SSL di WordPress: ecco cosa dovresti sapere a riguardo

Se la tua attività ha una presenza online e non importa quante strategie SEO applichi, non potresti ottenere un buon posizionamento nei motori di ricerca o i visitatori si riprendono dal tuo sito web.

Decidi di controllare il tuo sito web e scoprire la dolorosa verità: non c'è alcun certificato SSL installato sul tuo sito web! In altre parole, la sicurezza del tuo sito web sembra inaffidabile non solo per i motori di ricerca ma anche per i visitatori.

In questo articolo imparerai cos'è SSL e perché è importante? Quali vantaggi offre il certificato SSL e come funziona? Che tipo di certificati SSL WordPress esistono e qual è il più adatto al tuo sito web?

Queste sono solo alcune delle domande che dovresti sapere prima di installare WordPress SSL.

Che cos'è SSL e perché è importante?

Secure Sockets Layer (SSL) è lo standard per la comunicazione crittografata tra server e browser. Un browser riceve e interpreta questo certificato e ne verifica l'autenticità. Una volta effettuata la verifica, tutti i dati inviati tramite la connessione sicura vengono crittografati. Un browser mostra l'esistenza di questa connessione con l'icona di un lucchetto chiuso e aggiunge https prima dell'indirizzo del sito web.

Hypertext Transfer Protocol Secure (HTTPS) è una combinazione di due protocolli: HTTP e SSL. HTTP è un tunnel che trasmette i dati e SSL è un protocollo di sicurezza che crittografa i dati nel tunnel. Di conseguenza, l'accesso non autorizzato alla lettura, copia o decrittografia della comunicazione tra il server e il client è (quasi) impossibile. Un tipico certificato SSL include:

• Un nome di dominio e una chiave pubblica
• Informazioni sulla validità e un numero di serie
• Firma di un'autorità di certificazione

I certificati SSL hanno validità temporanea (per lo più fino a 90 giorni), quindi devono essere rinnovati periodicamente per garantire la continua affidabilità del tuo sito web. Questi certificati sono un requisito obbligatorio per tutti i siti Web che gestiscono dati personali e informazioni finanziarie sensibili.

L'iniziativa di Google di fornire ai siti Web protetti da SSL un migliore posizionamento SERP indica anche l'importanza dell'installazione di certificati SSL. Dal 2014, i certificati SSL sono diventati un componente indispensabile per tutti i siti web. Il grafico seguente mostra la massiccia crescita della percentuale di pagine caricate su siti Web certificati SSL.

Matt Mullenweg, il co-fondatore di WordPress, una volta ha dichiarato: " Promuoveremo solo i partner di hosting che forniscono un certificato SSL per impostazione predefinita nei loro account. Inoltre, puoi anche vedere una menzione speciale del supporto HTTP per i requisiti di hosting.

Come funziona un certificato SSL?

Il protocollo SSL è un costrutto a quattro livelli (record SSL, Handshake, specifica di modifica della cifratura e protocollo di avviso) che crittografa in modo sicuro i dati tra un server e un browser. Questi livelli consentono l'utilizzo di una chiave per la crittografia/decrittografia e un modello di autenticazione basato sull'utilizzo di una chiave pubblica e di una chiave privata.

In questo modello, la chiave pubblica crittografa i dati, mentre la chiave privata viene utilizzata per decrittografare. Ciò avviene a livello di Handshake del protocollo SSL, dove vengono scambiate chiavi crittografiche asimmetriche per crittografare e decrittografare i dati.

Certificati SSL: convalida e tipi

I certificati SSL sono generalmente disponibili in tre livelli di convalida:

1. Convalida del dominio (DV)

L'Autorità di Certificazione verifica il diritto del richiedente ad utilizzare uno specifico nome a dominio. L'identità dell'azienda dietro il dominio non viene verificata. Le informazioni vengono visualizzate quando un utente fa clic sul lucchetto del sito protetto. Come puoi immaginare, questo è un livello piuttosto elementare di convalida SSL.

