured Snippet più performanti su Google utilizza HTTPS.

3. Fiducia e Credibilità

Secondo recenti studi, la maggior parte degli utenti di Internet è preoccupata per l’intercettazione o l’uso improprio dei propri dati online.

HTTPS può aiutare la vostra attività creando la cosiddetta fiducia SSL. Vedendo l’icona del lucchetto accanto al vostro URL, i clienti saranno più tranquilli sapendo che i loro dati sono più sicuri.

4. Dati sui Referral

Questo è rivolto a tutti i marketer. Se utilizzate Google Analytics, probabilmente conoscete i dati dei referral. Molte persone non si rendono conto che i dati di riferimento da HTTPS a HTTP sono bloccati in Google Analytics. Quindi cosa succede ai dati? La maggior parte di questi dati viene raggruppata nella sezione “traffico diretto”. Il referente viene comunque passato se qualcuno passa da HTTP a HTTPS.

Questo è importante anche perché se il vostro traffico di riferimento è improvvisamente calato, ma il traffico diretto è aumentato, potrebbe significare che uno dei vostri referrer più importanti è recentemente passato all’HTTPS. È vero anche l’inverso.

5. Avvertenze di Chrome

Dal 2018, le versioni di Chrome 68 e successive contrassegnano tutti i siti non HTTPS come “Non sicuri” anche se non raccolgono dati:

Connessione non sicura su Chrome
Connessione non sicura su Chrome

Nel 2021, il browser ha iniziato a impostare di default HTTPS per gli URL incompleti. Ad esempio, se un utente digita “dominio.com”, Chrome utilizzerà automaticamente “https://domain.com”. Se HTTPS fallisce perché manca l’SSL/TLS, si passa a HTTP.

Chrome detiene oltre il 77% della quota di mercato dei browser, quindi questo avrà un impatto su molti dei vostri visitatori. Potete anche verificare quali browser utilizzano i vostri visitatori in Google Analytics alla voce Pubblico > Tecnologia > Browser e OS:

Controllo dei browser in Google Analytics
Controllo dei browser in Google Analytics

Google sta chiarendo ai visitatori che il vostro sito WordPress potrebbe non funzionare su una connessione protetta. Ecco alcuni consigli di Google su come evitare l’avviso.

Nel 2017, anche Firefox ha seguito l’esempio con il rilascio di Firefox 51, mostrando un lucchetto grigio con una linea rossa per i siti non sicuri che raccolgono password. Naturalmente, se migrate tutto il vostro sito su HTTPS, non dovrete preoccuparvi di questo:

Connessione non privata
Connessione non privata

Se non avete ancora effettuato la migrazione all’HTTPS, potreste ricevere i seguenti avvisi da Google Search Console:

A: proprietario di http://www.domain.com

I seguenti URL includono campi di inserimento per password o dati di carte di credito che attiveranno il nuovo avviso di Chrome. Controlla questi esempi per vedere dove appariranno gli avvisi e potrai agire per proteggere i dati degli utenti. L’elenco non è esaustivo.

http://www.domain.com

Il nuovo avviso è la prima fase di un piano a lungo termine che prevede di contrassegnare come “non sicure” tutte le pagine servite tramite il protocollo HTTP non criptato.

6. Prestazioni

Ultimo, ma non meno importante, le prestazioni. Grazie a un protocollo chiamato HTTP/2, chi esegue siti correttamente ottimizzati su HTTPS può spesso notare miglioramenti nella velocità.

Per il supporto del browser, HTTP/2 richiede HTTPS. Il miglioramento delle prestazioni è dovuto a diversi motivi, come il fatto che HTTP/2 è in grado di supportare un migliore multiplexing, il parallelismo, la compressione HPACK con codifica Huffman, l’estensione ALPN e il server push. In passato l’overhead di TLS su HTTPS era piuttosto elevato, ma ora è molto più ridotto.

