Vedere l'avviso "Non sicuro" apparire sul proprio sito web è un'esperienza spaventosa. Quando è successo a uno dei miei siti WordPress, per un minuto ho pensato che il mio sito fosse stato hackerato.
Tuttavia, quel sito era troppo vecchio e avevo dimenticato di spostarlo su una connessione HTTPS sicura, che ora è un requisito standard per tutti i browser.
Fortunatamente, correggere questo avviso "Non sicuro" è in realtà piuttosto semplice.
In questa guida, ti guiderò attraverso i semplici passaggi per riavere quell'icona del lucchetto rassicurante e assicurarti che il tuo sito sia sicuro per tutti.
Perché Google mostra "Non sicuro" sul tuo sito web?
Quando vedo l'avviso "Non sicuro" apparire su un sito, so che di solito significa una cosa: il sito non è completamente crittografato. Google mostra questo avviso quando un sito web non utilizza HTTPS o c'è qualcosa che non va nel suo certificato SSL.
Per riferimento, HTTPS (Hypertext Transfer Protocol Secure) è la versione sicura di HTTP. Utilizza qualcosa chiamato certificato SSL/TLS per crittografare la connessione tra il tuo sito web e i tuoi visitatori.
Lascia che ti guidi attraverso le quattro ragioni più comuni per cui ho visto apparire questo avviso sui siti web WordPress:
- Il tuo sito web non ha un certificato SSL. I certificati SSL crittografano la connessione tra il tuo sito web e i visitatori. Senza uno, i browser presumono che il tuo sito non sia sicuro perché qualsiasi dato inserito dalle persone, come i dettagli personali, potrebbe essere intercettato. Questa è la ragione più comune per l'avviso.
- Il tuo certificato SSL è scaduto o non valido. Un certificato SSL può essere installato, ma potrebbe essere scaduto o potrebbe non essere stato configurato correttamente. Questa è una delle prime cose che controllo. Di solito puoi individuare questo problema SSL facendo clic sull'icona del lucchetto nella barra degli indirizzi del tuo browser.
- Il tuo sito web ha problemi di contenuto misto. Anche con un certificato SSL valido, il tuo sito può ancora apparire come "Non sicuro" se carica contenuti (come immagini o script) tramite HTTP. Ciò accade spesso quando un sito viene spostato su HTTPS, ma i vecchi collegamenti non vengono aggiornati.
- Il tuo sito ha URL HTTP nelle impostazioni di WordPress. Verifico sempre l'Indirizzo di WordPress e l'Indirizzo del sito in Impostazioni » Generali. Se questi sono ancora impostati su HTTP, il tuo sito potrebbe continuare a generare avvisi di sicurezza anche se SSL funziona correttamente.
Now that I’ve covered what causes the “Not Secure” warning, let’s take a look at how to fix it and prevent it from coming back.
How to Fix the “Not Secure” Warning in Google Chrome
La correzione dell'avviso 'Non sicuro' prevede quattro passaggi chiave: installare un certificato SSL, aggiornare gli URL di WordPress, correggere gli errori di contenuto misto e reindirizzare tutto il traffico da HTTP a HTTPS.
Fortunatamente, la soluzione di solito non è complicata. Nella maggior parte dei casi, si tratta di abilitare un certificato SSL, aggiornare alcune impostazioni di WordPress o correggere quello che è noto come contenuto misto.
Ho seguito questo processo di risoluzione dei problemi su decine di siti, sia miei che di altri, e ti mostrerò esattamente cosa fare per proteggere il tuo sito e liberarti di quell'avviso una volta per tutte.
Ecco i passaggi che tratterò:
- Passaggio 1. Ottieni un certificato SSL gratuito per il tuo sito web
- Passaggio 2. Aggiorna gli URL di WordPress per utilizzare HTTPS
- Passaggio 3. Correggi i problemi di contenuto misto in WordPress
- Passaggio 4. Imposta un reindirizzamento da HTTP a HTTPS in WordPress
- Passaggio 5. Testa la configurazione SSL per problemi di sicurezza
- Domande frequenti su SSL ed errori di WordPress
- Risorse bonus per la sicurezza di WordPress
Passaggio 1. Ottieni un certificato SSL gratuito per il tuo sito web
La prima cosa che faccio quando correggo un avviso "Non sicuro" è verificare se è installato un certificato SSL. Questa piccola tecnologia di sicurezza crittografa i dati tra il tuo sito web e i visitatori, ed è ciò che abilita HTTPS.
Anni fa, i certificati SSL potevano essere costosi. Alcune aziende addebitano ancora un sovrapprezzo, ma la buona notizia è che non devi pagarne uno, soprattutto se sei solo all'inizio.
La maggior parte dei provider di hosting WordPress ora offre certificati SSL gratuiti con i loro piani. Ho utilizzato questa opzione su decine di siti web e, nella maggior parte dei casi, abilitarla richiede solo un paio di clic dalla dashboard di hosting.
