WordPress HTTPS – Come passare dal protocollo http ad https

WordPress https

Cosa vuol dire passare a WordPress https? Letteralmente significa cambiare il protocollo del proprio sito web da http ad https, e in questo articolo vedremo quali sono i modi più semplici per farlo.
Ma prima, una breve spiegazione tecnica.

HTTPS sta per HyperText Transfer Protocol over Secure Socket Layer, ed è un protocollo per la comunicazione su internet, evoluzione del protocollo HTTP, che utilizza una connessione criptata per trasferire i dati.

Scegli il piano hosting più adatto al tuo sito web WordPress grazie a Netsons. Hosting personali e business a prezzi allettanti.

Il protocollo https ha tre grandi vantaggi rispetto alla versione http: autenticazione del sito web, protezione della privacy e integrità dei dati scambiati. In questi ultimi anni è stato praticamente reso obbligatorio, tanto che Google stesso ha deciso di tenerne conto e di utilizzare questa caratteristica come fattore di rank.

WordPress https: scegliamo ed installiamo il certificato SSL

La prima cosa da fare per poter migrare il proprio sito web da http a https è quello di procurarsi un certificato SSL. Questo certificato serve per criptare ed autenticare i dati durante la comunicazione.

Sono molte le società che forniscono questi certificati a pagamento ma fortunatamente, dopo lo “sdoganamento” dell’https e con la nascita di Let’s Encrypt, è ora possibile ottenere certificati anche gratuitamente.

Infatti, la maggior parte degli hosting in circolazione, permettono di attivare un certificato gratuito per ogni dominio, direttamente dal pannello di amministrazione. Una soluzione comoda e rapida.

Quale certificato SSL scegliere?

Esistono 3 diversi tipi di certificato SSL, facciamo quindi chiarezza e vediamo nel dettaglio le varie tipologie.

  • Certificati SSL DV (Domain Validation) – Sono ideali per chi cerca un certificato economico e rilasciato in tempi brevi senza l’obbligo di invio della documentazione.
  • Certificati SSL OV (Organization Validation) – A differenza dei Certificati SSL DV, questi, hanno bisogno dell’invio di documentazione cartacea.
  • Certificati SSL EV (Extended Validation) – Aggiungono un ulteriore livello di personalizzazione andando a colorare di verde la barra degli indirizzi. Utile per dare maggiore affidabilità ai visitatori.

Una volta scelto il certificato SSL più opportuno bisognerà installarlo o attivarlo sul proprio hosting web. In questa guida vedremo come attivare il certificato gratuito di Let’s Encrypt su 3 hosting web, SiteGround, Aruba e ServerPlan.

I certificati SSL a pagamento hanno una data di scadenza (generalmente un anno), dopo la quale va effettuato il rinnovo per continuare ad utilizzarlo. Il certificato Let’s Encrypt gratuito, in modo automatico, si rinnova allo scadere e non richiede interventi manuali.

WordPress https su SiteGround

Per prima cosa, dirigiamoci nel pannello di SiteGround in modo da attivare ed installare il certificato SSL. Dopo aver effettuato l’accesso, andiamo in “Siti Web – Site Tools” sul dominio nel quale vogliamo installare il certificato.

Nel nuovo pannello, sulla sinistra, seguiamo il percorso del menu: “Sicurezza – Gestione SSL“.
In questa nuova finestra, potremo quindi attivare Let’s Encrypt sul nostro dominio. Allo stato attuale, però, il dominio sarà raggiungibile sia tramite http che tramite https, creando un grave problema a livello SEO e conseguentemente abbassando il rank del sito web.

Pannello di attivazione certificato SSL
Pannello di attivazione certificato SSL

Per ovviare a questo errore sarà sufficiente forzare il redirect delle nostre pagine web da http ad https.
Questo serve perché se un utente dovesse entrare nel nostro sito web tramite l’indirizzo http://miosito.com, quest’ultimo verrebbe automaticamente redirezionato su https://miosito.com, evitando di far navigare gli utenti su due copie dello stesso sito (una in http e una in https).

SiteGround offre una rapida soluzione anche a questo, tramite il pannello “Sicurezza – Forzatura HTTPS“. Qui infatti saremo in grado, tramite un semplice click, di abilitare l’https in tutto il sito WordPress.