È uscito anche TLS 1.3, che velocizza ulteriormente le connessioni HTTPS! Kinsta supporta TLS 1.3 su tutti i server e sul CDN di Kinsta.

È anche importante notare che le ottimizzazioni delle prestazioni web, come il domain sharding e la concatenazione, possono danneggiare le prestazioni. Sono ormai obsolete e, per la maggior parte, non dovrebbero più essere utilizzate.

Tutto ciò che si trova sul web dovrebbe essere crittografato di default.Jeff Atwood, co-fondatore di Stack Overflow.

Guida alla Migrazione da HTTP a HTTPS

È arrivato il momento di passare alla parte più divertente: la migrazione dei vostri siti WordPress da HTTP a HTTPS. Vediamo innanzitutto alcuni requisiti di base e alcune cose da tenere presenti.

  • È necessario un certificato SSL. Approfondiremo l’argomento più avanti.
  • Verificate che il vostro host WordPress e il vostro provider CDN supportino HTTP/2. Kinsta offre il supporto HTTP/2 a tutti i clienti. Non è obbligatorio, ma lo vorrete per le prestazioni del sito.
  • Dovrete dedicare un bel po’ di tempo alla migrazione da HTTP a HTTPS. La migrazione non è una cosa che si può fare in 5 minuti.
  • Controllate che tutti i servizi e gli script esterni che utilizzate abbiano una versione HTTPS.
  • È importante sapere che perderete il conteggio delle condivisioni sui social di tutti i vostri post e pagine, a meno che non utilizziate un plugin che supporti il recupero delle condivisioni. Questo perché il conteggio delle condivisioni si basa su un’API che analizza la versione HTTP e non avete alcun controllo sui social network di terze parti.
  • A seconda delle dimensioni del vostro sito, Google potrebbe impiegare un po’ di tempo per effettuare il re-crawling di tutte le nuove pagine e i nuovi post HTTPS. Durante questo periodo, potreste notare delle variazioni nel traffico o nelle classifiche.
  • Non dimenticate le citazioni locali.

Consigliamo di disattivare l’integrazione del CDN e di disabilitare i plugin di caching prima di iniziare, perché possono complicare le cose.

1. Scegliere un Certificato SSL

La prima cosa da fare è acquistare un certificato SSL, se non ne avete già uno. Esistono tre tipi principali di certificati:

  • Convalida del dominio: singolo dominio o sottodominio (convalida email o DNS), rilasciato in pochi minuti. In genere si possono acquistare a partire da 9 dollari all’anno.
  • Convalida per azienda/organizzazione: un singolo dominio o sottodominio richiede una verifica aziendale che fornisce un livello più elevato di sicurezza/fiducia, rilasciata entro 1-3 giorni.
  • Validazione estesa: un singolo dominio o sottodominio richiede una verifica aziendale che garantisce un livello superiore di sicurezza/fiducia, rilasciato entro 2-7 giorni.

Noi di Kinsta forniamo SSL Cloudflare gratuiti per tutti i siti grazie alla nostra integrazione di Cloudflare. I nostri certificati SSL Cloudflare vengono emessi automaticamente dopo aver configurato un dominio in MyKinsta e sono anche dotati di supporto per i domini jolly!

Google consiglia di utilizzare un certificato con chiave a 2048 bit o superiore. Potete acquistare i certificati di Comodo, DigiCert, GeoTrust, Thawte, Rapid SSL o Trustwave. Esistono anche alternative più economiche come GoGetSSL, Namecheap e GoDaddy.

Let’s Encrypt

Anche Let’s Encrypt offre una soluzione per ottenere certificati SSL gratuiti. Controllate il vostro host WordPress e il vostro provider CDN per vedere se hanno un’integrazione di Let’s Encrypt. Potete anche seguire la guida di Certbot su come installarli manualmente. I certificati Let’s Encrypt scadono ogni 90 giorni, per cui è fondamentale disporre di un sistema automatico di rinnovo.

