Vai al contenuto principale

Come proteggere il vostro blog WordPress con HTTPS

Divi: il tema WordPress più semplice da usare

Divi: il miglior tema WordPress di tutti i tempi!

più Download di 901.000, Divi è il tema WordPress più popolare al mondo. È completo, facile da usare e viene fornito con oltre i modelli gratuiti 62. [Consigliato]

Sebbene Internet abbia portato molte cose fantastiche, una parte della nostra vita che non sempre rispetta è la privacy. La condivisione delle nostre informazioni online a volte è diventata normale.

Non sto parlando solo delle informazioni su ciò che abbiamo mangiato a colazione, ma anche di come diamo informazioni che dovrebbero essere mantenute private.

Numeri di carte di credito, informazioni sul conto bancario, per non parlare delle informazioni di accesso per le dozzine di siti a cui probabilmente hai effettuato l'accesso oggi.

È tempo che queste informazioni ottengano la protezione che meritano.

Tuttavia, non è sempre compito dei visitatori agire, ma tali azioni sono dirette anche a te come proprietario di un blog WordPress..

Se il tuo sito WordPress gestisce informazioni sensibili, devi assolutamente assicurarti che i tuoi visitatori e clienti possano fidarsi di te. E ci sono molti modi per farlo.

In questo tutorial, ti mostrerò come aggiungere il protocollo HTTPS al tuo blog WordPress.

Cos'è un protocollo HTTPS e SSL?

Probabilmente hai già sentito questi due acronimi. In caso contrario, è probabile che li abbiate visti comunque al lavoro.

Potresti aver notato che ogni volta che interagisci con un sito protetto (come il tuo portale di banking online), l'indirizzo nella barra del browser è https: // di fronte alla solita piazza http: //.

Inoltre, i browser più moderni visualizzeranno un piccolo lucchetto nella barra del browser quando si è connessi a tale sito.

Lucchetto simbolo-in browser bar

In alcuni casi, potresti persino visualizzare l'intero nome dell'azienda.

Secure-sito-del browser bar-esteso

Questi sono segni che il sito che stai attualmente visitando ha agito per proteggere il loro traffico e la privacy dei suoi visitatori.

Gli strumenti per questo sono i suddetti HTTPS e SSL. Contribuiscono a rendere affidabile la comunicazione Internet.

HTTPS sta per HyperText Transport Protocol sicuro. Si differenzia da HTTP per il modo in cui utilizza una connessione certificata SSL (Secure Socket Livello) per stabilire una connessione tra il browser e il server.

Il protocollo stabilisce la connessione tra i due, dove, una volta stabilita con successo la relazione, verranno trasferite solo le informazioni crittografate.

Ciò significa che qualsiasi informazione di testo semplice che potrebbe essere letta da qualsiasi visitatore verrà sostituita con lettere e numeri casuali che non sono leggibili dagli esseri umani.

Se un hacker riesce a interferire con lo scambio di informazioni, la crittografia non lo renderà facile (ma poi per niente).

Il certificato SSL utilizzato per tale connessione è fisso sul sito. I certificati sono emessi da un'autorità chiamata certificato (CA) e sono unici per ogni sito.

In teoria, chiunque può emettere certificati SSL, tuttavia i browser considerano affidabili solo quelli provenienti da autorità note. Pertanto, le funzionalità della CA garantiscono l'affidabilità del sito.

La maggior parte dei browser moderni ti avviserà se il certificato non è corretto, il che significa che la connessione è probabilmente inaffidabile.

Gli standard di crittografia

SSL e HTTPS sono dotati di diversi standard di crittografia. Si chiama il più vecchio Shao e non viene più utilizzato. Il suo successore SHA1, mentre è ancora in circolazione, è attualmente eliminato. Google Chrome, ad esempio, inizierà a emettere avvisi per i siti che eseguono questo standard all'inizio del 2016.

Crea facilmente il tuo sito Web con Elementor

Elementor ti consente di creare facilmente qualsiasi design di sito Web con un aspetto professionale. Smetti di pagare caro per quello che puoi fare da solo. [Free]

L'attuale standard di crittografia per i protocolli SSL è SHA2. Tuttavia, a un certo punto, cederà il passo SHA3 che è attualmente in fase di sviluppo.

curiosità: SSL in realtà non è più il nome corretto per il certificato. La tecnologia è stata migliorata negli anni '90 e il suo nome è cambiato in TLS (Transport Layer Security). Tuttavia, l'acronimo SSL è rimasto bloccato ed è ovviamente utilizzato fino ad oggi.

Perché è necessario SSL e HTTPS

Imparare ad aggiungere HTTPS e SSL a WordPress è assolutamente essenziale se gestisci un sito di e-commerce accettare pagamenti. Le informazioni finanziarie dei tuoi clienti non dovrebbero essere prese alla leggera.

