So quanto può essere frustrante quando si visita il proprio sito web e si vede una grande attenzione “Non sicuro” nel browser. Si ha l’impressione che qualcosa sia rotto e, peggio ancora, che lo vedano anche i vostri visitatori. 😬
Quel piccolo messaggio può spaventare le persone prima ancora che abbiano avuto la possibilità di dare un’occhiata. Potrebbero andarsene senza leggere una parola, compilare un modulo o fare un acquisto.
Google mostra questa attenzione quando il sito non ha un certificato SSL. Ciò significa che il sito non utilizza l’HTTPS e il browser informa i visitatori che la connessione potrebbe non essere privata.
Fortunatamente, la correzione è semplice e vi guiderò passo dopo passo. Ho usato lo stesso procedimento sui miei siti web e ho aiutato innumerevoli altri a fare lo stesso con WordPress.
🌟Consiglio dell’esperto: Non siete sicuri di correggere gli errori da soli? Perché non lasciare il compito ai professionisti?
Il team di WPBeginner offre servizi di assistenza WordPress d’emergenza, disponibili 24 ore su 24, 7 giorni su 7. Possiamo correggere qualsiasi cosa, dagli errori SSL ai problemi con i plugin, a prezzi accessibili per le piccole imprese e i proprietari di siti web.
Perché Google mostra “Non sicuro” sul vostro sito web?
Quando vedo apparire l’attenzione “Non sicuro” su un sito, so che di solito significa una cosa: il sito non è completamente crittografato. Google mostra questa attenzione quando un sito web non utilizza l’HTTPS o c’è qualcosa che non va nel suo certificato SSL.
Per referer, HTTPS (Hypertext Transfer Protocol Secure) è la versione sicura di HTTP. Utilizza un certificato chiamato SSL/TLS per crittografare la connessione tra il sito web e i visitatori.
E il messaggio di Google “Non è sicuro” non è solo un’attenzione minore che si può ignorare. La maggior parte dei visitatori non rimane nei paraggi quando vede quell’avviso. Segnala una mancanza di fiducia, che si ripercuote su tutto, dalle conversioni alle classifiche di ricerca.
Vi illustro i quattro motivi più comuni per cui ho visto comparire questa attenzione sui siti web WordPress.
1. Il sito web non ha un certificato SSL
I certificati SSL criptano la connessione tra il sito web e i visitatori. Senza di esso, i browser pensano che il vostro sito non sia sicuro, perché tecnicamente lo è. Qualsiasi dato inserito sul sito, come i dati personali o della carta di credito, potrebbe essere intercettato.
Ecco perché Chrome e altri browser mostrano l’attenzione “Non sicuro” per i siti che utilizzano ancora il protocollo HTTP. Ho visto che questo accade a siti nuovi di zecca in cui l’SSL non era ancora abilitato, o anche a siti più vecchi in cui non è mai stato installato.
2. Il certificato SSL è in scadenza o non valido
A volte il certificato SSL c’è, ma è in scadenza o non è stato installato correttamente. Questa è una delle prime cose che verifico quando qualcuno mi chiede perché il suo sito mostra improvvisamente un’attenzione.
Di solito è possibile individuare questo problema SSL facendo clic sul lucchetto (o sul lucchetto mancante) nella barra degli indirizzi del browser.
Se c’è un problema, il vostro fornitore di hosting dovrebbe essere in grado di aiutarvi a rinnovare o reinstallare il certificato.
3. Il sito web presenta problemi di contenuto misto
Anche con un valido certificato SSL, il sito può ancora essere visualizzato come “Non sicuro” se sta caricando alcuni contenuti su HTTP. Mi è capitato spesso che le persone passassero il sito all’HTTPS, ma dimenticassero di aggiornare i vecchi link a immagini, script o fogli di stile.
Questo è noto come contenuto misto e ai browser non piace. La correzione è semplice: basta aggiornare tutti gli URL non sicuri in modo che tutto venga caricato su HTTPS. Più avanti in questo tutorial vi mostrerò come fare.
4. Il sito ha URL HTTP nelle impostazioni di WordPress
Un’altra cosa che controllo sempre due volte è l’impostazione dell’URL del sito all’interno di WordPress. Se l’indirizzo di WordPress o l’indirizzo del sito sono ancora impostati su HTTP, il sito potrebbe continuare a far scattare gli avvisi di sicurezza anche se l’SSL funziona bene.
È possibile trovare queste impostazioni andando su Impostazioni ” Generali nella Bacheca di WordPress. Quindi, modificate entrambi gli URL in modo che utilizzino HTTPS per garantire che ogni pagina venga caricata in modo sicuro. Vi mostrerò come fare in seguito.
Dopo aver coperto le cause dell’attenzione “Non sicuro”, vediamo come correggerla e come evitare che si ripresenti.