2. Installazione di un Certificato SSL Personalizzato

Se avete acquistato un certificato SSL, dovete installarlo sul vostro sito WordPress. Il provider vi chiederà di indicare il tipo di server durante la procedura di configurazione del certificato. Se siete clienti di Kinsta, i nostri server web sono Nginx. Se questa opzione non è disponibile, andrà bene anche Other.

Il provider SSL avrà bisogno di un codice CSR per creare/firmare il file del certificato. Per generare un codice CSR e una chiave RSA, compilate il seguente modulo: https://www.ssl.com/online-csr-and-key-generator/.

Consigliamo di compilare tutti i campi, ma come minimo i seguenti (come si vede nello screenshot qui sotto):

  • Nome comune (nome di dominio)
  • Indirizzo email
  • Organizzazione
  • Città / Località
  • Stato / Contea / Regione
  • Paese

Nota: per il campo del nome comune, se state generando un certificato wildcard, dovrete inserire il nome del vostro dominio come *.domain.com.

Modulo per la generazione di CSR
Modulo per la generazione di CSR

Il modulo genererà il file della vostra chiave privata e il CSR. Assicuratevi di salvarli entrambi, perché senza il certificato sarà inutilizzabile:

CSR e chiave privata
CSR e chiave privata

Poi caricate il CSR presso il vostro provider SSL per rigenerare il vostro certificato SSL (.cert).

Dovrete quindi recarvi presso il vostro host WordPress e fornirgli il certificato e la chiave privata. Se siete clienti di Kinsta, potete accedere alla dashboard e cliccare su un sito. Quindi andate alla scheda Domini e selezionate il vostro dominio, quindi fate clic sul pulsante SSL personale:

Aggiungi SSL personale
Aggiungi SSL personale

Potrete quindi aggiungere la vostra chiave privata e il vostro certificato:

Aggiungi chiave privata
Aggiungi chiave privata

Al termine, selezionate Aggiungi certificato per salvare le modifiche.

3. Verificare il Certificato SSL

Ora che avete installato il vostro certificato SSL, dovrete verificarlo per assicurarvi che tutto sia configurato correttamente. Un modo semplice e veloce per farlo è utilizzare lo strumento gratuito di verifica SSL di Qualys SSL Labs. Se tutto è corretto, dovreste ottenere un voto A nel test, come mostrato di seguito:

Verifica del certificato SSL
Verifica del certificato SSL

Date un’occhiata al nostro tutorial più approfondito su come eseguire una verifica SSL.

4. Reindirizzare da HTTP a HTTPS

Dopo aver verificato il vostro certificato SSL, dovrete reindirizzare in modo permanente tutto il traffico HTTP su HTTPS. Ci sono un paio di opzioni per il redirect da HTTP a HTTPS in WordPress.

Se siete un cliente di Kinsta, il metodo più semplice è utilizzare il nostro strumento Force HTTPS. Questo vi permette di reindirizzare automaticamente il traffico HTTP su HTTPS con pochi clic a livello di server. Potete anche farlo manualmente nella configurazione del vostro server web o con un plugin gratuito per WordPress.

Nota: i nostri esempi includono tutti una direttiva di redirect 301, che è il modo corretto di implementarla per quanto riguarda la SEO. L’utilizzo di un altro tipo di redirect potrebbe danneggiare le classifiche. È inoltre fondamentale sapere che i redirect 301 potrebbero non trasmettere il 100% del link juice, anche se Google potrebbe dire che lo fanno. Date un’occhiata a questo post di Cyrus di Moz sulla migrazione HTTPS e i redirect 301.

Opzione 1: Reindirizzare da HTTP a HTTPS su MyKinsta

Se siete utenti di Kinsta, potete facilmente reindirizzare da HTTP a HTTPS utilizzando MyKinsta. Si tratta di un’opzione eccellente perché evita di installare plugin sul vostro sito.

Per iniziare, accedete alla dashboard di MyKinsta, navigate nel vostro sito e cliccate su Strumenti.