2. Convalida dell'organizzazione (OV)

L'Autorità di Certificazione verifica il diritto del richiedente di utilizzare un nome a dominio specifico e la validità dell'organizzazione dietro il dominio.

La validazione dell'organizzazione (OV) è più complessa, ma garantisce la legittimità del dominio e identifica i proprietari dell'azienda, offrendo così maggiore fiducia ai visitatori. Di solito è utilizzato da aziende di e-commerce e siti Web aziendali.

3. Convalida estesa (EV)

L'Autorità di Certificazione verifica il diritto del richiedente all'utilizzo di uno specifico nome a dominio e sottopone l'organizzazione a un'ispezione approfondita. Il processo di emissione dei certificati con Extended Validation (EV) è ampiamente definito nelle linee guida del CA/Browser Forum.

La Validazione Estesa (EV) è il livello più alto di convalida del certificato SSL e richiede la presentazione di documenti e permessi legali per verificare l'esistenza dell'azienda. Con EV, gli utenti vedono un sigillo del sito sicuro nella barra degli indirizzi del browser.

Oltre alla validazione, i certificati SSL sono disponibili anche in diverse configurazioni applicative:

1. Dominio Singolo

Se vuoi proteggere solo un dominio, un certificato di dominio singolo è la tua migliore opzione. Questi certificati si applicano solo a un dominio di primo livello (ad esempio, website.com) . Questo tipo di certificato SSL è disponibile con tutti i livelli di convalida.

2. Multidominio

Questo tipo di certificato certifica più domini (ad esempio, website.com , website.com.uk) con un unico certificato SSL. Tieni presente che, a seconda dell'autorità di certificazione, il numero di domini protetti può variare. I certificati SSL multidominio sono disponibili con tutti i livelli di convalida tranne EV.

3. Carattere jolly

Sono utilizzati per singoli domini che hanno più sottodomini. L'autorità di certificazione che emette il certificato SSL con caratteri jolly ha il diritto di limitare il numero di sottodomini protetti. Questo tipo di certificato SSL è disponibile con tutti i livelli di convalida tranne EV.

4. Carattere jolly multidominio

Questi certificati sono una combinazione di certificati multidominio e con caratteri jolly. Puoi utilizzare questi certificati per proteggere una serie di domini di primo livello insieme ai sottodomini. Anche in questo caso, il limite può variare a seconda dell'autorità di certificazione. Questo tipo di certificato SSL è disponibile a tutti i livelli di convalida tranne EV.

Vantaggi dell'utilizzo dei certificati SSL di WordPress

A questo punto, sei già stato in grado di conoscere l'importanza dei certificati SSL. Ora è il momento di conoscere i vantaggi dei certificati SSL.

• Fiducia: con un certificato SSL, i visitatori sanno che la loro connessione al sito Web è crittografata, migliorando così la fiducia e la credibilità.
• Legittimità: perché è chiaro che tutte le attività si svolgono su un sito Web noto e adeguatamente protetto.
• Sicurezza: i visitatori sanno che le informazioni sono crittografate, quindi i dati saranno protetti da qualsiasi tipo di accesso o attacco non autorizzato da parte di terzi.
• Ranking: Google favorisce le pagine web che hanno SSL e hanno HTTPS nell'indirizzo.

I certificati SSL sono particolarmente consigliati per le aziende, in particolare per i negozi online che lavorano con i dati personali degli utenti.

Crittografiamo: certificati SSL/TLS gratuiti

Let's Encrypt è un'autorità di certificazione (CA) gratuita e automatizzata che fornisce certificati Domain Validated (DV) gratuitamente con un periodo di validità di 90 giorni. Questo servizio è fornito dall'Internet Security Research Group (ISRG). Chiunque possieda un dominio e un hosting può aggiungere certificati SSL Let's Encrypt a WordPress senza alcun costo.

