Come proteggere un sito non sicuro

20/06/2020

Cosa significa l’avviso non sicuro che possiamo trovare in cima a una pagina web, proprio sulla sinistra dell’URL?

Per l’utente che è arrivato su quel sito significa che il numero della sua carta di credito, le sue password o i suoi dati personali potrebbero essere rubati. O che un virus sta per essere installato sul suo computer distruggendo file e documenti.

Invece per chi possiede un blog, un negozio online o un sito professionale è una minaccia che scoraggia i visitatori e fa perdere ordini e clienti. Bastano queste due parole per distruggere in un attimo la web reputation di un’azienda, di un professionista o di un blogger che ha speso tempo e denaro per guadagnarsi la fiducia della Rete.

Sito non sicuro sono le prime parole che un utente legge quando apre una pagina web ed è fondamentale toglierle prima che danneggino irreparabilmente la vostra attività.

Se dovete correggere questo problema prendete contatto con noi di E-Motion Web: infatti la realizzazione di siti web sicuri è uno dei nostri servizi.

Ma se invece sentite che potete affrontare questo compito da soli proseguite nella lettura. Troverete tutte le spiegazioni che vi serviranno per proteggere il vostro sito.

Prima di tutto come capire se un sito Internet è sicuro

Se siete qui vuol dire che non sentite il bisogno del nostro intervento, ma non importa. Siamo felici lo stesso perché vi fidate dei nostri consigli. La prima cosa da capire è quale sia il livello di sicurezza del vostro sito e questa è un’informazione che ci forniscono gli stessi browser.

Chrome, il browser fornito da Google, mostra il livello di sicurezza di un sito attraverso tre diverse icone accompagnate da un avviso. Potrete vederle a fianco dell’indirizzo web nella parte superiore della pagina:

Il livello più alto di protezione è rappresentato dal simbolo di un lucchetto seguito dalla scritta sicuro. Così abbiamo la conferma che non c’è il pericolo che la connessione possa essere violata e che i dati e le informazioni inviate o ricevute possano essere sottratti.

L’icona che mostra una i all’interno di un cerchio significa che quel sito non usa una connessione privata. E’ possibile che che le informazioni che fornite o che ricevete possano essere viste e rubate da un estraneo.

Il simbolo con un punto esclamativo all'interno di un triangolo rosso è un invito chiaro e forte a non lasciare i vostri dati in quel sito e a non usarlo per effettuare pagamenti o acquisti.

Se un sito rappresenta un pericolo abbandonatelo subito. Troverete da qualche altra parte l’informazione o il prodotto che vi servono. Il problema è se è proprio il vostro sito ad essere classificato come non sicuro. Se volete attirare i visitatori e non scoraggiarli dovete eliminare questo monito accedendo a un livello più alto di sicurezza. Per farlo dovrete passare dal protocollo HTTP a quello HTTPS.

Come passare da HTTP a HTTPS

Avrete notato che il codice HTTP che precede gli indirizzi dei siti Internet sempre più spesso è sostituito dalla sigla HTTPS, ovvero Hypertext Transfer Protocol Secure. Si tratta di un protocollo o, in altre parole, di un insieme di regole da rispettare per garantire la sicurezza dei dati trasmessi su Internet. E’ stato creato da Google che dal 2017 ha chiesto ai titolari dei siti web di adottarlo come misura di protezione.

La richiesta è stata in effetti una di quelle offerte che non si possono rifiutare per tre motivi:

  1. in primo luogo chi non si adeguava veniva bollato come non sicuro, con tutte le conseguenze sull’immagine in Rete che vi abbiamo già descritto
  2. Google, il più famoso motore di ricerca del mondo, ha deciso di favorire quei siti che adottavano l’HTTPS assicurando un migliore posizionamento SEO. Quindi promuovendoli ai primi posti nella pagine dei risultati di ricerca
  3. Infine i siti che si allineavano al protocollo HTTPS potevano utilizzare HTTP/2. Anche questo è un protocollo che però non riguarda la sicurezza dei dati ma la velocità con cui vengono trasmessi, molto superiore che in passato. I siti che impiegano HTTP/2 si caricano più rapidamente degli altri e attirano quindi più visitatori

Quindi per sopravvivere nello spietato mondo di Internet sembra proprio che non ci sia molta scelta se non quella di aggiornare il proprio sito ad HTTPS. Ma farlo è facile e richiede quattro semplici passi:

  1. chiedere un certificato SSL/TLS per il proprio dominio
  2. reindirizzare tutte le pagine del sito da HTTP ad HTTPS
  3. controllare che tutte le pagine siano in HTTPS
  4. aggiornare la Sitemap

Primo passo: richiedete un certificato SSL/TLS per il vostro dominio

Ma come fa l’HTTPS a proteggere i vostri dati? La risposta è rendendoli incomprensibili a tutti tranne che a chi li deve ricevere. Per farlo usa un cifrario, come quello che usano gli agenti segreti e i militari per impedire al nemico di leggere il contenuto dei propri messaggi, chiamato SSL/TLS, sigla che significa Secure Socket Layers/Transport Layer Security.

L’SSL/TLS è un sistema di cifratura dei dati che assicura che le informazioni che inviamo ad un sito possano essere lette solo da quel destinatario. Allo stesso modo le risposte che riceveremo dal sito saranno comprensibili solo per noi. Un esempio sono i servizi di home banking. Per accedere alla nostra area personale forniamo di solito due informazioni: nome utente e password. Se sono corrette possiamo chiedere di vedere il nostro estratto conto ed il sito ce lo mostrerà sullo schermo del nostro computer o del nostro cellulare e solo noi potremo leggerlo.

