Hai notato che il suo sito WordPress viene considerato sempre “non sicuro” da parte dei browser, nonostante tu abbia attivato il protocollo SSL e forzato la connessione su HTTPS tramite il servizio di hosting.
Da circa due anni ormai il fattore “connessione sicura” è un metro di giudizio nel ranking dei motori di ricerca. Garantire all’utente una connessione protetta è una necessità. Se vuoi approfondire l’argomento ranking, ti consiglio questo mio articolo: Il Ranking di Google nel 2020.
Approfondiamo ora i corretti passaggi per garantire una navigazione serena ai nostri utenti.
Perché l’HTTPS
L’HTTPS oppure Secure HTTP cripta la connessione tra il nostro browser ed il server che stiamo interrogando, rendendo più difficile l’intercettazione da parte degli hacker dei dati trasmessi.
Per ogni sito web è possibile generare un certificato SSL che garantisce tale sicurezza. Nel caso in cui un sito pretende di avere una connessione sicura tramite l’HTTPS senza un corretto certificato di sicurezza, il browser ti avviserà tramite una pagina come la seguente:
Configurazione preliminare
Prima di passare ai passaggi necessari per il trasferimento su connessione sicura, è bene verificare che il nostro dominio abbia un certificato SSL valido già disponibile. In caso contrario verifica insieme al fornitore di servizio di Hosting i termini per attivarne uno.
Per avere un’idea di cosa è necessario, consiglio di visitare il sito di Keliweb.it, che offre tantissime soluzioni per chi ha un sito WordPress, compreso una vasta scelta di piani di sicurezza con i certificati SSL, come puoi vedere qui.
Setup di WordPress
Questa soluzione prevede la modifica di alcuni file di configurazione di WordPress e parti del tema e dei widgets, ma è di sicuro una soluzione più efficiente rispetto all’uso di un plugin come Really Simple SSL.
Per la modifica dei file è sufficiente il Notepad di Windows, anche se consiglio un ottimo editor come Brackets, visualmente molto intuitivo, ed un FTP Client.
Accediamo alla nostra Bacheca di WordPress ed entriamo nella sezione Impostazioni>Generali e modifichiamo l’indirizzo di accesso in HTTPS per WordPress (URL) e Sito (URL) come in foto:
Una volta salvato tutto premendo il tasto in basso “Salva le modifiche”, verremo chiesti di accedere di nuovo alla bacheca di WordPress.
Ora occorre cercare il nostro file .htaccess che si trova nella public_html del nostro dominio.
Bisogna usare un FTP client come Filezilla, accedere alla cartella che contiene tutti i file del nostro sito WordPress e trovare (di solito è il primo) il file .htaccess. Apriamo il file con il nostro editor ed inseriamo le seguenti righe di codice all’interno:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>
Con questo passaggio, farai in modo che l’intero frontend del sito WordPress passerà tramite il protocollo SSL, garantendo sicurezza alla navigazione tra le pagine.
Consiglio anche di modificare il file wp-config.php per ottenere lo stesso risultato per la bacheca di amministratore di WordPress. Il file si trova nella stessa directory del precedente ed occorre aggiungere questa riga di comando:
define('FORCE_SSL_ADMIN', true);
prima della dicitura
/* Finito, interrompere le modifiche! Buon blogging. */
Criptografare anche i collegamenti
Con il passaggio precedente, abbiamo garantito la sicurezza alle pagine ospitate nel nostro sito, ma non ai collegamenti esterni ed eventuali immagini o elementi del tema.
Infatti è molto probabile che il browser riporterà il messaggio “Sito non completamente sicuro”.
Questo è dovuto a contenuti che usano un indirizzo ancora in http, come immagini, collegamenti, scripts o fogli di stile.
Per questo passaggio dobbiamo verificare pagina per pagina quali possano essere i contenuti che linkano ad indirizzi non protetti. Possiamo utilizzare la funzione “Ispeziona” messa a disposizione da Chrome, che segnala tutti i contenuti misti riportanti indirizzi in http piuttosto che in https.
Nella schermata di analisi verranno riportati tutti i risultati con “contenuti misti” tramite l’apposito segnale di attenzione, come si può notare nell’immagine seguente, dove ho modificato un indirizzo del mio sito in http per generare l’errore:
Analizzando a fondo i collegamenti basterà riscrivere quella porzione di codice sostituendo https al posto di http ed il gioco è fatto.
Questa operazione può essere fatta manualmente per pochi casi di “contenuti misti”. Nel caso in cui si abbia a che fare con tanti risultati, il mio consiglio è di installare un Plugin come Better Search Replace. Il plugin vi troverà tutti i risultati che corrispondono al criterio http e altrettanto velocemente lo sostituirà con https.
Aggiorniamo la Search Console
Una volta effettuati tutti i passaggi precedenti, possiamo sottomettere le modifiche alla Search Console di Google.
Ricordo che i motori di ricerca considerano come due siti distinti il dominio http ed https.
Andiamo nel nostro account google ed inseriamo il nuovo dominio in https.
Grazie alla aggiornamento di agosto di WordPress 5.5 (puoi leggere tutte le novità qui), adesso abbiamo anche una sitemap aggiornata disponibile all’indirizzo www.esempio.it/wp-sitemap.xml.
Basterà inserirla in Search Console per fare in modo che Google abbiamo una nuova piantina del nostro sito in formato https.
Conclusioni
Avere un sito considerato sicuro è un giudizio favorevole nella classifica dei motori di ricerca, oltre ad essere ben visto dagli utenti del tuo sito.
Spero che con questa guida ti abbia aiutato a passare il tuo sito in modalità sicura. Se non sei riuscito ad eseguire tutti i passaggi, puoi chiedermi aiuto tramite il form di contatto, oppure tramite i social media.