Tuttavia, il protocollo può essere utilizzato anche per proteggere altre informazioni come le informazioni di accesso, i dati dell'indirizzo e cose che più persone vorrebbero mantenere private.

In qualità di proprietario di un sito web, potresti anche considerare di aggiungere HTTPS per motivi egoistici, poiché è diventato un file fattore di ranking su Google e altri motori di ricerca.

Inoltre, visto che parliamo di SEO: HTTPS ti aiuterà anche nel tuo posizionamento, perché carico più lungo rapidamente.

Il passaggio a HTTPS

Il primo passo per spostare il tuo sito web su HTTPS è acquistare un certificato SSL. esistono diverse soluzioni per l'acquisto di un certificato.

Il posto giusto per iniziare è probabilmente la tua società di hosting poiché spesso fornisce certificati come parte dei loro servizi di hosting.

Tuttavia, esistono anche numerosi fornitori di terze parti. Per aiutarti, puoi consultare l'elenco delle autorità di certificazione incluse in Mozilla Firefox.

I costi possono variare a seconda del provider, del numero di sottodomini e di altri fattori. Sfortunatamente, se utilizzi più siti Web, può diventare costoso rapidamente.

Il fattore costo è anche uno dei motivi per cui sto aspettando”lasciare Encrypt ", un'autorità di certificazione gratuita e open source in arrivo (Automattic è tra gli sponsor).

Dopo aver installato un certificato, sarà necessario seguire le istruzioni del fornitore. Il processo è diverso per tutti, non posso dirti come farlo qui.

Dopodiché devi chattare con il tuo provider di hosting per implementare il certificato ed effettuare la transizione a HTTPS sul lato server. Questo è anche il motivo per cui rivolgersi al proprio provider per il certificato potrebbe essere l'opzione più semplice.

È tutto ? Ok, ora ci concentreremo sulle modifiche che dobbiamo apportare in WordPress.

Come impostare WordPress per HTTPS e SSL

Purtroppo la sola aggiunta del certificato non è sufficiente. È necessario apportare ulteriori modifiche a WordPress.

I passaggi seguenti presuppongono che desideri utilizzare HTTPS ovunque sul tuo sito, il che è generalmente una buona idea.

Tuttavia, esistono anche casi d'uso per alcune località del tuo sito. Torneremo su questo più tardi.

1. Eseguire un backup

Come tutto ciò che comporta modifiche importanti al tuo blog, il tuo primo istinto dovrebbe essere quello di creare un backup. Quindi, se le cose vanno male, puoi sempre tornare allo stato precedente. Ecco un elenco di plugin che possono aiutarti

2. Aggiungere SSL sul cruscotto di WordPress

La prima cosa che vogliamo fare è aggiungere una connessione HTTPS per tutte le pagine sulla dashboard di WordPress. In questo modo, quando qualcuno accede al tuo sito, tutti i dati verranno scambiati in modo sicuro.

Per fare ciò, è necessario aggiungere la seguente riga di codice al proprio wp-config.php File:

Stai cercando i migliori temi e plugin per WordPress?

Scarica i migliori plugin e temi WordPress su Envato e crea facilmente il tuo sito web. Già più di 49.720.000 download. [ESCLUSIVO]

define ( 'FORCE_SSL_ADMIN', true);

Dopo aver aggiunto la riga, salvato il file e caricato sul server, è ora di eseguire un rapido test. Vai alla tua pagina di accesso (https://votresite.com/wp-admin) per verificare se tutto funziona bene.

Se tutto va bene, devi avere una connessione sicura. Tuttavia, se si riscontra un problema, rimuovere la linea da wp-config.php perché ci sarà la risoluzione dei problemi da fare.

Tuttavia, per ora daremo per scontato che tutto vada bene e possiamo fare il passo successivo.

3. Aggiorna il tuo

Se la tua area di amministrazione è stata spostata con successo su HTTPS, è tempo di fare lo stesso per il resto del sito. Per questo dobbiamo prima cambiare l'indirizzo del tuo sito.

È molto semplice, basta andare sul luogo Impostazioni> Generale et ajouter https:// sia per il tuo indirizzo WordPress (dove risiede la tua installazione) che per l'indirizzo del sito (l'indirizzo che i visitatori inseriscono nel browser).

IMPOSTAZIONI generali

Salva e basta. Probabilmente ti verrà chiesto di accedere di nuovo in seguito.

Per assicurarti che i tuoi visitatori possano navigare sul tuo sito in sicurezza, dovresti anche impostare un reindirizzamento a .htaccess. La maggior parte delle persone dovrebbe già avere questo file presente sul proprio server (assicurarsi che il proprio FTP mostri i file nascosti) altrimenti è necessario crearne uno.

