HTTPS è una buona cosa per WordPress?

HTTPS è una buona cosa per WordPress?

A fine dello scorso anno, come ormai sappiamo, Matt Mullenweg ha annunciato il pieno supporto a nuove funzionalità di WordPress, questo solo ed esclusivamente per chi abbia HTTPS abilitato sul proprio hosting. Al tempo stesso, ha sostenuto la questione anche in ottica marketing, continuando a supportare tra gli hosting per WordPress soltanto quelli che supportano HTTPS, togliendo di mezzo quelli che non lo faranno. Questo elemento è molto importante per l’argomento generale dell’articolo, e pone già una prima suddivisione tra i sostenitori di SSL e chi, invece, è leggermente più scettico sull’effettiva necessità di farne uso in modo massivo (tra cui, come avrete intuito, il sottoscritto).

Se è vero che è da sempre consolidata l’idea che HTTPS sia indispensabile sui siti web di e-commerce, per proteggere i gateway di pagamento (Paypal ed altri) e per evitare attacchi man in the middle durante una connessione tra client e server, l’idea di passare un intero blog in HTTPS sarebbe sembrata assurda a molti di noi. Se pensiamo ad un blog ordinario, ad un sito orientato alle semplici iscrizioni degli utenti (o a qualsiasi altro che non preveda esplicitamente un acquisto), la necessità di SSL / TLS non appare esattamente prioritaria, almeno in un’ottica prettamente tecnico-informatica. I siti che offrono contenuti premium per gli iscritti dovrebbero passare ad HTTPS per la sezione riservata agli iscritti, cosa che in effetti già fanno senza che Google arrivi ad imporlo (con tutta la buonafede del mondo, ma sempre di imposizione si tratta). In generale, nonostante tutto, è prevedibile che i blog ed i quotidiani grossi basati su WordPress passino ad HTTPS, e che tutti gli altri si adeguino, un po’ per ignoranza un po’ perchè “nel dubbio non guasta”.

Resta comunque vero che molti servizi anche non e-commerce, come ad esempio Youtube, da tempo siano passati ad HTTPS con tutti i servizi di Google, principale promotore di questa iniziativa ad oggi: in quel caso, probabilmente, anche per dare un supporto più concreto all’utilizzo delle numerose API che venivano fornite a supporto degi programmatori. A questo si aggiunga l’arrivo imminente, e spesso già fattivo, del protocollo HTTP/2, che molti hosting già supportano (si veda il test che ho fatto a dicembre 2016) spesso in concomitanza esclusiva con l’uso di HTTPS.

WordPress, di suo, non ha fatto altro che unirsi alla maggioranza di persone, appassionati ed esperti del settore che sostenevano con forza che sia arrivato il momento, per il web, di passare in massa ad HTTPS: il tutto, forse, senza il necessario spirito critico. Su un blog ordinario, ad esempio, sulle pagine dei post è quasi sempre – direi – presente il modulo dei commenti, che da sempre costituisce un potenziale end-point molto sfruttabile per attacchi di hacking, per code injection e per semplice spam. Usando HTTPS, in effetti, si può limitare l’utilizzo di questo componente, e rendere effettivamente più sicuri soprattutto i blog poco seguiti o abbandonati (che tuttavia avranno ben poco interesse a passare ad HTTPS, in media). Inoltre, l’uso di un certificato su un sito farà in modo che i visitatori siano sicuri di aver visitato quello giusto, limitando peraltro i potenziali casi di siti che copiavano interamente i nostri contenuti inserendoci i propri annunci (una cosa molto di moda fino a qualche anno fa, e chiunque si occupi di SEO dovrebbe ricordarselo). In linea di massima, a me sembra decisamente più ragionevole imporre semmai l’uso di HTTPS sulle pagine di login /wp-login.php e /wp-admin, dove realmente può evitare problemi seri ed eventuali furti e/o sottrazioni di password.

Se è vero, quindi, che HTTPS su un blog WordPress può risolvere un bel po’ di problemi (il modulo dei commenti, a meno di disabilitarlo del tutto o usare Disqus o simili, è sempre stato un punto di debolezza per i siti) rischia di introdurne altrettanti: ad esempio, non tutti saranno davvero in grado di effettuare un redirect 301 dalle pagine in archivio con HTTP in chiaro a quelle HTTPS. Ed i danni, in questi caso, sono quasi più gravi dei problemi che dovrebbero aver risolto.

(fonte: WordPress official blog, TheWhir)

Ti piace questo articolo?

1 voto

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

HTTPS è una buona cosa per WordPress?

Votato 10 / 10, da 1 utenti

Vedi anche nella sezione Guide WordPress :