Selezionate quindi il pulsante Abilita sotto Forza HTTPS:

Strumento di redirect Forza HTTPS
Strumento di redirect Forza HTTPS

Potete utilizzare il vostro dominio principale come destinazione o un dominio alternativo. Poi fate clic su Forza HTTPS:

Opzioni di Forza HTTPS
Opzioni di Forza HTTPS

Se avete configurato delle regole HTTPS personalizzate o avete utilizzato dei proxy di terze parti, potreste incontrare dei problemi quando forzate l’HTTPS. Se doveste riscontrare degli errori, potete disattivare la forzatura di HTTPS e contattare il supporto di Kinsta per ricevere assistenza.

Opzione 2: Redirect da HTTP a HTTPS in Nginx

Se il vostro server web utilizza Nginx, potete facilmente reindirizzare da HTTP a HTTPS aggiungendo il seguente codice al file di configurazione di Nginx:

server {

listen 80;

server_name domain.com www.domain.com;

return 301 https://domain.com$request_uri;

}

Questo è il metodo consigliato per reindirizzare WordPress su Nginx.

Reindirizzare da HTTP a HTTPS in Apache

Se il vostro server web utilizza Apache, potete reindirizzare tutto il traffico da HTTP a HTTPS aggiungendo il seguente codice al vostro file .htaccess:

RewriteEngine On

RewriteCond %{HTTPS} off

RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Questo è il metodo consigliato per reindirizzare WordPress su Apache.

Nessuno dei server di Kinsta utilizza Apache.

Opzione 3: Reindirizzare da HTTP a HTTPS con il Plugin Really Simple SSL

La terza opzione per reindirizzare da HTTP a HTTPS è quella di utilizzare il plugin gratuito WordPress Really Simple SSL:

Plugin Really Simple SSL
Really Simple SSL

Non consigliamo questo metodo come soluzione permanente perché i plugin di terze parti possono aggiungere un ulteriore livello di problemi e di compatibilità. È una buona soluzione temporanea, ma dovete aggiornare i vostri link HTTP hard coded, come vi mostreremo nel prossimo passaggio.

Implementare l’intestazione HSTS (opzionale)

HSTS (HTTP Strict Transport Security) è un’intestazione di sicurezza da aggiungere al vostro server web che obbliga il browser a utilizzare connessioni sicure quando un sito viene eseguito su HTTPS. Questo può aiutare a prevenire gli attacchi man-in-the-middle (MitM) e il dirottamento dei cookie. Potete utilizzare i redirect 301 di cui sopra insieme all’intestazione HSTS. Consultate il nostro articolo approfondito su come aggiungere l’HSTS.

5. Controllare se ci Sono Troppi Redirect

Dopo aver aggiunto un redirect da HTTP a HTTPS, dovete verificare che non ci siano troppi redirect. Questo problema è piuttosto comune e può influire sulla velocità del vostro sito WordPress. Potete utilizzare lo strumento Redirect mapper di Patrick Sexton per vedere rapidamente quanti redirect avete sul vostro sito.

Qui sotto potete vedere un esempio di redirect impostati in modo errato. Questo è facilmente verificabile utilizzando il mappatore di redirect:

Redirect non impostati correttamente
Redirect non impostati correttamente

Potete notare che ci sono redirect HTTPS duplicati sia nella versione www che in quella non-www.

Di seguito trovate un esempio di redirect impostato correttamente:

Redirect impostati correttamente
Redirect impostati correttamente

Come potete vedere, c’è un solo redirect. Date un’occhiata al nostro post di approfondimento sui redirect di WordPress e sulle best practice per ottenere prestazioni più veloci.

6. Aggiornare i Link HTTP Hard-Coded

Ora che avete i redirect, è il momento di sistemare tutti quegli URL HTTP inseriti a mano nel codice. In generale, non è consigliabile inserire gli URL direttamente nel codice. Tuttavia, con il tempo, molto probabilmente lo farete (lo facciamo tutti). Di seguito trovate alcune soluzioni per aggiornare i vostri link HTTP in HTTPS.