Se stai usando Bluehost, accedi semplicemente al tuo account e vai alle impostazioni del tuo sito web. Quindi fai clic sulla scheda 'Sicurezza'.
Da lì, vedrai l'opzione per abilitare il certificato SSL gratuito. Basta attivarla e sei pronto.
Nota: Il processo è simile per altri host. Se stai utilizzando un provider diverso, l'impostazione SSL si trova quasi sempre nella sezione di sicurezza della dashboard di hosting.
Per gli host che utilizzano cPanel, dovrai avviarlo dalla tua dashboard di hosting. Scorri verso il basso fino alla scheda 'Sicurezza' e fai clic sull'icona SSL/TLS.
E se il tuo host non offre SSL gratuito, non preoccuparti: puoi comunque ottenerne uno tramite Let’s Encrypt.
Abbiamo un tutorial dettagliato che ti mostra esattamente come fare: Come aggiungere SSL gratuito in WordPress con Let’s Encrypt.
Passaggio 2. Aggiorna gli URL di WordPress per utilizzare HTTPS
Anche con un certificato SSL, il tuo sito potrebbe ancora caricarsi come 'Non sicuro' se le impostazioni di WordPress sono errate. Puoi risolvere questo problema aggiornando l'URL del tuo sito.
Vai semplicemente alla pagina Impostazioni » Generali nella tua dashboard di WordPress.
Quindi, assicurati che entrambi i campi 'Indirizzo WordPress (URL)' e 'Indirizzo sito (URL)' utilizzino https:// invece di http://.
Non dimenticare di fare clic sul pulsante 'Salva Modifiche' per memorizzare le tue impostazioni.
WordPress inizierà ora a utilizzare https:// per tutti gli URL del tuo sito web. Tuttavia, alcuni URL HTTP potrebbero essere ancora memorizzati nel tuo database WordPress, il che potrebbe causare problemi in futuro.
Successivamente, ti mostrerò come correggere facilmente questi URL.
Passaggio 3. Correggi i problemi di contenuto misto in WordPress
Importante: Prima di apportare qualsiasi modifica al tuo database, ti consiglio vivamente di creare un backup completo del tuo sito WordPress. Un plugin come Duplicator semplifica questo processo e fornisce una rete di sicurezza in caso qualcosa vada storto.
Un motivo per l'avviso 'Non sicuro' sono i problemi di contenuto misto. Ciò accade quando alcune parti del tuo sito web vengono caricate utilizzando un URL HTTP (insicuro).
Quasi tutti questi URL sono memorizzati nel tuo database WordPress e aggiunti dal tuo tema o dai tuoi plugin WordPress. Potresti anche avere URL http:// nei tuoi post e nelle tue pagine del blog.
Per risolvere questo problema, avrai bisogno di un plugin di ricerca e sostituzione per trovare gli URL http e sostituirli con https://. Il miglior plugin per questo compito è Cerca e Sostituisci Tutto.
Utilizzo Search and Replace Everything perché è veloce, efficiente e sviluppato dal team di WPCode, gli stessi esperti dietro il plugin di snippet di codice più popolare per WordPress. Ancora più importante, è super facile da usare anche per i principianti.
Suggerimento💡: Esiste anche una versione gratuita di Cerca e Sostituisci Tutto che puoi utilizzare.
Innanzitutto, devi installare e attivare il plugin Search and Replace Everything. Per maggiori dettagli, puoi consultare questa guida su come installare i plugin di WordPress.
Dopo l'attivazione del plugin, vai alla pagina Strumenti » Cerca e Sostituisci per iniziare a utilizzare il plugin.
Nel campo 'Cerca', devi inserire http:// e nel campo 'Sostituisci con', aggiungi https://.
Dopodiché, devi fare clic su ‘Seleziona tutto’ per assicurarti che tutte le tabelle nel tuo database WordPress siano incluse nella ricerca.
Infine, fai clic sul pulsante ‘Anteprima ricerca e sostituzione’.
Il plugin eseguirà quindi la ricerca e ti mostrerà un'anteprima dei risultati. Questo ti permette di rivedere i dati prima che vengano modificati in modo permanente.
Rivedi attentamente i risultati e, una volta soddisfatto, fai clic sul pulsante ‘Sostituisci tutto’.
Il plugin apporterà quindi le modifiche al tuo database WordPress e sostituirà tutti gli URL HTTP con HTTPS.
Per maggiori dettagli, consulta questa guida su come correggere l'errore di contenuto misto in WordPress.
Passaggio 4. Imposta un reindirizzamento da HTTP a HTTPS in WordPress
Dopo aver spostato un sito su HTTPS, uno dei passaggi che non salto mai è la configurazione di un reindirizzamento da HTTP a HTTPS. Senza di esso, le persone potrebbero ancora finire sulla versione insicura del tuo sito tramite vecchi link o segnalibri.