Suggerimento: è possibile attivare la forzatura dell’SSL anche tramite il plugin ufficiale di SiteGround: SG Optimizer.
Se hai questo plugin attivo, entra nella tua installazione di WordPress, vai in “SG Optimizer – Ottimizzazioni dell’ambiente” ed attiva le voci “Abilita HTTPS” e “Sistema i contenuti non sicuri

WordPress https su Aruba

Effettuiamo l’accesso su Aruba e, tramite il pannello gestione domini, scegliamo quello di nostro interesse. A questo punto clicchiamo su “Pannello di controllo“, e nella nuova schermata dirigiamoci tramite il menu a sinistra in “Hosting Linux – Certificato SSL DV“.

Attivazione certificato ssl Aruba
Attivazione certificato ssl Aruba

Ora dovremo accettare le varie clausole e richiedere il certificato tramite l’apposito pulsante. Rispetto ad altri provider, Aruba, richiederà un po’ più di tempo per l’attivazione, quindi sarà necessario attendere la conferma prima di procedere con i successivi step.

Una volta ricevuta la conferma di installazione torniamo al menu a sinistra, e andiamo su “Gestione redirect HTTPS“. Qui potremo attivare il redirect forzato verso la connessione in https.

WordPress https su ServerPlan

Anche su ServerPlan gestire il certificato SSL è molto semplice e veloce. Tecnicamente il certificato SSL di Let’s Encrypt, su questo hosting web, è già pronto nel momento in cui viene attivato il dominio. Se così non fosse, basterà andare nel cPanel per poter gestire il sito (ad es. cpanel.esempio.com) ed effettuiamo l’accesso con i dati in nostro possesso.

Successivamente possiamo sfruttare la barra di ricerca in alto per filtrare i contenuti, quindi scriviamo “SSL“, oppure troviamo la voce nel sotto menu “Sicurezza – SSL/TLS“.
All’interno troveremo tutto quello di cui avremo bisogno per inserire le chiavi del certificato SSL.

Pannello cPanel configurazione SSL ServerPlan
Pannello cPanel configurazione SSL ServerPlan

Su ServerPlan il certificato Let’s Encrypt richiede che il dominio e relativi sottodomini puntino correttamente all’ip del server cPanel. Al momento dell’acquisto del dominio, il server cPanel tenta di generare il certificato ma, qualora la generazione fallisse, viene tentata la notte successiva.

Puoi sempre controllare lo stato del certificato SSL dal menu nel cPanel di ServerPlan, in “Sicurezza – SSL/TLS Status“. Attualmente non è possibile forzare tramite il pannello di ServerPlan il collegamento in https.

Forzare WordPress https

Come visto nelle sezioni precedenti, un passo fondamentale dopo aver attivato il certificato SSL, sta nel forzare i contenuti reindirizzandoli su https al posto di http. Se l’hosting web non lo permette, possiamo utilizzare un paio di metodi alternativi.

Un metodo per i più esperti, tramite modifica dei file htaccess presente nella cartella principale della nostra installazione di WordPress, e l’altro attraverso l’utilizzo di un plugin WordPress.

Forzare https tramite htaccess

Accediamo alla nostra installazione di WordPress tramite l’utilizzo di un client FTP come ad es. FileZilla (segui la nostra guida se non sai come fare) o tramite file manager dell’hosting web. Apriamo il file .htaccess e modifichiamo il file inserendo il seguente codice:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Salviamo e verifichiamo il corretto funzionamento del redirect da http a https del sito web.

Forzare https tramite plugin

Un altro metodo per forzare il collegamento al sito in https, è quello di utilizzare il plugin, in versione gratuita, Really Simple SSL. Il plugin attualmente conta più di 3 milioni di installazioni e viene aggiornato costantemente dagli sviluppatori.

Ti basterà installare ed attivare il plugin per ottenere il redirect https.

Ricordati, per non avere alcun tipo di conflitto, di disattivare la forzatura https a livello hosting qualora decidessi di utilizzare uno di questi due metodi su un hosting come SiteGround o Aruba.