Il tempo di attivazione di un certificato può dipendere anche dalla disponibilità delle risorse Let's Encrypt e da una serie di limitazioni della stessa Certificate Authority. Queste limitazioni includono:

• Certificati per dominio registrato (50 a settimana)
• Nomi per certificato (fino a 100)
• Sottodomini unici (fino a 5.000 a settimana)
• Certificati duplicati (5 a settimana)

Per verificare i dettagli di queste limitazioni, fare riferimento a Let's Encrypt Rate Limits. Userò anche i certificati Let's Encrypt SSL per dimostrare idee pratiche d'ora in poi.

Prima di passare alla sezione successiva, ti consiglio di eseguire il backup del tuo sito Web WordPress, in modo da poterlo sempre ripristinare nel caso in cui le cose vadano male. Puoi eseguire i backup in due modi: tramite un plug-in di backup di WordPress o backup lato server. In alternativa, puoi creare un ambiente di staging WordPress o clonare l'intero sito Web per i test.

Installa certificati SSL gratuiti su WordPress

Uso la piattaforma Cloudways per questo articolo e presumo che tu abbia già registrato un account, avviato un server con un'applicazione WordPress e indirizzato al tuo dominio. In caso contrario, ecco come avviare il tuo server con WordPress.

Nel passaggio successivo, vai su Applicazioni dalla barra dei menu in alto a sinistra. Puoi vedere la tua applicazione WordPress installata sul tuo server. Fare clic sulla propria applicazione per accedere alla dashboard di gestione delle applicazioni .

Aggiungi un singolo dominio WordPress SSL sul tuo sito

Prima di installare WordPress SSL, assicurati che il tuo dominio sia attivo con una propagazione DNS completa. In caso contrario, non sarai in grado di installare i certificati SSL.

Nel passaggio successivo, inserisci il tuo nome di dominio e lo stesso indirizzo email che hai utilizzato per creare l'account Cloudways. Ora, fai clic su Installa certificato .

Aggiungi SSL WordPress a più domini sul tuo sito

Per installare il certificato SSL Let's Encrypt WordPress su più domini, fai clic su Aggiungi dominio e inserisci i nomi di dominio associati al tuo sito Web WordPress. Al termine, fai clic su Installa certificato .

Aggiungi certificato SSL con caratteri jolly per i sottodomini

Devi solo contrassegnare la casella di controllo Applica carattere jolly . Ci vorranno alcuni istanti per fornirti il ​​record CNAME che deve essere aggiunto al registrar di domini.

Accedi al tuo registrar di domini e aggiungi un record CNAME con informazioni simili:

• Tipo: CNAME
• Ospite: _acme-challenge
• Valore: [URL del tuo sito web]

Al termine, torna alla sezione Certificato SSL e fai clic su Verifica DNS . Convaliderà le impostazioni e ti avviserà di conseguenza. Nel passaggio successivo, fai clic su Installa certificato per installare WordPress SSL sul tuo sito.

Rinnovo automatico del certificato SSL Let's Encrypt WordPress

La piattaforma Cloudways gestisce automaticamente il processo di rinnovo se imposti l'opzione Rinnovo automatico su Abilita . Puoi anche rinnovarlo in qualsiasi momento facendo clic sul pulsante Rinnova ora .

In alternativa, puoi utilizzare un servizio di monitoraggio SSL che garantisce che tutti i certificati SSL siano validi e che i tuoi client non ricevano avvisi di sicurezza.

Installa certificati SSL WordPress a pagamento

Per i certificati SSL a pagamento, devi prima abilitare Certificate Signing Request (CSR) sulla tua applicazione WordPress.

Vai alla sezione Certificato SSL , seleziona " Non ho un certificato " dal menu a discesa, quindi fai clic su Crea CSR .

Se desideri utilizzare un singolo certificato SSL WordPress su più domini, contrassegna la casella di controllo in cui si dice SAN e aggiungi i nomi di dominio nel modulo.

Una volta inviato il modulo, verrà generata la CSR. Nel passaggio successivo, fare clic sul pulsante Scarica CSR per scaricare il file CSR.

Invia il file CSR scaricato al provider di certificati SSL di WordPress per generare un certificato SSL in base alle tue esigenze.