Opzione 1: Strumento di Ricerca e Sostituzione di Kinsta

Se siete clienti di Kinsta, nella nostra dashboard MyKinsta abbiamo un comodo strumento di ricerca e sostituzione:

Strumento di ricerca e sostituzione di Kinsta
Strumento di ricerca e sostituzione di Kinsta

Per aggiornare gli URL da HTTP a HTTPS sono necessari pochi semplici passi:

  1. Inserite nel campo Cerca il valore che volete cercare nel database, che in questo caso è il nostro dominio HTTP: http://kinstalife.com.
  2. Inserite nel campo Sostituisci il nuovo valore che deve essere utilizzato per sostituire il valore che state cercando. In questo caso si tratta del nostro dominio HTTPS, https://kinstalife.com.
  3. Cliccate sul pulsante Sostituisci per avviare l’operazione.
Opzioni di ricerca e sostituzione
Opzioni di ricerca e sostituzione

Date un’occhiata al nostro tutorial sulla ricerca e la sostituzione, oppure fate clic sulla video guida qui sotto per ulteriori dettagli.

Opzione 2: Plugin Better Search Replace

Un altro strumento facile da usare è il plugin gratuito Better Search Replace del team WordPress di Delicious Brains:

Better Search Replace
Better Search Replace

Il plugin è gratuito. Una volta installato e attivato sul vostro sito, potete andare su Strumenti > Better Search Replace e iniziare a usarlo.

Opzione 3: Script PHP Search Replace DB di interconnect/it

Una terza opzione per eseguire una ricerca e sostituzione su WordPress è quella di utilizzare uno script PHP gratuito di interconnect/it chiamato Search Replace DB. È uno dei nostri strumenti preferiti per la migrazione da HTTP a HTTPS.

Importante! L’utilizzo di questo script potrebbe danneggiare il vostro sito WordPress se non sapete cosa state facendo. Se non vi senti a vostro agio, consultate prima uno sviluppatore o il vostro host web.

Per utilizzare lo script, basta scaricare il file zip, estrarre la cartella denominata search-replace-db-master e rinominarla in un altro modo. Nel nostro esempio, l’abbiamo rinominata in update-db-1551. Quindi, caricatela nella directory pubblica del vostro server web tramite FTP, SFTP o SCP. In genere si tratta della stessa directory che contiene la cartella /wp-content.

Quindi aprite la cartella segreta del vostro browser, ad esempio https://domain.com/update-db-1551:

Interconnect search and replace script
Interconnect search and replace script

Lo script cercherà automaticamente di trovare e popolare il campo del database, ma dovete verificare che i dettagli siano corretti e che si tratti del database su cui desiderate effettuare un’operazione di ricerca/sostituzione. Potete cliccare prima su Dry Run per vedere cosa verrà aggiornato/sostituito. Poi, quando siete pronti, cliccate su Live Run per eseguire gli aggiornamenti del database e la ricerca e sostituzione di WordPress.

Un esempio di migrazione HTTPS è la sostituzione di “http://yourdomain.com” con “https://yourdomain.com”.

Opzioni di ricerca e sostituzione
Opzioni di ricerca e sostituzione

Per motivi di sicurezza, è fondamentale cancellare questo script una volta terminato. Potete cliccare sul pulsante Elimina. Se non lo fate, potreste lasciare il vostro sito web aperto agli attacchi.

Consigliamo inoltre di controllare bene sul vostro server web e di verificare che la cartella e lo script siano stati completamente rimossi. Nota: questo script aggiornerà tutte le voci del database, tra cui l’URL del sito WordPress, i link inseriti nelle pagine e nei post, ecc.