Come correggere l’attenzione “Non sicuro” in Google Chrome
Vedere l’attenzione “Non sicuro” sul proprio sito può essere frustrante. Volete che i vostri visitatori si sentano sicuri, non accolti da un’etichetta di attenzione.
Fortunatamente, la correzione di solito non è complicata. Nella maggior parte dei casi, si tratta di abilitare un certificato SSL, aggiornare alcune impostazioni di WordPress o pulire il cosiddetto contenuto misto.
Ho affrontato questo processo di risoluzione dei problemi su decine di siti, sia miei che di altri, e vi mostrerò esattamente cosa fare per mettere in sicurezza il vostro sito e liberarvi definitivamente dell’attenzione.
Ecco i passi da coprire:
- Step 1. Get a Free SSL Certificate for Your Website
- Step 2. Update Your WordPress URLs to Use HTTPS
- Step 3. Fix Mixed Content Issues in WordPress
- Step 4. Set Up an HTTP to HTTPS Redirect in WordPress
- Step 5. Test Your SSL Setup for Security Issues
- Make Your Site Feel Safe for Every Visitor
- Bonus Resources
Passo 1. Ottenere un certificato SSL gratuito per il proprio sito web
La prima cosa che faccio quando correggo un’attenzione “Non sicuro” è verificare se è installato un certificato SSL. Questo piccolo pezzo di tecnologia di sicurezza cripta i dati tra il sito web e i visitatori e abilita l’HTTPS.
Anni fa, i certificati SSL potevano essere costosi. Alcune aziende applicano ancora un sovrapprezzo, ma la buona notizia è che non è necessario pagare per averne uno, soprattutto se si è agli inizi.
La maggior parte dei fornitori di hosting per WordPress offre certificati SSL gratuiti con i propri piani. Ho utilizzato questa opzione su decine di siti web e, nella maggior parte dei casi, l’abilitazione richiede solo un paio di clic dalla dashboard dell’hosting.
Se si utilizza Bluehost, è sufficiente accedere al proprio account e dirigersi verso le impostazioni del sito web. Poi fate clic sulla scheda “Sicurezza”.
Da qui, si vedrà l’opzione per abilitare il certificato SSL gratuito. Basta attivarlo e il gioco è fatto.
Nota: gli screenshot qui sopra mostrano la Bacheca di Bluehost. Se si utilizza un host diverso, l’aspetto potrebbe essere leggermente diverso, ma l’impostazione SSL si trova quasi sempre nella sezione sicurezza.
Per gli host che utilizzano cPanel, è necessario avviarlo dalla Bacheca dell’hosting. Scendere alla scheda “Sicurezza” e fare clic sull’icona SSL/TLS.
E se il vostro host non offre un SSL gratuito, non preoccupatevi: potete sempre ottenerne uno tramite Let’s Encrypt.
Abbiamo un tutorial dettagliato che vi mostra esattamente come fare: Come aggiungere un SSL gratuito a WordPress con Let’s Encrypt.
Passo 2. Aggiornare gli URL di WordPress in modo che utilizzino HTTPS
Anche con un certificato SSL, il sito potrebbe essere caricato come “Non sicuro” se le impostazioni di WordPress non sono corrette. È possibile correggere questo problema aggiornando l’URL del sito.
È sufficiente andare alla pagina Impostazioni ” Generali della vostra dashboard di WordPress.
Quindi, assicuratevi che entrambi i campi “Indirizzo (URL) di WordPress” e “Indirizzo (URL) del sito” utilizzino https:// invece di http://.
Non dimenticate di cliccare sul pulsante “Salva modifiche” per memorizzare le impostazioni.
WordPress inizierà a utilizzare https:// per tutti gli URL del sito web. Tuttavia, alcuni URL HTTP potrebbero essere ancora memorizzati nel database di WordPress, il che potrebbe causare problemi in futuro.
Poi vi mostrerò come correggere facilmente questi URL.
Passo 3. Correzione dei problemi di contenuto misto in WordPress
Uno dei motivi dell’attenzione “Non sicuro” è il problema dei contenuti misti. Ciò accade quando alcune parti del sito web vengono caricate utilizzando un URL HTTP (non sicuro).
Quasi tutti questi URL sono memorizzati nel database di WordPress e aggiunti dal tema o dai plugin di WordPress. Potreste anche avere URL http:// nelle pagine e nei post del vostro blog.
Per correggere questo problema, è necessario un plugin di ricerca e sostituzione che trovi gli URL http e li sostituisca con https://. Il miglior plugin per questo lavoro è Search & Replace Everything.
Uso Cerca e sostituisci tutto perché è veloce ed efficiente. E, cosa più importante, è facilissimo da usare anche per i principianti.
Suggerimento💡: Esiste anche una versione gratuita di Search & Replace Everything.