Configurare WordPress https

Una volta attivato il certificato SSL e forzato il reindirizzamento, resteranno solo alcune impostazioni da configurare e controllare all’interno del sito in WordPress.

Effettua il login nella bacheca del tuo sito WordPress, poi vai in “Impostazioni – Generali” e aggiungi la lettera “s” all’interno del link del sito web, sia in “Indirizzo WordPress (URL)” che in “Indirizzo sito (URL)“.

Pannello WordPress indirizzo sito web
Pannello WordPress indirizzo sito web

Questo comporterà il logout dal pannello WordPress ma renderà completa la procedura di attivazione del collegamento https. Se tutto è stato eseguito correttamente, avremo il nostro sito WordPress in https.

Se invece qualcosa non dovesse andare, è consigliabile ripristinare il backup precedentemente effettuato e contattare il proprio hosting chiedendo delucidazioni a riguardo.
In alternativa, puoi sempre affidarti alla nostra assistenza per WordPress che ti aiuterà a risolvere velocemente i problemi del tuo sito web.

WordPress https: avvisi di contenuto misto

Dopo aver effettuato il redirect https, potrebbe accadere che alcune immagini o file che compongono il sito web, facciano ancora riferimento alla versione http. Quando questo accade, si ha un avviso di contenuti misti (o mixed content), vale a dire che la pagina web sta caricando alcuni contenuti in https e altri in http (da qui il nome di contenuto misto).

Come accorgersi di questo problema? Il modo più facile è aprire la home page (o qualunque altra pagina) del nostro sito WordPress e guardare il simbolo che si trova a fianco alla barra degli indirizzi del nostro browser.

Se viene mostrato un lucchetto, vuol dire che la connessione è protetta e non vi sono contenuti misti, in caso contrario potrebbe essere mostrato il simbolo “i” che ci indicherà che la connessione non è completamente protetta (il simbolo varia in base al browser utilizzato).

Avviso di connessione non completamente protetta
Avviso di connessione non completamente protetta

In alternativa, per i più esperti, è anche possibile aprire la console del browser di Google Chrome (o di qualsiasi altro browser) e osservare la provenienza degli avvisi di Mixed Content e capire quali sono i file incriminati.

Console di Google Chrome, contenuti non in https
Console di Google Chrome, contenuti misti caricati in http

Risolvere il problema dei contenuti misti

Il modo più facile e veloce è quello di utilizzare un plugin dedito a questo specifico compito. Uno dei plugin più utilizzati per risolvere il problema dei contenuti misti è WP Force SSL (ma anche il plugin Really Simple SSL citato precedentemente), disponibile dalla directory dei plugin di WordPress.

Grazie a questo plugin sarà possibile forzare tutti i contenuti del nostro sito web ad utilizzare il protocollo https, tutto ciò senza toccare una sola riga di codice.
Ovviamente questo plugin deve essere attivato solo quando siamo sicuri di avere un certificato SSL installato sul nostro sito WordPress.

Per gli utenti più esperti, è possibile agire manualmente andando a sostituire il protocollo http a tutti i contenuti misti e aggiornarli ad https. Tutto ciò, chiaramente, dopo aver fatto un backup del database mySQL.

Per fare ciò, è possibile agire direttamente sul database tramite phpMyAdmin, oppure utilizzare il plugin WordPress chiamato Search & Replace (letteralmente Cerca e Sostituisci) al quale dovremo semplicemente dire di cercare, all’interno del database, per “http://” e sostituirlo con “https://“.

Conclusioni

Ora che hai acquisito tutte le informazioni necessarie per rendere la tua installazione di WordPress in https, non ti resta che metterlo in pratica.

Ti consigliamo di effettuare sempre un backup del sito prima di procedere, in modo da poter tornare indietro qualora incappassi in qualche errore.

Utilizza il modulo dei commenti in basso per farci sapere quale metodo hai utilizzato, o se ne conosci altri.

Scegli il piano hosting più adatto al tuo sito web WordPress grazie a Netsons. Hosting personali e business a prezzi allettanti.

Piaciuto l'articolo? Condividilo sui social!

Scrivi una risposta

Il tuo indirizzo email non sarà pubblicato.I campi obbligatori sono contrassegnati *