Se avete aggiunto codice alla home, al sito o alle aree di contenuto di WP nel file wp-config.php, assicuratevi di aggiornarle a HTTPS:

define('WP_HOME', 'https://yourdomain.com');

define('WP_SITEURL', 'https://yourdomain.com');

define( 'WP_CONTENT_URL', 'https://yourdomain.com/wp-content' );

Se avete un CDN e utilizzate un CNAME, come ad esempio cdn.domain.com, probabilmente dovrete anche eseguire lo script di cui sopra una seconda volta per trovare tutti gli URL http://cdn.domain.com hard-coded e sostituirli con https://cdn.domain.com.

Opzione 4: Ricerca e Sostituzione con WP-CLI

I più esperti di tecnologia e gli sviluppatori che non amano abbandonare la linea di comando possono aggiornare i propri link utilizzando WP-CLI. Consigliamo di consultare questa guida avanzata alla ricerca e sostituzione con WP-CLI.

7. Aggiornare gli Script Personalizzati e le Librerie Esterne

Ora che avete aggiornato i vostri vecchi URL hard-coded, dovrete controllare tutti gli script personalizzati o le librerie esterne che potreste aver aggiunto all’header, al footer, ecc. Ad esempio Google jQuery, Font Awesome, CrazyEgg, AdRoll, Facebook, Hotjar, ecc.

Per quanto riguarda Google jQuery, dovete semplicemente aggiornarlo in modo da puntare alla versione HTTPS:

<script src="https://ajax.googleapis.com/ajax/libs/jquery/3.1.0/jquery.min.js"></script>

Ogni provider e servizio dovrebbe avere una versione HTTPS a cui passare.

8. Migrare il CDN da HTTP a HTTPS

Inoltre, se utilizzate un CDN, dovrete migrare anche questo su HTTPS. In caso contrario, potreste incorrere in problemi di avviso di contenuto misto sul vostro sito WordPress. Se utilizzate il CDN di Kinsta, potete saltare questo passaggio perché tutto viene eseguito di default dal nostro CDN alimentato da Cloudflare su HTTPS.

Alternative al CDN di Cloudflare

Se state cercando un’alternativa al CDN di Cloudflare, avete molte opzioni. Una delle più popolari è KeyCDN.

È un CDN ad alte prestazioni che accelera la consegna dei contenuti dei siti web ai visitatori grazie alla memorizzazione nella cache di server di tutto il mondo. Inoltre, offre sicurezza e protezione contro gli attacchi DDoS e altre minacce.

Altre due opzioni sono Amazon CloudFront, parte di Amazon Web Services (AWS), e Sucuri, che contribuisce ad ottimizzare le prestazioni e la velocità dei siti web. È dotato di un’ampia gamma di funzioni di sicurezza.

Ecco alcuni link e tutorial utili per l’installazione e la configurazione di SSL per diversi provider CDN di terze parti.

Nota: alcuni hanno anche un’integrazione con Let’s Encrypt, il che significa che l’SSL è gratuito. In caso di problemi, potete sempre chiedere al vostro provider CDN di aiutarvi nella migrazione da HTTP a HTTPS.

Una volta aggiornato il CDN, dovrete assicurarvi di aggiornarlo nel plugin WordPress che utilizzate per l’integrazione. Nell’esempio che segue, utilizziamo CDN Enabler:

Cambiare il CDN a HTTPS
Cambiare il CDN a HTTPS

Sostituiamo l’URL da HTTP a HTTPS, quindi attiviamo l’opzione CDN HTTPS in basso. Al termine, selezionate il pulsante Salva modifiche.

9. Controllare che il Sito Non Presenti Avvisi di Contenuto Misto

Successivamente, dovrete controllare il vostro sito WordPress per assicurarvi di non ricevere avvisi di contenuto misto. Questi avvisi appaiono quando si caricano script o contenuti HTTPS e HTTP. Non è possibile caricarli entrambi.