Per prima cosa, è necessario installare e attivare il plugin Search and Replace Everything. Per maggiori dettagli, potete consultare questa guida su come installare i plugin di WordPress.
Dopo l’attivazione del plugin, andare alla pagina Strumenti ” WP Search & Replace per iniziare a usare il plugin.
Nel campo “Cerca” è necessario inserire http:// e nel campo “Sostituisci con” aggiungere https://.
Successivamente, è necessario fare clic su “Seleziona tutto” per assicurarsi che tutte le tabelle del database di WordPress siano incluse nella ricerca.
Infine, fare clic sul pulsante “Anteprima di ricerca e sostituzione”.
Il plugin eseguirà quindi la ricerca e mostrerà un’anteprima dei risultati. In questo modo è possibile rivedere i dati prima che vengano modificati in modo permanente.
Esaminate attentamente i risultati e, una volta soddisfatti, cliccate sul pulsante “Sostituisci tutto”.
Il plugin apporterà quindi delle modifiche al database di WordPress e sostituirà tutti gli URL HTTP con HTTPS.
Per maggiori dettagli, consultate questa guida su come correggere l’errore di contenuto misto in WordPress.
Passo 4. Impostare un reindirizzamento da HTTP a HTTPS in WordPress
Dopo il passaggio di un sito all’HTTPS, una delle fasi che non salto mai è l’impostazione di un reindirizzamento da HTTP a HTTPS. Senza di esso, le persone potrebbero ancora approdare alla versione insicura del vostro sito attraverso vecchi link o segnalibri.
Il modo più affidabile per correggere questo problema è aggiungere una regola di reindirizzamento al file .htaccess. Ecco lo snippet che utilizzo sulla maggior parte dei siti web WordPress:
1 2 3 | RewriteEngine OnRewriteCond %{HTTPS} !=onRewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] |
Per maggiori dettagli, consultate questa guida su come correggere il file .htaccess di WordPress.
Se il vostro sito web è in esecuzione su Nginx anziché su Apache, dovrete impostare il reindirizzamento in modo diverso.
Invece di modificare un file .htaccess, è necessario aggiornare la configurazione di Nginx.
Ecco il codice che aggiungerei per reindirizzare tutto il traffico HTTP a HTTPS in Nginx:
1 2 3 4 5 | server { listen 80; server_name yoursite.com www.yoursite.com; return 301 https://yoursite.com$request_uri;} |
Questo blocco deve essere posizionato sopra il blocco del server HTTPS esistente nel file di configurazione di Nginx del sito, solitamente presente in /etc/nginx/sites-available/ o /etc/nginx/conf.d/.
Una volta aggiunto il reindirizzamento, non dimenticate di ricaricare Nginx affinché le modifiche abbiano effetto:
1 | sudo nginx -s reload |
Se non si è sicuri di dove effettuare la modifica, è bene rivolgersi al proprio fornitore di hosting.
Passo 5. Test della configurazione SSL per verificare la presenza di problemi di sicurezza
Dopo aver apportato queste modifiche, è necessario testare il sito web per verificare che tutto funzioni correttamente.
Potete utilizzare il test SSL di SSL Labs per verificare il vostro certificato e confermare che il vostro sito è completamente protetto. È sufficiente inserire il nome del dominio per verificare l’implementazione dell’SSL sul nome del dominio.
Un altro strumento alternativo che ho usato spesso è Why No Padlock? Chi siamo lo apprezza perché spiega i problemi in un linguaggio semplice, il che è utile per i principianti.
Infine, provate a visitare il sito in modalità Incognito. Se si vede ancora l’attenzione “Non sicuro”, è necessario cancellare la cache di WordPress o attendere qualche minuto affinché le modifiche abbiano effetto.
Fate in modo che il vostro sito sia sicuro per ogni visitatore
Nessuno vuole che il proprio sito spaventi i visitatori con un’attenzione al browser. Il danno maggiore è perdere la fiducia dei vostri clienti e visitatori.
Spero che questa guida vi abbia aiutato a proteggere completamente il vostro sito WordPress con HTTPS, in modo che i vostri visitatori non debbano pensarci due volte a fidarsi.
Risorse bonus
Seguo questa guida alla sicurezza di WordPress su tutti i siti web su cui lavoro. Questa guida passo passo offre un piano d’azione semplice per proteggere correttamente il vostro sito web WordPress.
Di seguito sono riportate alcune risorse aggiuntive che ritengo utili:
- Come rinnovare il certificato SSL (passo dopo passo per i principianti)
- TLS vs SSL: quale protocollo utilizzare per WordPress?
- Suggerimenti per la sicurezza dell’e-commerce: Come proteggere il vostro negozio WordPress
- Come aggiungere header di sicurezza HTTP in WordPress (guida per principianti)
- Errori più comuni di WordPress e come correggerli
Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Facebook.
Have a question or suggestion? Please leave a comment to start the discussion.