Da ieri questo blog viaggia totalmente in HTTPS. Per i non avvezzi a certe terminologie, si tratta della connessione sicura che utilizzate già con la vostra banca: i dati viaggiano su un canale cifrato che non può essere intercettato a salvaguardia della privacy e dell’autenticità della comunicazione.
HTTPS è particolarmente importante attraverso le reti insicure (come i punti di accesso WiFi pubblici), dato che chiunque sulla stessa rete locale può sniffare i pacchetti e scoprire informazioni sensibili e non protette da HTTPS. Oltre a ciò, molti vengono pagati per impegnarsi nel fare “iniezione di pacchetti” all’interno di reti wireless allo scopo di fornire un servizio per le pubblicità delle proprie pagine web, mentre altri lo fanno liberamente. Tuttavia, questa operazione può essere sfruttata malignamente in molti modi, come iniettare dei malware su pagine web e rubare informazioni private agli utenti.
Fonte: Wikipedia – HTTPS
Sul web sono disponibili ottime guide per attivare HTTPS, così per agevolarti ti segnalo tutto quel che servirà per cifrare la tua installazione WordPress.
GUIDE:
- Install free SSL WordPress: completissima, in pochi passaggi seguendo questo articolo riuscirete a completare il 99% del lavoro. Tempo necessario per seguire la guida: 15 minuti.
- Migrating your WordPress website from HTTP to HTTPS: conclusa la configurazione SSL, in caso di installazioni WordPress esistenti, è bene migrare tutti gli URL interni dal protocollo HTTP a quello HTTPS. In questo articolo troverai le query già pronte da eseguire sul database [fai un backup prima!!]. Tempo necessario per seguire questa guida: 10 minuti.
Infine, per condurre automaticamente gli utenti che arrivano sul tuo sito tramite URL HTTP verso la stessa pagina in HTTPS, sostituisci la regola di WordPress su .htaccess con questa qui (la segnalo, perché è diversa da quella indicata sulla seconda guida):
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
STRUMENTI:
- ZeroSSL: è un’interfaccia web, a prova di bambino, utile per generare il certificato e la chiave da installare nel proprio hosting. La guida indicata sopra utilizza questo sito.
- Let’s Encrypt: è il CA (Certificate Authority) che rilascia gratuitamente i certificati. La lista dei browser compatibili con i suoi certificati la trovi qui.
- WP Encrypt: banalissimo plugin per WordPress che si occuperà del rinnovo del certificato in automatico alla scadenza.
- Why no padlock e SSL Check: tool utili per verificare quali risorse sulle tue pagine siano rimaste in HTTP e pertanto il browser non mostra il lucchetto verde ma un lucchetto giallo aperto.
Concluso tutto il bel percorso, ricordati di aggiungere su Google Webmaster Tools il nuovo URL in HTTPS del tuo sito e goditi il tuo sito in versione sicura-come-una-banca.
Emanuele