Quando si passa all’HTTPS, tutto deve essere eseguito su HTTPS. Wired ha documentato il loro passaggio da HTTP a HTTPS e l’intoppo che hanno incontrato:

una delle sfide più grandi del passaggio all’HTTPS è la preparazione di tutti i nostri contenuti da distribuire attraverso connessioni sicure. Se una pagina viene caricata su HTTPS, anche tutte le altre risorse (come immagini e file Javascript) devono essere caricate su HTTPS. Stiamo riscontrando un elevato numero di segnalazioni di problemi di “contenuto misto”, ovvero di eventi in cui una risorsa HTTP non sicura viene caricata nel contesto di una pagina HTTPS sicura. Per fare bene il nostro rollout, dobbiamo assicurarci di avere meno problemi di contenuti misti e di fornire la maggior parte dei contenuti di WIRED.com nel modo più sicuro possibile.

Di seguito sono riportati alcuni esempi di ciò che accade nei browser se non si risolvono questi avvisi.

Esempio di Avviso di Contenuto Misto su Chrome

Ecco un esempio di ciò che accade in Chrome quando si attiva un avviso di contenuto misto:

Avviso di contenuto misto di Chrome
Avviso di contenuto misto di Chrome

Esempio di Avviso di Contenuto Misto per Firefox

Ecco cosa succede in Firefox quando si attiva un avviso di contenuto misto:

Avviso di contenuto misto di Firefox
Avviso di contenuto misto di Firefox

Esempio di Avviso di Contenuto Misto per Internet Explorer

Ecco ciò che accade in Internet Explorer quando si attiva un avviso di contenuto misto:

Avviso di contenuto misto di IE
Avviso di contenuto misto di IE

Come potete vedere, IE è probabilmente uno dei peggiori perché interrompe il rendering della pagina fino a quando il popup non viene cliccato.

Esiste un ottimo strumento gratuito chiamato SSL Check di JitBit, che potete utilizzare per scansionare rapidamente il vostro sito web o URL alla ricerca di contenuti non sicuri. Lo strumento effettua il crawling del vostro sito WordPress HTTPS e cerca immagini, script e file CSS non sicuri che attivano un messaggio di avviso nei browser. Il numero di pagine scansionate è limitato a 200 per sito web.

Potete anche utilizzare Chrome DevTools per controllare rapidamente qualsiasi pagina consultando il pannello delle richieste di rete. Anche il pannello della sicurezza è molto utile. Potete vedere immediatamente tutte le origini non sicure e poi fare clic sulle Richieste per vedere da dove provengono:

Controllare HTTPS in Chrome Devtools
Controllare HTTPS in Chrome Devtools

Esiste anche un software desktop chiamato HTTPS Checker che potete installare per effettuare una scansione del vostro sito:

HTTPS checker software
HTTPS checker software

Dopo modifiche significative, può aiutarvi a verificare la presenza di avvisi e contenuti “non sicuri”. È disponibile su Windows, Mac e Ubuntu. Il piano gratuito permette di controllare fino a 100 pagine.

10. Aggiornare il Profilo di Google Search Console

Ora che il vostro sito WordPress è attivo e funzionante su HTTPS (sperando che non ci siano avvisi), è il momento di dedicarsi al marketing. Alcuni di questi aspetti sono molto importanti, quindi non saltateli!

Per prima cosa dovete creare un nuovo profilo Google Search Console per la versione HTTPS.

Aggiungere una proprietà HTTPS in GSC
Aggiungere una proprietà HTTPS in GSC

Dopo aver creato la nuova versione HTTPS, dovrete inviare nuovamente i file della sitemap. Le nuove versioni HTTPS:

File sitemap HTTPS
File sitemap HTTPS

Dovrete inviarlo nuovamente se avete un file di disavow dovuto a backlink errati o a una penalizzazione. Se non lo fate subito, potreste danneggiare il vostro sito in modo permanente.

Andate allo Strumento di disavow di Google e clicca sul vostro profilo HTTP originale. Scaricate il file di disavow, se esiste. Poi tornate allo strumento e inviate il vostro file di disavow nella versione HTTPS.

Nota: dopo aver fatto tutto questo, potete tranquillamente eliminare il profilo HTTP in Google Search Console.