Il provider del certificato SSL ti fornirà due file: [tuodominio].crt (codice certificato) e [tuodominio].ca (file catena). Fare clic su Installa certificato e verrà visualizzato un popup che richiede il codice del certificato e la catena CA. Invia queste informazioni nei rispettivi campi.

Dopo aver inviato queste informazioni, fai clic su Invia e sei a posto. L'SSL dovrebbe ora funzionare per il tuo sito Web WordPress.

Che cos'è HSTS e perché dovresti usarlo?

HTTP Strict Transport Security (HSTS) è una direttiva del server web che dice a un browser web e agli agenti utente come gestire la connessione con il tuo sito web. Invia un'intestazione di risposta con le istruzioni all'inizio.

A volte HTTPS non è sufficiente poiché l'attaccante troverà comunque un modo per raggiungere il tuo sito Web tramite http://. HSTS forza i browser a utilizzare HTTPS, se disponibile. La configurazione di HSTS per i certificati SSL di WordPress è piuttosto semplice. Se stai ospitando su un server Apache, aggiungi le seguenti righe al file .htaccess.

 # Usa HSTS per forzare i client a utilizzare solo connessioni sicure

L'intestazione imposta sempre Strict-Transport-Security "max-age=300; includeSubDomains; preload"

Prima di aggiungere HSTS al tuo sito Web WordPress, assicurati di leggere i seguenti prerequisiti:

• Il sito Web deve disporre di un certificato SSL valido installato.
• Reindirizza TUTTI i collegamenti HTTP a HTTPS con un reindirizzamento permanente 301.
• Assicurati che tutti i sottodomini siano coperti dal tuo certificato SSL. (Considera un certificato con caratteri jolly)

Certificati SSL WordPress su Cloudflare (opzionale)

Se stai utilizzando Cloudflare in un modo o nell'altro, devi eseguire alcuni passaggi aggiuntivi. Prima di tutto, disabilita Cloudflare, altrimenti il ​​processo di configurazione potrebbe non riuscire.

Passo 1

Accedi alla dashboard di Cloudflare e, nella scheda DNS, disabilita entrambe le opzioni www e [yourdomain].com utilizzando l'interruttore a levetta. Se è grigio, significa che il servizio è disabilitato.

Passo 2

Ora vai alla sezione Piattaforma Cloudways → Gestione server → Impostazioni e pacchetti , all'interno della scheda Avanzate , e sotto Modulo WAF scegli Cloudflare , quindi fai clic sul pulsante Salva modifiche .

Passaggio 3

Torna alla dashboard di Cloudflare e abilita le opzioni che hai disabilitato nel passaggio 1 . Fai clic sulla scheda SSL/TLS in alto e imposta la modalità di crittografia SSL/TLS su Flessibile . Possono essere necessarie fino a 24 ore prima che Cloudflare attivi il certificato. Tuttavia, se hai già utilizzato lo stesso dominio in precedenza, verrà attivato immediatamente.

Una volta attivato il certificato, passa a Full (strict) .

Cancella sito web, hosting e cache del browser

Ora è il momento di verificare se il certificato SSL gratuito di WordPress è stato installato. Prima di procedere, elimina la cache del sito Web e la memorizzazione nella cache lato server come Varnish accedendo a Piattaforma Cloudways → Gestione server → Gestisci servizi .

Verifica che i certificati SSL funzionino correttamente

Presumo che tu abbia installato il certificato SSL Let's Encrypt WordPress per il tuo sito Web e configurato tutto correttamente. Ora è il momento di testare il certificato SSL. Visita il tuo sito web e controlla l'icona visualizzata.

Se vedi la seconda icona, significa che il certificato SSL funziona correttamente. Se vedi la terza icona, significa che il sito Web sta utilizzando un certificato SSL ma ci sono alcuni elementi nella pagina che non utilizzano HTTPS, un fenomeno noto come contenuto misto.

