Hai sentito parlare in questi giorni del passaggio dall’http all’https?
Ovviamente sto scherzando. E’ il flame del momento in ambito SEO ed ha anche rotto un po’ le scatole.
Non te la sto a far lunghissima: la tecnologia https ti protegge dagli attacchi “Man in the middle”, cioè gli attacchi di chi sniffa, di chi ascolta e sente i pacchetti dati tra il server del tuo sito e il browser tramite il quale l’utente naviga il tuo sito.
HTTPS (Hypertext Transfer Protocol Secure), è la combinazione di HTTP e il Secure Socket Layer (SSL). Il mero codice http può essere sniffato, utilizzato o distrutto da potenziali hackers o crackers.
L’HTTPS no, in quanto con l’HTTPS le comunicazioni tra il browser e il client sono crittografate.
Google inoltre ha fatto aumentare la fibrillazione (dei SEO e non solo) perché pubblicamente dichiarato che l’https è uno dei mille fattori di ranking, di posizionamento delle pagine web: non ho dati da mostrarti a riguardo, ma molti SEO hanno fatto degli esperimenti e pare che l’https sia un fattore ancora molto debole di posizionamento nei motori di ricerca; ecco alcuni esperimenti recenti a riguardo:
- http://bit.ly/2ngcvvy (paragrafo 6)
- http://bit.ly/2n1ykhX
Poi magari nel prossimo futuro le cose cambieranno in chiave SEO: questo lo sai. Ma per ora non devi sudare freddo se non hai l’https nel tuo sito in Siteground.
In pratica, a riguardo ha già detto tutto Emanuele Vaccari in questo video, che ti consiglio di seguire attentamente:
L’unico caso in cui è necessario che il tuo sito passi all’https
In pratica, l’obiettivo che vuoi raggiungere è questo:
ed evitare questo:
Ma fai attenzione. Non è necessario sempre.
Il tuo sito o il tuo blog WordPress può subire questi attacchi solo in quelle pagine in cui chiedi delle password nel tuo sito con http.
Questo può capitare se gestisci un e-commerce (in fase di registrazione) ma anche se nel tuo blog talvolta richiedi un dato sensibile o una password in chiaro.
Ecco, questi che ti ho appena indicato sono gli unici casi in cui è veramente necessario inserire il certificato SSL nel tuo sito web e cioè passare all’https.
Passare da http ad https in Siteground
Personalmente gestisco un hosting in Siteground ed ho avuto la necessità di passare all’https: quindi per questo post ti mostrerò come ho migrato il mio stesso blog da http a https.
Partiamo dalle buone notizie: se anche tu hai l’hosting in Siteground, Siteground ti propone il passaggio all’https in modo del tutto gratuito.
Per farlo Siteground sfrutta il progetto Let’s Encrypt, che è un’autorità che rilascia in maniera gratuita, automatica ed aperta i certificati SSL.
Come fai richiedere il certificato SSL per il tuo sito in Siteground?
Ti basta accedere al tuo Cpanel e cliccare sull’icona “Let’s Encript” (guarda gif in basso):
Successivamente, bel box “Install a new Let’s Encrypt certificate yourself” devi scegliere il dominio a cui vuoi associare il tuo dominio e cliccare “Install”.
Quando clicchi “Install” metti in moto la procedura automatica di cui parlavamo all’inizio: Let’s Encrypt si attiva automaticamente e ti rilascia, in pochissimi minuti, il certificato SSL per il dominio che hai scelto.
40mila installazioni di SSL in Siteground
La facilità e la gratuità della procedura di acquisizione del certificato ha portato Siteground ad avere fino ad oggi circa 40000 installazioni di SSL per i domini che gestisce.
Evitare la duplicazione del tuo sito
Una volta, che hai aggiunto i certificati al tuo sito in Siteground, in pratica il tuo sito è già nella versione https:
Puoi subito fare un test: digita https://www.nomedeltuosito.com e vedi se si apre.
Se si apre, vuol dire che il certificato è stato rilasciato.
