Https e certificati SSL WordPress: la guida semplice

A partire da Gennaio 2017, Google Chrome affianca accanto all’url dei siti web che visitiamo la dicitura “ sicuro “ o “ non sicuro”. Sono riconosciuti come sicuri i siti che hanno un certificato SSL, e da tempo sono anche favoriti, seppur in misura minima, nel posizionamento nei risultati di ricerca Google.

Per chi ha un sito WordPress o un sito web in generale, è quindi il momento di adeguarsi.

Cos’è un certificato SSL (e perchè ne serve uno)

SSL è l’acronimo della dicitura inglese Secure Socket Layer, ed indica uno standard sicuro per lo scambio di informazioni tra il server su cui risiedono le pagine web e il browser dell’utente. La comunicazione sito – browser  che avviene tramite protocollo SSL è criptata per proteggere i dati che vengono scambiati: ad esempio per evitare che lo username e la password digitati da un utente per accedere ad un’area riservata siano intercettabili da malintenzionati.

I siti web che già usano lo standard SSL sono riconoscibili, oltre che dalla dicitura introdotta di recente su Chrome, anche dal formato dell’url: l’indirizzo di un sito web che utilizza una connessione sicura inizia per https invece che per http e la s finale indica proprio la presenza di un certificato SSL valido. 

Come aggiungere un certificato SSL

I certificati SSL possono essere gratuiti o a pagamento e perchè funzionino, devono essere configurati sul tuo sito web. Alcuni tra i principali hosting provider per WordPress (Siteground, Bluehost, GoDaddy) forniscono certificato ed installazione a costi contenuti. Tra i provider italiani, Aruba ha deciso di fornire gratuitamente sia il certificato SSL che l’installazione a tutti i suoi utenti che lo richiederanno.

C’è però una differenza tra un certificato gratuito e uno a pagamento e sta nel grado di sicurezza e tutela che viene fornita all’utente. I certificati gratuiti sono emessi da un’ autorità di certificazione(CA) non – profit, garantiscono uno scambio di dati crittografato e validano il dominio. Tuttavia si tratta di una protezione parziale: l’autorità di certificazione non controlla l’effettiva proprietà del dominio e non c’è alcuna protezione dal rischio di phishing. I certificati a pagamento sono emessi da CA riconosciute a livello internazionale e forniscono una tutela completa dalla decriptazione e validano la proprietà del dominio. 

Quale certificato scegliere?

In generale, si può dire che per un blog personale, che non offre la possibilità di acquistare beni o servizi online, una certificazione SSL gratuita è sufficiente, purché si sia consapevoli dei limiti che quest’ultima comporta. Nel caso di siti di commercio online, pagine istituzionali, social network e più in generale quando si raccolgono dati sensibili dei propri utenti invece, è sempre bene ricorrere ad un certificato a pagamento.

Certificati SSL WordPress

Per chi ha un sito WordPress, una volta acquistato e installato il certificato SSL , sono necessari alcuni interventi di configurazione. Niente paura: si può fare tramite plugin! Qui ho provato ad elencarne alcuni tra i più diffusi e validi:

  • Really Simple SSL (gratuito): Leggero e semplice da usare, configura automaticamente le impostazioni necessarie perché tutto il sito funzioni via https.
  • WP Force SSL  (gratuito) : un altro strumento molto semplice da usare,  permette di passare da http ad https con una configurazione veloce e senza necessità di conoscenze tecniche.
  • CM HTTPS pro (a pagamento): uno dei plugin più completi per https, gestisce la configurazione SSL del sito e permette alcune opzioni avanzate. Ad esempio è possibile configurare la connessione sicura solo in alcune parti del sito ed escluderne altre secondo le proprie esigenze particolari.
  • SSL Insecure Content Fixer (gratuito): nel passaggio da http ad https si può andare incontro a problemi di ” contenuto misto”, che si verificano quando un sito richiamato via https presenta contenuti non crittografati. Il contenuto misto riguarda in genere immagini ad altri elementi multimediali, oltre che css e javascript, e può generare, fra le altre cose, errori nella visualizzazione dei contenuti stessi. Le impostazioni base di questo plugin permettono di  risolvere  i principali problemi dovuti al contenuto misto e permette una configurazione più avanzata per risolvere errori particolari.

Ciò da cui un certificato SSL non ti protegge

Avere un certificato SSL, anche a pagamento, non mette automaticamente al riparo da tutti i pericoli del web. Per chi ha un sito WordPress, è comunque importante rispettare alcune regole di base: evitare di scegliere password deboli sia per l’amministratore del sito che per gli utenti, mantenere WP, tema e plugin aggiornati, e proteggere la Bacheca con strumenti adeguati.

Se hai bisogno di una mano per rendere sicuro il tuo sito,  richiedi una consulenza professionale 😉