Importante: La modifica dei file di configurazione del server come .htaccess può causare problemi al tuo sito se eseguita in modo errato. Prima di procedere, effettuo sempre un backup completo del sito web con un plugin come Duplicator. Per un'alternativa più sicura, il plugin All in One SEO include un potente Redirection Manager che ti permette di impostare reindirizzamenti dalla tua dashboard di WordPress senza toccare alcun codice.
Il modo più affidabile per creare un reindirizzamento è aggiungere una regola al tuo file .htaccess.
Ecco lo snippet che utilizzo sulla maggior parte dei siti web WordPress:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Il file .htaccess si trova nella cartella principale del tuo sito. Potrebbe essere necessario abilitare 'Mostra file nascosti' nel tuo file manager di hosting o client FTP per vederlo.
Per maggiori dettagli, consulta questa guida su come correggere il file .htaccess di WordPress.
Se il tuo sito web è in esecuzione su Nginx invece che su Apache, dovrai configurare il reindirizzamento in modo diverso.
Invece di modificare un file .htaccess, dovrai aggiornare la tua configurazione Nginx.
Ecco il codice che aggiungerei per reindirizzare tutto il traffico HTTP a HTTPS in Nginx:
server {
listen 80;
server_name yoursite.com www.yoursite.com;
return 301 https://yoursite.com$request_uri;
}
Vorrai posizionare questo blocco sopra il blocco server HTTPS esistente nel file di configurazione Nginx del tuo sito, solitamente trovato in /etc/nginx/sites-available/ o /etc/nginx/conf.d/.
Importante: Ricorda di sostituire 'tuosito.com' nel codice sopra con il nome effettivo del tuo dominio.
Una volta aggiunto il reindirizzamento, non dimenticare di ricaricare Nginx affinché le modifiche abbiano effetto:
sudo nginx -s reload
Se non sei sicuro di dove apportare la modifica, è una buona idea contattare il tuo provider di hosting.
Passaggio 5. Testa la configurazione SSL per problemi di sicurezza
Dopo aver apportato queste modifiche, dovresti testare il tuo sito web per assicurarti che tutto funzioni correttamente.
Puoi utilizzare SSL Labs SSL Test per verificare il tuo certificato. Fornisce un'analisi tecnica approfondita e un voto (da A+ a F) per la tua configurazione SSL, il che è ottimo per un controllo completo.
Un altro strumento alternativo che ho usato spesso è Why No Padlock? Mi piace perché fornisce un report semplice e facile da capire, perfetto per identificare rapidamente eventuali problemi di contenuto misto rimanenti.
Infine, prova a visitare il tuo sito in modalità di navigazione in incognito. Se vedi ancora l'avviso "Non sicuro", devi svuotare la cache di WordPress o attendere qualche minuto affinché le modifiche abbiano effetto.
Domande frequenti su SSL ed errori di WordPress
Quanto costa un certificato SSL?
Mentre alcuni provider li fanno pagare, puoi ottenere un certificato SSL gratuito. La maggior parte delle principali società di hosting WordPress ne include uno gratuitamente con i loro piani. Puoi anche ottenere un SSL gratuito da autorità di certificazione no-profit come Let’s Encrypt.
Posso ignorare l'avviso 'Non sicuro' sul mio sito web?
Ignorare l'avviso 'Non sicuro' non è raccomandato. Erode la fiducia dei visitatori, il che può portare a tassi di rimbalzo più elevati e a vendite perse. Anche i motori di ricerca come Google utilizzano HTTPS come segnale di ranking, quindi non averlo può influire negativamente sul tuo SEO.
Quanto tempo ci vuole per risolvere l'avviso 'Non sicuro'?
Per la maggior parte dei siti WordPress, puoi risolvere l'avviso 'Non sicuro' in meno di 30 minuti. Il processo prevede l'abilitazione del certificato SSL tramite il tuo host, l'aggiornamento degli URL nelle impostazioni di WordPress e l'impostazione di un reindirizzamento. L'utilizzo di un plugin può accelerare il processo di correzione dei vecchi link HTTP nel tuo contenuto.
Risorse bonus per la sicurezza di WordPress
Seguo questa guida alla sicurezza di WordPress su tutti i siti web su cui lavoro. Questa guida passo dopo passo offre un piano d'azione semplice per proteggere correttamente il tuo sito web WordPress.
Di seguito sono riportate alcune risorse aggiuntive che ritengo troverai utili:
- Come rinnovare il certificato SSL (passo dopo passo per principianti)
- TLS vs SSL: quale protocollo dovresti usare per WordPress?
- Suggerimenti per la sicurezza dell'e-commerce: come proteggere il tuo negozio WordPress
- Come aggiungere intestazioni di sicurezza HTTP in WordPress (Guida per principianti)
- Errori più comuni di WordPress e come risolverli
Se ti è piaciuto questo articolo, iscriviti al nostro canale YouTube per tutorial video su WordPress. Puoi anche trovarci su Twitter e Facebook.
Hai una domanda o un suggerimento? Lascia un commento per iniziare la discussione.