SSL Labs offre un eccellente strumento di controllo SSL in cui inserisci semplicemente il tuo nome di dominio e analizzerà e fornirà un rapporto come di seguito.

Molti utenti Cloudflare segnalano problemi quando provano a importare un certificato SSL gratuito di Let's Encrypt WordPress nel loro dominio su un account gratuito Cloudflare. La configurazione precedente dovrebbe funzionare, ma in caso contrario, prova i seguenti passaggi:

1. Accedi a Cloudflare e seleziona il dominio con cui vuoi lavorare.
2. Seleziona SSL/TLS dall'opzione del menu in alto
3. Modifica la modalità di crittografia SSL/TLS in Flessibile
4. Imposta Usa sempre HTTPS su On
5. Nella sezione HSTS, Abilita HSTS
   • Imposta l'età massima su 3 mesi
   • Includi sottodomini: Off (modifica come desideri - leggi sopra)
   • Precaricamento: disattivato
6. Imposta la versione TLS minima su TLS 1.2
7. Cifratura opportunistica: On
8. Imposta TLS 1.3: On
9. Riscritture HTTPS automatiche: On (per abilitare il reindirizzamento)
10. Disabilita SSL universale (di nuovo leggi sopra). In questo modo, non stai più utilizzando i certificati SSL Cloudflare e utilizzi solo i certificati forniti dal tuo server.

Il processo di cui sopra è stato contribuito da Gary Stevens di Hosting Canada – Recensioni di Web Hosting .

Cambia gli URL da HTTP a HTTPS

Vai alla tua dashboard di WordPress → Impostazioni → Generale → prima di Indirizzo WordPress (URL) e Indirizzo sito (URL) → inserisci https invece di http → e fai clic su Salva modifiche nella parte inferiore della pagina. Questo sostituirà tutti gli URL interni in https:// .

Forza SSL per la pagina di accesso di WordPress

Modificando gli URL nella dashboard di WordPress, dovrebbero essere modificati anche tutti gli URL dei siti Web. In caso contrario, potresti voler forzare SSL per l'area di accesso di WordPress configurando SSL nel file wp-config.php.

Nel file wp-config.php, aggiungi la seguente riga in cui dice " Questo è tutto, smetti di modificare! "

 define('FORCE_SSL_ADMIN', true);

La riga sopra forzerà SSL per le pagine di accesso di WordPress (l'URL è generalmente: wp-admin/wp-login.php)

Reindirizza HTTP a HTTPS tramite file .htaccess

Se qualcuno visita il tuo sito web con HTTP, il server non è obbligato a servire tramite HTTPS. Nel passaggio successivo, aggiungerò una regola al file .htaccess per reindirizzare tutto il traffico da HTTP a HTTPS. Prima di apportare modifiche, esegui il backup del file .htaccess in una posizione fuori sede poiché un singolo punto può influire sul tuo WordPress.

Accedi al tuo hosting WordPress → vai alla directory principale di WordPress → apri il file .htaccess con qualsiasi editor → incolla le seguenti righe all'inizio del file .htaccess.

 Riscrivi motore acceso

RewriteCond %{http:X-Forwarded-Proto} !HTTPS

RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]

Il file .htaccess dovrebbe essere simile a:

 Riscrivi motore acceso

RewriteCond %{http:X-Forwarded-Proto} !HTTPS

RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]

# INIZIA WordPress

<IfModule mod_rewrite.c>

Riscrivi motore acceso

Riscrivi Base /

RewriteRule ^index\.php$ - [L]

RiscriviCond %{REQUEST_FILENAME} !-f

RiscriviCond %{REQUEST_FILENAME} !-d

RewriteRule . /index.php [L]

</IfModule>

# FINE WordPress

Aggiorna gli URL CDN a HTTPS

Se stai utilizzando un CDN di WordPress, aggiorna gli URL di WordPress a https:// (proprio come ho trattato nella sezione Cloudflare sopra).

