Archivio Tag: SSL

Certificati SSL: non ti puoi più permettere di avere un sito in HTTP, è Google che lo vuole!

Http sito non sicuro senza certificato SSL

La versione 68 del browser Chrome, rilasciata il 24 luglio scorso, inasprisce la guerra di Google ai siti non sicuri, ovvero all’utilizzo dei certificati SSL nei siti web.

Prima di questa versione, l’avviso “non sicuro” appariva solo nelle pagine con moduli di inserimento dati, come contatti o pagamento. Nel resto del sito veniva mostrato il classico avviso della “i” cerchiata in grigio, al posto del lucchettino verde che caratterizza i siti “in regola” con il certificato SSL.

Da Chrome 68, invece, in tutti i siti che girano in HTTP, qualunque sia la pagina aperta, appare perentorio l’avviso “non sicuro”.

In ottobre 2018, inoltre, le misure di Chrome contro i siti “non sicuri” si inaspriranno.

Inutile dirti che, se il tuo sito gira ancora in HTTP, è meglio che ti adegui in fretta.

Come passare da HTTP a HTTPS e vivere felici, senza Mixed Content.

Il passaggio di un sito da HTTP a HTTPS è il giochino del momento, tutti sono alla ricerca del mitico lucchettino verde per paura di penalizzazioni da parte di Google, e per infondere maggior fiducia ai propri visitatori e clienti.

Per passare ad HTTPS è necessario dotarsi di un certificato SSL, e questa è un’operazione molto semplice, in quanto molti hosting si sono attrezzati per offrirli, sia gratuitamente che a pagamento, e mettono a disposizione procedure più o meno semplici per l’attivazione.

A questo punto è possibile caricare il sito con https, ma spesso succede che il lucchettino diventa verde solo per pochi secondi, poi ritorna tutto grigio.

In genere è un problema di “mixed content”, ovvero di contenuti misti https e http nelle pagine del sito, come immagini e link interni.

Vediamo come risolvere il problema dei mixed content. Continua a Leggere →

I siti non sicuri secondo Google, se ne parla sulla Newsletter.

Newsletter WordPress e WooCommerce

Ultimo comandamento di Goole: tutti i siti devono andare in HTTPS.

Nella newsletter di ieri abbiamo cominciato ad affrontare la questione dei siti non sicuri, quelli senza il lucchettino verde per capirci, che Google a quanto pare ha deciso di mettere alla gogna.

Se ne discute in rete, e sembra proprio che dalla versione 56 di Chrome, prevista alla fine di gennaio, i siti sprovvisti di un certificato SSL valido (ovvero i siti il cui indirizzo comincia per http e non https), si ritroveranno a fianco dell’URL una bella dicitura “NON SICURO”, bene evidenziata in rosso.

Una gogna vera e propria, per certi aspetti, considerando la diffusione di Google Chrome, e chissà se gli altri browser seguiranno l’esempio, ma a prescindere da questo mettere il proprio sito in sicurezza è comunque importante.

Il problema, ormai, è per chi il lucchettino verde non ce l’ha. Continua a Leggere →

L’amministrazione di WordPress in sicurezza con SSL

Sicurezza di WordPress

Sarebbe buona regola proteggere tutte quelle parti di un blog/sito in cui è richiesta una registrazione. Una di queste protezioni è l’utilizzo di SSL. Poi c’è chi, come il sottoscritto, predica bene e razzola male. Ma sto rimediando… 😉

Se un servizio di SSL è attivo sul server web, esempio OpenSSL che è il più diffuso con Apache, è possibile effettuare una piccola modifica a WordPress affinché la pagina di login o tutte le pagine dell’amministrazione del blog siano costrette ad usare il servizio SSL disponibile.

Tutto questo, si intende, dopo aver  installato un certificato SSL valido, acquistato o autoprodotto che sia. Se non lo avete, una facile ricerca su San Google sarà di grande aiuto.

Occorre modificare il file di configurazione di WordPress (wp-config.php) aggiungendo una di queste due istruzioni:

define('FORCE_SSL_LOGIN', true);

define('FORCE_SSL_ADMIN', true);

La prima forza l’uso di SSL solo per la pagina di login. La seconda per tutta la parte amministrativa del blog.

La seconda è da preferire, a mio avviso.

Se il blog si appoggia ad un pannello di controllo come Plesk, e nella configurazione del dominio se le pagine SSL e non fanno riferimento allo stesso percorso, probabilmente non ci sarà bisogno di fare niente altro (il condizionale è d’obbligo perché il pannello di controllo e le funzioni rese disponibili agli utenti potrebbero essere personalizzate).

Se invece ci si appoggia ad un Apache nudo e crudo, dando per scontato che OpenSSL sia installato come di solito è occorrerà predisporre opportunamente delle regole di rewrite nel file di configurazione del virtualhost o nel file .htaccess, affinché le pagine di amministrazione (/wp-login.php e tutto il percorso /wp-admin/*) vengano rimandate dal normale http:// a https://.

Un po’ come succede se provate ad accedere alla pagina di login di questo blog: https://robrota.com/wp-login.php

Altre informazioni, compresi alcuni esempi di regole di rewrite, li trovate in questa pagina dei codex di WordPress.

Ciao, come posso aiutarti?
Powered by