Se è stato rilasciato, ti trovi nella situazione (spiacevole agli occhi di Google) di sito completamente duplicato. Cioè in questo momento esistono due siti fotocopia:
Ora, la strada di questo tutorial trova un bivio, perché potresti aver installato WordPress in Siteground oppure no:
- Se hai installato WordPress
- Se non hai installato WordPress
Se hai WordPress
Come prima cosa, accedi al backoffice e cambia le impostazioni generali andando sul menu a destra in: Impostazioni >> Generali.
Quando hai fatto questo cambiamento, sarà normale che WordPress ti riapra la finestra per inserire le credenziali di amministrazione in quanto non accede più al file http al file https.
Bene. Sei già a buon punto!
Ora devi aggiungere una regola importante nel tuo file .htaccess
Se hai dimestichezza col codice del file .htaccess, inserisci questo codice:
RewriteCond %{HTTPS} off
RewriteRule (.*)$ https://www.faustogiungato.com/$1 [L,R=301]
Ricorda che questa regola va inserita in cima a tutte, prima di qualsiasi altra regola. A scopo esemplificativo, ti allego il codice che ho inserito nel file .htaccess del mio blog.
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://faustogiungato.com/$1 [R=301,L]
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
Nel codice qui in alto, il grassetto è la regola che conta; il resto sono regole di WordPress. E’ evidente che al posto di faustogiungato.com devi inserire il nome del tuo dominio.
Ecco, ora fai subito un test: digita sul browser il nome del tuo dominio in http: (esempio: http://www.iltuosito.com)
Se il browser reindirizza il tuo sito da http://www.iltuosito.com ad https://www.iltuosito.com vuol dire che la regola che hai appena inserito nel file .htaccess funziona!
Se invece la regola non funziona, prova ad andare nel tuo backoffice Siteground in “My Accounts” > “Go to Cpanel” > “Wordpress Tools” > pulsante “Supercacher”: qui ripulisci la cache del sito e disattiva temporaneamente la cache (vedi sotto la gif animata). Una volta finito questo tutorial, ricorda di riattivare il “Supercacher” ☺
Infine, se proprio vuoi stare in una botte di ferro, per forzare WordPress ad usare TLS puoi aggiungere al file wp-config.php:
define('FORCE_SSL_ADMIN', true);
define('FORCE_SSL_LOGIN', true);
Se non hai WordPress
Se non hai WordPress, devi operare da .htaccess; quindi devi aggiungere la regola che ti ho indicato poco sopra:
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://faustogiungato.com/$1 [R=301,L]
Ricorda che se non trovi il file .htaccess col tuo client FTP /Filezilla o Cyberduck), devi scegliere in essi l’opzione di visualizzazione di file nascosti (nella gif animata che segue l’esempio di come visualizzare i file nascosti con Filezilla).
Ultimo passaggio: trovare tutti i vecchi riferimenti all’http
Il bollino di “Sito sicuro” ancora non è garantito.
Per raggiungerlo, manca ancora un passo, che a volte può essere impegnativo e faticoso, soprattutto se il tuo sito e composto da migliaia o decine di migliaia di pagine.
Si tratta del fatto che il tuo sito ha ancora riferimenti all’http: esistono cioè nel tuo sito dei link interni, degli URL che sono composti con l’http iniziale. Questi riferimenti sono classificati come “contenuti non sicuri”,
Ti serve riscriverli tutti in https, esclusi ovviamente i link a siti esterni che ancora utilizzano l’http.
Come puoi fare?
I metodi sono i più svariati:
- metodo manuale: se il tuo sito è composto da poche pagine, puoi andare a riscrivere manualmente gli indirizzi.
- plugin di WordPress che reindirizzano da http ad https: esistono dei plugin che ti permettono di reindirizzare tutti i riferimenti interni da http a https. Quello che ti consiglio è Really Simple SSL: questo plugin è molto potente perché ti permette di applicare un fix, cioè di correggere tutto il tuo contenuto non sicuro (ovvero tutti i riferimenti all’http presenti nel tuo sito) eccetto i riferimenti a siti esterni; per i siti esterni devi controllare tu a mano (usa Xenu o Screaming Frog per trovare i link a siti esterni).
Che cosa aggiungere? Buon passaggio all’https nel sito in Siteground 🙂
Ecco altri articoli che ti potrebbero interessare:
