La sicurezza delle comunicazioni tra un server web e un client server è gestito dal protocollo SSL o Secure Sockets Layer.
Se ti è sfuggito il suo significato nel nostro precedente articolo http://webenjoy.net/sviluppo-siti-web/cose-certificato-ssl-cosa-serve/), te lo riepiloghiamo rapidamente…
Il certificato SSL protegge il flusso di informazioni tra un client server e un sito web tramite una chiave di decodifica in grado di decriptare le informazioni, il cui possesso è riservato ai soggetti coinvolti.
La dicitura “HTTPS” e l’immagine di un lucchetto sono i segni inequivocabili della presenza di un certificato SSL. I protocolli di sicurezza proteggono le informazioni e i dati sensibili degli utenti, accrescendo la sicurezza e l’affidabilità del sito web e in particolar modo di siti-ecommerce e siti che contengono informazioni come i blog.
HTTPS viene considerato positivamente anche da Google, che in ottica di migliorare la User Experience sul web, spinge i titolari di siti web all’installazione del certificato.
Leggi in merito anche
https://seo-padova.com/educazione/certificati-ssl-e-seo-la-sicurezza-del-tuo-sito-diventa-un-fattore-seo/
In precedenza, il passaggio a una connessione sicura era costoso, in quanto gestito da Autorità di certificazione e rivenditori riconosciuti. Fortunatamente Cloudflare ha rilasciato una versione gratuita, sicura e facile per siti realizzati con WordPress, permettendone un’abilitazione gratuita che opera su dominio radice (es. dominio.com) e sottodomini di primo livello (es. blog.dominio.com).
Ma cos’è esattamente Cloudflare?
Sostanzialmente Cloudflare è un reverse proxy cioè un server che si pone tra il server web e il visitatore, diventando l’intermediario che ridistribuisce i contenuti e permette quindi anche di accelerare e ottimizzare i siti attraverso un meccanismo di caching.
Cloudflare presenta diverse opzioni che consentono di abilitare un protocollo SSL gratis sul sito web creato con WordPress:
- Flexible SSL – L’abilitazione di questo protocollo crea una connessione sicura tra l’utente e Cloudflare, ma non una connessione sicura tra Cloudflare e il sito web. L’HTTPS che il visitatore vede sul sito web non coincide necessariamente con la presenza di un certificato SSL sul server.
- Full SSL – Questa opzione crea una connessione sicura tra tutti i soggetti in gioco: visitatori, Cloudflare e server web, ma impone la presenza di un certificato SSL, anche solo self-signed.
- Full SSL (Strict) – Questa volta la connessione tra visitatori, Cloudflare e il server web è garantita dalla presenza verificata di un certificato SSL. Il protocollo di sicurezza del server deve essere valido, firmato da un’autorità certificatrice, deve avere una data di scadenza e deve riportare il nome dominio.
Cloudflare permette un’installazione intuitiva e attraverso il plugin Flexibile SSL su WordPress ti sarà possibile sfruttarne tutte le sue potenzialità. Vediamo insieme attraverso questo tutorial in italiano:
1) Registrati e crea un account utente su Cloudflare;
2) Dopo la registrazione, inserisci il nome del dominio del sito (esempio.com)
3) Premi il bottone “Begin Scan” e attendi la scansione di Cloudflare;
4) Premi il bottone “Continue Setup” ti apparirà una schermata come quella sotto;
Ti sarà mostrata la lista di tutti i record DNS, inclusi eventuali sottodomini. E’ il momento di scegliere quali sottodomini vuoi abilitare in Cloudflare ( ) oppure bypassare. ( ).
Tipicamente è sufficiente il Record A associato al dominio e il Record Cname associato al WWW
5) Seleziona il piano che desideri
6) A questo punto devi far puntare i DNS associati al tuo dominio verso quelli forniti da cloudflare. Se trovi complessa questa operazione rivolgiti al Registrar che ha in mantenimento i tuoi domini aprendo un ticket.
7) Completato il punto 6, e dopo aver atteso la propagazione dei DNS (spesso solo alcune ore), accedendo nuovamente a cloudflare troverai una schermata che ti indica che cloudflare è attivo.
Adesso puoi finalmente applicare il tuo servizio di criptazione
8) Avrai a disposizione nella parte superiore una fila di icone. Dovrai cliccare su “Crypto” e settare la voce SSL su “Flexibile”.
Dovrai attendere circa 15 minuti per l’attivazione. Potrai capire che la Flexible SSL è attiva solo quando comparirà sotto alla tendina di scelta un box verde di conferma (ACTIVE CERTIFICATE).
L’applicazione di questa impostazione implica la protezione del tuo sito web WordPress da attacchi DDoS, hacker, spammer e bot, il miglioramento di caricamento delle pagine e riduzione dei costi di banda.
Dopo questo semplice procedimento sarà necessario configurare anche WordPress con pochi passaggi:
- Lascia i campi indirizzo WordPress (URL) e indirizzo sito (URL) in modalità http per evitare che il sito cada in un redirect una volta che la piattaforma verrà caricata sotto il plugin Flexible SSL di Cloudflare.
- Scarica il plugin Cloudflare nel tuo pannello di amministrazione di WordPress (Flexibile SSL);
- Installa il plugin e attivalo tramite il pannello di plugin per WordPress, facendo attenzione a salvare le modifiche;
- Ora è il turno della configurazione di Cloudflare per i contenuti in HTTPS:
- Torna sul pannello di Cloudflare e seleziona il tuo dominio;
- Trova nel menu in alto l’icona “Page Rules”, selezionala e poi clicca sul bottone “Create Page Rule”;
- Inserisci il dominio nella forma: http://*www.esempio.com/*;
- Imposta la regola su “always use HTTPs” e salva tutto.
- È il momento di tornare al back end di WordPress per modificare l’indirizzo sito (URL) da “http://” a https://”, lasciando l’Indirizzo WordPress (URL) in http:// per evitare problemi.
- Finalmente è ora di verificare la riuscita dell’operazione. Dovrai constatare che il browser segnali l’URL come sicuro attraverso l’uso del lucchetto e della dicitura HTTPS.
Se ciò non avvenisse apri il sorgente della pagina (tasto destro del mouse “Visualizza Sorgente Pagina”) e controlla che non ci siano risorse all’interno che usino HTTP. Questo può accadere alle immagini oppure ad altre risorse richiamate da plugin.
Ricorda inoltre che è possibile che tu possa avere dei problemi di incompatibilità se utilizzi i CDN.
Si tratta in ogni caso di problematiche che incontreresti anche con l’istallazione di un certificato ssl a pagamento.
Insomma pochi e semplici passaggi per accaparrarsi la versione SSL gratuita di Cloudflare per siti WordPress: il tuo web WordPress sarà protetto da attacchi DDoS, hacker, spammer e bot, e migliorerà in termini di velocità.