Come aggiungere HTTPS a WordPress

Come aggiungere HTTPS a WordPress

Se utilizzi WordPress per il tuo sito web e vorresti configurare HTTPS nel suo indirizzo (in modo da avere https://tuosito.it invece di http://tuosito.it), avrai bisogno di effettuare la configurazione del tuo hosting per fare uso di un certificato SSL. Devi sapere che ci sono molti certificati che puoi scegliere, e che sono stati descritti in un articolo a parte di questo sito, ma in generale la configurazione di base è piuttosto semplice e non richiede passaggi difficili.

La prima cosa da tenere in considerazione è che in generale un certificato HTTPS può avere un costo: per ottenere un certificato SSL che sia valido è anche possibile sfruttare soluzioni gratuite come Let’s Encrypt (va bene solo per siti no profit), ma in linea di massima può essere necessario sfruttare un servizio a pagamento annuale che la maggiorparte degli hosting forniscono (Keliweb, GoDaddy, Namecheap e molti altri tipi di hosting offrono questo servizio a canone annuale: di solito lo vendono assieme ad un hosting dedicato, ma è solitamente possibile selezionare solo il certificato – e spendere qualcosa di meno).

La seconda cosa che bisogna fare, a questo punto, per poter configurare il proprio sito con il protocollo HTTPS è quella di cambiare l’URL di base del sito, facendo login come amministratori ed andando a cliccare su Impostazioni e poi su Generali. Da qui, per i due campi Indirizzo WordPress (URL) e Indirizzo sito (URL), sarà necessario aggiungere una ‘s’ alla fine di http, ed ottenere un indirizzo del sito replicato nelle due caselle quale https://tuosito.it, come ho fatto nell’esempio riportato in basso:

Ovviamente tali modifiche vanno confermate scorrendo in basso la pagina e facendo click sul bottone “Salva le modifiche“; questo è soltanto il primo passo per la configurazione di HTTPS in WordPress, perchè ne è necessario uno successivo che bisognerà effettuare modificando il file htaccess del sito web che stiamo configurando.

Mediante FTP, in pratica, si va nella root (o cartella base) del nostro sito (ad esempio /www) e si modifica il file in remoto .htaccess (il . davanti indica che si tratta di un file nascosto), inserendo la configurazione seguente:

< IfModule mod_rewrite.c >
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.tuosito.it/$1 [R,L]
< /IfModule >

Ovviamente tuosito.it andrà sostituito in tutti gli esempi con l’indirizzo del vostro sito web, e questo tipo di configurazione va bene nel 90% dei casi, quando i siti web in WP usano Apache. Ricordatevi che questo tipo di configurazione andrà eventualmente amalgamata con quelle che siano eventualmente già presenti per il vostro sito, integrando le modifiche con eventuali configurazioni pre-esistenti. Se non lo farete correttamente il vostro sito non funzionerà più (nel 70% dei casi pratici, di fatto, non si riesce a configurare il file .htaccess mediante un semplice copia-incolla).

Usando server NGINX, in alternativa, la configurazione equivalente per passare da HTTP ad HTTPS sarà su questa falsariga:

server {
server_name tuosito.it www.tuosito.it
return 301 https://tuosito.it$request_uri
}

Questo tipo di configurazione permette di passare ad HTTPS su tutte le pagine del vostro sito, ed è in linea apparentemente con le indicazioni per i SEO che secondo Google rendono un fattore di ranking SSL stesso. Su questo mi sono sempre permesso di avere dei dubbi (che in generale vi possa essere stato un fraintendimento generale), perchè dal mio punto di vista ha più senso utilizzare HTTPS solo all’interno delle pagine su cui vanno a finire dati sensibili come avviene nelle pagine di login. Se volete configurare HTTPS sulle pagine di login c’è un passo aggiuntivo da compiere, che consiste in una modifica del file wp-config.php.

La direttiva da aggiungere a fine di questo file, sia per siti WordPress singoli che per multi-siti, editandolo via FTP:

define('FORCE_SSL_ADMIN', true);

Tenete conto che passare ad HTTPS su un sito è in generale una modifica drastica alla configurazione che Google, ad esempio, potrebbe non recepire correttamente: la cosa importante in questi casi è che i precedenti risultati (quelli già indicizzati sul motore di ricerca) siano correttamente “informati” della modifica, e questo può avvenire tipicamente mediante un redirect 301. La modifica al file .htaccess / NGINX che abbiamo visto, in effetti, serve a venire incontro esattamente a questo genere di necessità.

Se avete eseguito correttamente tutti i passi indicati, browser come Chrome e Firefox indicheranno chiaramente nella barra degli indirizzi che il vostro sito è protetto da HTTPS. Se aveste difficoltà ad eseguire questi passi vi suggerisco di affidarvi alla consulenza di un esperto del settore o di personale qualificato.

Photo by Sean MacEntee

Valutazioni utenti

5 / 5 ( 100% )

4 voti