Come passare da HTTP a HTTPS e vivere felici, senza Mixed Content.

Il passaggio di un sito da HTTP a HTTPS è il giochino del momento, tutti sono alla ricerca del mitico lucchettino verde per paura di penalizzazioni da parte di Google, e per infondere maggior fiducia ai propri visitatori e clienti.

Per passare ad HTTPS è necessario dotarsi di un certificato SSL, e questa è un’operazione molto semplice, in quanto molti hosting si sono attrezzati per offrirli, sia gratuitamente che a pagamento, e mettono a disposizione procedure più o meno semplici per l’attivazione.

A questo punto è possibile caricare il sito con https, ma spesso succede che il lucchettino diventa verde solo per pochi secondi, poi ritorna tutto grigio.

In genere è un problema di “mixed content”, ovvero di contenuti misti https e http nelle pagine del sito, come immagini e link interni.

Vediamo come risolvere il problema dei mixed content.

Installare un certificato SSL

Come già evidenziato, questa è un’operazione molto semplice presso sempre più hosting.

Nel pannello di controllo di hosting come OVH e Siteground si possono trovare certificati SSL gratuiti, tipo quelli di Let’s Encrypt, o in alternativa certificati professionali a pagamento, in entrambi i casi l’attivazione richiede pochi click.

In altri casi, invece, è necessario procurarsi il certificato da soli e installarlo tramite le opzioni previste nei pannelli di controllo tipo Plesk o cPanel, qui magari la faccenda si complica un pochetto se non si è molto pratici.

Certificati SSL gratuiti o a pagamento?

Per come la vedo io, dipende solo dalla tipologia di sito che li andrà ad utilizzare.

Inoltre, trovo spropositato il prezzo che alcuni enti applicano ai loro certificati, e il ricarico che molti hosting applicano.

I certificati SSL gratuiti di Let’s Encrypt, ente no profit, sono validi e assolvono il loro compito egregiamente nella maggior parte dei casi, dai blog ai siti aziendali ed e-commerce.

I certificati a pagamento arrivano a certificare il proprietario del dominio, e questo può essere una maggiore garanzia per taluni siti. La differenza la si può notare in alcuni siti, come Paypal ed alcune banche ad esempio, dove vicino al lucchetto verde, al posto del classico “Sicuro”, appare il nome dell’azienda proprietaria del sito.

Se non sei un istituto di credito, vai tranquillo con un certificato gratuito Let’s Encrypt. A cambiare, nel caso, sei sempre in tempo.

HTTPS e mixed content

Come accennavo all’inizio, i contenuti misti sono il classico problema che quasi tutti si ritrovano dopo aver passato il sito ad HTTPS.

I browser non gradiscono questa situazione, la ritengono insicura e ti avvisano, negandoti il tanto agognato lucchettino verde.

Per risolvere, bisogna cambiare nel database i link interni del sito (e solo quelli interni, che puntano allo stesso sito) da http:// a https://.

Si può lavorare direttamente nel database, facendo un cerca e sostituisci, ma bisogna fare molta attenzione ai campi serializzati che potrebbero creare problemi.

Altrimenti ci sono dei plugin che vengono in aiuto, come SSL Insecure Content Fixer.

Non sono plugin facili, ed effettuano operazioni molto delicate, occorre prestare molta attenzione alle indicazioni e, nel dubbio, lasciar fare a qualcuno che ci capisca qualcosa.

In qualsiasi caso, prima di metterci mano, è importantissimo fare un backup del database!

Accorgimenti finali per vivere felici con HTTPS

Quando il sito finalmente si è guadagnato il suo bel lucchettino verde, bisogna preoccuparsi anche degli effetti collaterali sui motori di ricerca, per la SEO.

Con una semplice indicazione nel file .htaccess, si forzano i visitatori ad usare la versione https del sito (sostituire www.nomesito.it con il dominio corretto), facendo un bel redirect di tutte le richieste:

RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.nomesito.it/$1 [R=301,L]

È utile anche indicare a WordPress di forzare i login e la bacheca in HTTPS, aggiungendo questa istruzione nel file wp-config.php:

define('FORCE_SSL_ADMIN', true);

Infine è pure il caso di informare della nuova situazione i vari tools esterni utilizzati, specie quelli legati alla SEO come Analytics e Search Console.

Conclusioni

Questa, se vogliamo, potrebbe essere la versione breve di una guida al passaggio ad HTTPS su WordPress, e già così il grosso è fatto.

Volendo ci sono anche altre cose da valutare, ma sono cose per gli addetti ai lavori, che richiedono valutazioni ponderate sito per sito.

Tu hai già passato il tuo sito in HTTPS?

Se non lo hai ancora fatto, per paura di fare danni, o se hai qualche problema, contattami se ti serve assistenza, anche solo per una valutazione o un consiglio..

Tags: , , , , ,

9 Risposte a “Come passare da HTTP a HTTPS e vivere felici, senza Mixed Content.”

  1. Andreandrea 13 Feb 2017 at 17:03 #

    Ciao Roberto, come sempre il migliore, stavo effettuando alcuni test, ma purtroppo ho riscontrato un problema, quando vado ad aggiungere le tre righe di codice al file .htaccess, il sito non si cari più o per meglio dire, si carica, ma senza i CSS.
    All’interno del file, ho solamente le righe di codice di default di WP, nient’altro….
    Hai qualche idea in merito?

    • Roberto Rota 13 Feb 2017 at 22:18 #

      Ciao Andrea,

      hai guardato sul codice della pagina come mai non carica gli stili?

      Senza vedere niente è difficile fare ipotesi.

      rob

  2. Luca 27 Feb 2017 at 19:45 #

    Buona sera Roberto,

    cercando il plugin che suggerisci, ho trovato questo: .

    Sembra funzionare bene e non richiedere particolari lavori di settaggio.

    Te lo segnalo nel caso potesse tornarti utile e per chiedere, nel caso lo conoscessi, se ci sono controindicazioni al suo uso.

    Grazie mille per il contributo che dai con i tuoi articoli!


    Luca.

  3. Luca 27 Feb 2017 at 19:47 #

    Commento il mio post perché sembra che il link sia stato rimosso, non so se è solo per la fase di moderazione.

    Ad ogni modo il plugin è: “Really Simple SSL” v. 2.5.7 e l’autore è Rogier Lankhorst.

    Un cordiale saluto,


    Luca.

    • Roberto Rota 27 Feb 2017 at 19:49 #

      Ciao Luca, lo avevo trovato tempo addietro e su qualche sito mi aveva dato dei problemi, tanto che l’ho messo da parte.

      Però era diverso tempo fa, magari è migliorato nel frattempo.

      Grazie del feedback, lo proverò sicuramente.

      Roberto

  4. Francesco d'Elia 18 Mar 2017 at 13:32 #

    Really Simple SSL lo sto usando ma teniamo presente che non cambia i links in https ma fa un redirect che funziona benissimo. Prima attivi l’SSL, poi se ne hai voglia ti editi i links a mano..:-)

    • Roberto Rota 18 Mar 2017 at 13:51 #

      Pigrone, installare un plugin per cose che si possono fare a mano… 😉

      • Francesco d'Elia 18 Mar 2017 at 13:54 #

        Zitto va. Che ci ho messo due giorni a migrare i links di un sito in cinque lingue con 600 immagini..:-)

Dubbi o suggerimenti? Lascia un commento!

I love Instagram