11. Strumenti per Webmaster di Bing

Bing Webmaster Tools è leggermente diverso da Google Search Console:

Bing Webmaster Tools HTTPS
Bing Webmaster Tools HTTPS

Non è necessario creare un nuovo profilo HTTPS. Al contrario, potete semplicemente inviare la vostra sitemap HTTPS appena creata.

12. Google Analytics

Successivamente, dovrete aggiornare la proprietà e la vista di Google Analytics. Questo non influirà sui vostri dati analitici: sarà semplicemente utile per collegare il vostro sito a Google Search Console.

Per aggiornare la proprietà, fate clic sulle impostazioni della proprietà del vostro dominio e, alla voce URL predefinito, cambiatelo con la versione HTTPS://:

Aggiornare la proprietà di Google Analytics a HTTPS
Aggiornare la proprietà di Google Analytics a HTTPS

Per aggiornare la visualizzazione, fate clic sulle impostazioni della visualizzazione del vostro dominio. Sotto l’URL del sito web, cambiatelo con la versione HTTPS://:

Aggiornare la vista di Google Analytics a HTTPS
Aggiornare la vista di Google Analytics a HTTPS
Collegare Google Analytics a GSC
Collegare Google Analytics a GSC

Dovrete anche ricollegare il profilo di Google Search Console creato al punto 8 con l’account di Google Analytics. Per farlo, cliccate sulle impostazioni delle proprietà del vostro dominio, quindi selezionate Adjust Search Console:

Potete quindi collegare il vostro nuovo profilo HTTPS di GSC. Collegando questi profili, i dati delle query di ricerca confluiranno nel vostro account di Google Analytics.

13. Canale YouTube

Se avete un canale YouTube, dovrete associare nuovamente il vostro sito web alla nuova versione HTTPS in Google Search Console. In caso contrario, riceverete errori con annotazioni e altri messaggi che indicano che il link HTTPS non è valido.

Nella dashboard di YouTube, cliccate sul vostro Canale e poi su Avanzate. Cambiate quindi il vostro dominio con la nuova versione HTTPS e poi su Aggiungi. Potrebbe essere necessario rimuovere il vecchio dominio e poi aggiungerlo nuovamente. Dovrete poi approvarlo accedendo a Google Search Console, navigando nei vostri messaggi per quel sito e selezionando Approva.

14. Varie

Questo è tutto per quanto riguarda la migrazione da HTTP a HTTPS! Ecco altri elementi che dovrete aggiornare. Alcuni di questi possono essere o meno applicabili a seconda dell’uso che ne fate.

  • Verificate che il vostro robots.txt sia accessibile e funzionante.
  • Assicuratevi che tutti i tag canonici puntino alla versione HTTPS (questo dovrebbe essere già stato fatto se avete seguito il punto 4).
  • Se utilizzate un plugin per i commenti come Disqus, dovrete migrare i vostri commenti Disqus da HTTP a HTTPS.
  • Aggiornate gli URL nel vostro software di email marketing
  • Aggiornate gli URL degli annunci PPC: AdWords, Bing Ads, AdRoll, Facebook Ads, ecc.
  • Aggiornate i link dei social media (pagina Facebook, Twitter Bio, Pinterest, Google+, ecc.)

Riepilogo

L’HTTPS non è solo un fattore di ranking per Google. È un protocollo di sicurezza fondamentale che aiuta a mantenere il vostro sito e i vostri visitatori al sicuro dagli attacchi.

Se state rimandando il passaggio ad HTTPS, spero che questo post vi abbia convinto a fare il grande passo. Siete pronti? Se avete bisogno di aiuto, il nostro team esperto sarà felice di assistervi.

Avete domande sulla migrazione da HTTP a HTTPS? Scrivetele nella sezione dei commenti qui sotto!

Salman Ravoof

Salman Ravoof is a self-taught web developer, writer, creator, and a huge admirer of Free and Open Source Software (FOSS). Besides tech, he's excited by science, philosophy, photography, arts, cats, and food. Learn more about him on his website, and connect with Salman on Twitter.