Avviso contenuto misto

Visita il tuo sito web e verifica che tutti i link interni siano stati spostati su https://. Se riesci ancora a vedere un'icona informativa su alcune delle tue pagine web, uno o più URL vengono serviti tramite HTTP. Devi identificare quegli URL.

Identificare gli URL di avviso del contenuto misto

Per dimostrare lo scenario Mix Content, ho aggiunto un'immagine a un post e ho cambiato l'URL in HTTP andando all'editor di testo di un post. Successivamente, ho visitato il post e ho aperto la Developer Console (ispeziona elemento). Fare clic sull'icona di errore e immettere "mix" nella barra di ricerca. Questo ti mostrerà tutti gli URL che servono tramite HTTP e devono essere aggiornati a HTTPS.

Nel mio caso, è solo l'URL dell'immagine. Tuttavia, è possibile che sul tuo sito Web vengano utilizzate alcune immagini, fogli di stile o script esterni di un dominio senza un certificato SSL di WordPress. Devi spostarli manualmente su https://. In alternativa, puoi rimuoverli o spostare questi file sul tuo server.

Gli URL non SSL di JitBit sono un eccellente strumento online che esegue la scansione e verifica i collegamenti non SSL su un sito Web. Ho scansionato il mio sito Web di prova e lo screenshot seguente mostra gli URL che venivano serviti su HTTP.

Esistono diversi modi per risolvere i problemi di avviso di contenuto misto. Discutiamone alcuni:

Metodo 1: utilizzo del plug-in degli URL di aggiornamento di Velvet Blues

C'è un utile plugin Velvet Blues Update URLs che controlla tutti gli URL e li aggiorna di conseguenza. Dopo aver installato il plug-in, vai su Dashboard di WordPress → Strumenti → Aggiorna URL → configura il plug-in come di seguito → e quindi fai clic su Aggiorna URL ora .

Metodo 2: utilizzo del plug-in di sostituzione di ricerca migliore

Better Search Replace è un altro ottimo plugin che sostituisce gli URL HTTP con HTTPS nel database. Dopo aver installato il plug-in, vai su WordPress Dashboard → Strumenti → Better Search Replace → configura il plug-in come di seguito → e quindi fai clic su Esegui ricerca/sostituisci .

Metodo 3: utilizzo del plug-in SSL davvero semplice

Il modo più semplice per configurare HTTPS gratuito è utilizzare il plugin Really Simple SSL. Dopo aver installato il plugin, vai su Dashboard di WordPress → Impostazioni → SSL . Se tutto è stato fatto correttamente, vedrai qualcosa come sotto e se c'è qualcosa di mal configurato, vedrai una croce rossa insieme alle istruzioni per correggere quell'avviso.

Really Simple SSL sostituisce gli URL durante il caricamento della pagina. Ciò potrebbe influire leggermente sulle prestazioni e se stai utilizzando un plug-in della cache di WordPress, l'impatto sarà solo sul primo caricamento.

Configura HTTPS per Google Search Console

Per monitorare i collegamenti HTTPS in Search Console, vai su Dashboard di Google Analytics → Amministratore → scegli la proprietà richiesta e fai clic su Impostazioni proprietà → modifica l' URL predefinito da http:// a https:// → e fai clic su Salva alla fine della pagina.

Hai finito con come ottenere un certificato SSL gratuito per WordPress. Non dimenticare di modificare tutti gli URL predefiniti da HTTP a HTTPS poiché verranno monitorati tramite Google Analytics.

Avvolgendo!

Se sei arrivato qui, ora puoi immaginare l'importanza di WordPress SSL e come puoi installarlo nel tuo WordPress. Se non lo usi, perderai potenziali clienti, i visitatori abbandoneranno il tuo sito web perché non si sentono al sicuro e, soprattutto, perderai il posizionamento nei motori di ricerca.

Quest'ultima domanda è particolarmente seria nel caso di Google. Questo è responsabile della penalizzazione delle pagine senza certificati SSL. Per non parlare della possibilità di aprire le porte al phishing e al furto di dati. Se hai domande, non esitare a chiedere nella sezione commenti qui sotto.