In questo file .htaccess, aggiungi le seguenti righe di codice:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond% {} HTTPS off
RewriteRule (*). Https: //% {HTTP_HOST}% {REQUEST_URI} [R = 301, L]
</ IfModule>

Ora tutti i tuoi visitatori dovrebbero essere reindirizzati automaticamente alla parte sicura del tuo sito web.

Come configurare il protocollo HTTPS su determinate pagine

Ti consiglio di utilizzare SSL ovunque sul tuo sito, ma alcuni potrebbero non volerlo utilizzare su alcune pagine.

Ecco un caso d'uso ad esempio: decidi di implementare connessioni sicure solo per parti sensibili del tuo sito come form di negozio, carrelli della spesa e di lasciare il resto senza sicurezza SSL.

Questo obiettivo può essere raggiunto con il plugin WordPress HTTPS (SSL). Ti consente di scegliere dove utilizzare il protocollo HTTPS sul tuo sito.

WordPress-HTTPS-SSL-plugin-settings

Anche se è vero che il plugin non è stato aggiornato da tempo, fonti affidabili affermano che è ancora possibile utilizzarlo. Se hai problemi, ti suggerisco Better WP Security che ha caratteristiche simili.

aiutare

In teoria, quanto sopra dovrebbe essere più che sufficiente per spostare l'intero sito su SSL. Tuttavia, poiché le cose non vanno sempre come desideri, ecco alcuni suggerimenti per la risoluzione dei problemi.

1. Attenzione contenuto misto

Il contenuto misto si verifica quando parti del tuo contenuto continuano a essere distribuite su HTTP mentre il resto del tuo sito è stato spostato sul più sicuro HTTPS.

In questo caso, i browser moderni visualizzano un avviso, che indica un messaggio non sicuro sul tuo contenuto.

Usa lo strumento gratuito controllare SSL per scansionare l'intero sito alla ricerca di immagini, script e file CSS non sicuri, ecc. Con queste informazioni, puoi quindi intraprendere un'azione correttiva. Un'alternativa per controllare le singole pagine è WhyNoPadLock.

Puoi anche cercare il simbolo del lucchetto sulla barra del browser mentre navighi nel tuo sito. Verrà visualizzato un avviso quando visiti un gioco che utilizza contenuti misti.

Se ti imbatti in una pagina del genere, puoi trovare il colpevole dando un'occhiata alla console negli strumenti di sviluppo di Chrome o Firefox o con un'estensione come Firebug.

Crea facilmente il tuo negozio online

Scarica gratuitamente WooCommerce, i migliori plug-in di e-commerce per vendere i tuoi prodotti fisici e digitali su WordPress. [Consigliato]

2. I certificati che scadono

Quando il certificato scade, i visitatori ricevono un forte avvertimento e vengono istruiti a non navigare nel tuo sito. Pertanto, non dovresti lasciare che ciò accada; assicurati di rinnovare sempre il certificato in tempo.

La stessa avvertenza può essere fornita anche per i certificati autofirmati non convalidati da un'autorità esterna.

3. Il nome di dominio del certificato non corrisponde all'indirizzo del sito

A volte, il motivo per cui il tuo sito non ottiene il via libera dai browser si basa sulla differenza tra il nome di dominio effettivo e quello registrato sul certificato. In questo caso, devi risolverlo con la tua autorità nel tuo dominio.

Puoi facilmente decrittografare questo errore utilizzando la soluzione WhyNoPadLock di cui sopra. Un altro strumento di scansione del server è Prova SSL Server di "Labs SSL“. È anche gratuito e può darti un sacco di informazioni sulla tua configurazione SSL.

4. CDN non considera SSL

Se sei uno dei tanti utenti di WordPress che utilizzano le reti di distribuzione dei contenuti per velocizzare il loro sito, dovresti assicurarti che il tuo CDN supporti SSL prima di utilizzarlo con il tuo CDN. MaxCDN è un esempio che supporta il protocollo HTTPS. Verificare con il proprio fornitore.

Riassumendo

Se stai utilizzando un sito WordPress che elabora dati sensibili, non dovresti bypassare il protocollo HTTPS. Senza la crittografia del traffico, il rischio che le informazioni dei tuoi clienti vengano intercettate è semplicemente troppo grande.

Oltre ad essere un fornitore di servizi responsabile, il livello aggiuntivo di sicurezza è un vantaggio anche per i motori di ricerca. Quindi, se non lo fai per i tuoi clienti, fallo almeno per le classifiche.

Tuttavia, è importante notare che HTTPS non è l'alfa e l'omega della sicurezza di WordPress. Per mantenere il tuo sito veramente sicuro, sono necessari passaggi aggiuntivi.

Questo articolo contiene i commenti 0

Lascia un commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza Akismet per ridurre indesiderati. Ulteriori informazioni su come vengono utilizzati i dati dei commenti.

Torna in alto
12 azioni
quota9
Tweet
Enregistrer3