Per ottenere questo tipo di protezione bisogna richiedere un certificato SSL/TLS. Il modo più semplice di farlo è di rivolgersi alla web agency che ha realizzato il vostro sito. Anzi, dovrebbe essere questa ad avvisarvi se il vostro sito non fornisce tutte le garanzie di sicurezza e offrirvi le soluzioni per aggiornarlo.

Può invece darsi che il sito ve lo siate fatti da soli, magari con Wordpress. In questo caso dovete rivolgervi alle autorità di certificazione che forniscono gli SSL/TLS. Oggi ne esistono diverse che offrono questo servizio anche gratuitamente, come Let’s Encrypt che chiede solo una donazione simbolica. Non preoccupatevi di dover presentare documenti di identità e carte bollate. E’ sufficiente che vi registriate sul sito e inseriate il nome del dominio che volete mettere in sicurezza e la vostra mail. Sarete avvisati non appena il sito avrà ottenuto la certificazione passando da HTTP a HTTPS.

Secondo passo: reindirizzate tutte le pagine del sito da HTTP ad HTTPS

La procedura che abbiamo illustrato nel precedente paragrafo vale però solo per l’home page del vostro sito. Anche le altre pagine devono essere reindirizzate dal vecchio protocollo HTTP al nuovo HTTPS. Basta che una sola di queste o che il link a una risorsa interna al sito come un documento PDF, un’immagine o un video abbiano ancora l’url HTTP perché il vostro sito sia giudicato come non sicuro.

Se il vostro sito ha poche pagine e disponete di un CMS completo ed efficiente che dispone per ogni pagina di un campo Redirect 301, come il CMS di E-Motion, potete reindirizzare ogni pagina manualmente semplicemente scrivendo il nuovo indirizzo HTTPS.

Ad esempio:

  • vecchio indirizzo: HTTP://ricettediunavolta.it/torta-di-mele-della-nonna
  • nuovo indirizzo: HTTPS://ricettediunavolta.it/torta-di-mele-della-nonna

Se invece le pagine sono troppe per poterle reindirizzare singolarmente allora esistono delle utilities gratuite che fanno questo lavoro al vostro posto come Really Simple SSL. Una volta che l’avete scaricato dovete:

  1. fare un backup del sito, precauzione che vi consigliamo di prendere sempre qualunque sia il vostro livello di competenza informatica
  2. caricare il programma nella directory dei plugin del CMS. Quella di Wordpress la trovate in wp-content/plugins
  3. selezionare il programma e attivarlo
  4. confermare l’abilitazione SSL quando il programma vi chiede l’autorizzazione

Terzo passo: controllate che tutte le pagine siano in HTTPS

Ormai tutto il sito sarà aggiornato. O dovrebbe esserlo. Partire dal presupposto che qualcosa vi sia sfuggito può essere un buon incentivo per fare quel controllo supplementare che non guasta mai. Un modo rapido ed efficace per scoprire se tutte le pagine sono in HTTPS è di usare l’operatore di ricerca “site”.

Site” ha una funzione simile a quella di “and” e “or”, gli operatori booleani che aggiungiamo alle parole chiave quando vogliamo restringere i risultati di una ricerca. In questo caso site ci aiuta a scoprire se alcune pagine non sono state aggiornate. Il controllo funziona solo su Google perciò apritelo e scrivete nel campo di ricerca quanto segue:

site:https://indirizzo del sito/ -inurl:https

Dove “indirizzo del sito” rappresenta l’indirizzo della vostra home page.

Fate partire la ricerca. Se la migrazione delle pagine è stata effettuata a regola d’arte Google vi avviserà che non sono stati trovati risultati in nessun documento. In caso contrario vi dirà quante e quali sono le pagine che sono ancora in HTTP, sicuramente sfuggite dopo il reindirizzamento manuale. Aprite le pagine indicate e scrivete il nuovo indirizzo HTTPS nel campo Redirect 301.

Quarto e ultimo passo: aggiornate la Sitemap

Ormai ci siamo, vi resta solo da aggiornare la sitemap. Come dice il nome questa è una sorta di mappa del sito con tutti gli indirizzi delle pagine e la loro organizzazione. Per capire quanto sia importante vi basti sapere che tutti i motori di ricerca usano le sitemap per indicizzare e posizionare i siti nelle pagine dei risultati di ricerca. Tenerla aggiornata e in ordine vi aiuterà a raggiungere i primi posti su Google e gli altri motori.

Anche questa operazione può essere effttuata con dei plugin da installare nella relativa directory del vostro CMS. Per Wordpress vi suggeriamo di usare Yoast.

Tenete presente che Google e gli altri motori non si accorgono da soli che avete modificato la sitemap. Dovete essere voi ad avvertirli utilizzando le console dedicate ai webmaster.

Nel caso di Google dovete:

  1. collegarvi a Google Search Console
  2. selezionare il commando sitemap che trovate nel menu sulla sinistra dello schermo
  3. inserire l’URL della nuova sitemap e inviarlo

Se avete seguito le nostre indicazioni adesso il vostro sito sarà protetto e soprattutto offrirà ai visitatori l’immagine rassicurante offerta dal lucchetto che compare di fianco all’indirizzo.

p.le Arduino, 11 - 20149 Milano
+39 02 87167 542

P.IVA 13366770157 | Rea MI 1643554