WordPress sotto HTTPS: come un semplice certificato rende le tue pagine più veloci in un colpo solo

Jan Hornung Ultimo aggiornamento 21.10.2020
9 Min.
WordPress  HTTPS: un semplice certificato può velocizzare enormemente il tuo sito

C'è un malinteso persistente che HTTPS rende WordPress lento. In realtà, è vero il contrario: grazie a HTTP/2, le pagine criptate con SSL sono talvolta estremamente accelerate. E grazie ai certificati SSL gratuiti e alle installazioni integrate, non è mai stato così facile passare WordPress a HTTPS. Ed è una buona cosa, perché le pagine HTTP dovranno presto sopportare alcuni svantaggi. Vi mostriamo cosa porta lo switch e come potete controllare con un solo sguardo se il vostro hoster usa HTTP/2.

Oggi, ogni cliente e utente finale conosce effettivamente la differenza tra pagine criptate e non criptate. Almeno a livello soggettivo: il lucchetto verde dà semplicemente una buona sensazione. Tuttavia, altrettanto noto come l'effetto positivo sulla fiducia dei visitatori del sito è l'idea sbagliata che SSL, o TLS (spiegare la differenza), sia criptato. differenza ad esempio i colleghi di CHIP.de) rendono WordPress lento.

E sì, teoricamente questo è vero: se una pagina viene consegnata via HTTPS (la variante sicura di HTTP), allora la connessione tra il server web e il browser richiede un po' più tempo a causa del cosiddetto SSL handshake. Ma qui stiamo parlando solo di pochi millisecondi.

Oggi si può tranquillamente dire che HTTPS rallenta WordPress . Fondamentalmente, un certificato SSL porta al tuo sito solo vantaggi. E poiché Google inizierà presto a contrassegnare le pagine non criptate con l'aggiunta "non sicuro", è il momento di convertire il proprio sito in HTTPS ora.

Ve lo mostrerò oggi:

  • Perché ora è il momento migliore per passare WordPress a HTTPS
  • Come passare WordPress a HTTPS
  • Perché l'HTTP/2 rende le vostre WordPress pagine più veloci
  • Che tipo di aumento delle prestazioni ci si può aspettare per un sito WordPress sotto HTTPS
  • Un semplice trucco per vedere se il tuo hoster sta già usando HTTP/2 (che dovrebbe essere così!)

Tutto riguarda HTTPS, non importa se WordPress o no

Già tre anni fa Google ha chiamato nella sua conferenza degli sviluppatori Google I/O Google ha proclamato il motto "HTTPS ovunque". In breve, gli sviluppatori di Google dell'epoca, Pierre Far e Ilja Grigorik, hanno preso le difese dell'uso di TLS (il protocollo successore di SSL) e hanno dimostrato nel loro sessione tra le altre cose, i modi per implementarlo.

Solo poche settimane dopo, nell'agosto 2014, il HTTPS è stato poi incluso come un segnale di ranking ufficiale nelle classifiche di ricerca di Google. Così Google ha cercato per anni di convincere gli operatori dei siti a passare i loro siti web a HTTPS utilizzando argomenti e creando fatti.

Il fatto che Google Chrome penalizzerà presto le pagine HTTP con un avviso "non sicuro" può certamente essere visto come il prossimo grande passo nell'offensiva di Google "HTTPS ovunque". In effetti, questo avviso è già stato è stato visualizzato dalla versione 56 di Chrome per le pagineche recuperano le informazioni della carta di credito, per esempio. Con la nuova versione 62 del browser di Google, tuttavia, questa regola viene applicata a tutte le pagine che permettono l'input del cliente, come i moduli di contatto o i campi di ricerca.

Le password e le carte di credito non sono gli unici tipi di dati che dovrebbero essere privati. Qualsiasi tipo di dati che gli utenti digitano nei siti web non dovrebbe essere accessibile ad altri sulla rete, quindi a partire dalla versione 62 Chrome mostrerà l'avviso "Non sicuro" quando gli utenti digitano dati nei siti HTTP.

- Emily Schechter, Chrome Security Team

SSL gratuito: Mai prima d'ora la situazione è stata così favorevole per passare WordPress a HTTPS

Tre anni fa, quando i due sviluppatori di Google hanno fatto il loro appello per TLS, bisognava ancora comprare i certificati SSL e installarli da soli. Da allora la situazione è cambiata radicalmente, e in meglio.

Nel 2016, l'iniziativa Let's Encrypt ha lanciato l'emissione di certificati SSL gratuiti. Grazie a sponsor come Chrome, ma anche Facebook e aziende dell'universo WordPress , i californiani possono ora fornire quasi 40 milioni di certificati SSL gratuiti attivi.

WordPress  HTTPS Let's Encrypt cifre di crescita. Da ottobre 2016, il numero di certificati attivi è aumentato di quasi otto volte.
Come potete vedere, la crescita di Let's Encrypt ha ripreso fortemente da ottobre 2016. Da allora, il numero di certificati attivi è aumentato di quasi otto volte.

Questo sviluppo ha avuto un impatto enorme sul panorama dell'hosting: i certificati SSL gratuiti sono ora standard e anche la configurazione è ora possibile per qualsiasi utente grazie all'integrazione delle installazioni one-click.

In passato, HTTPS era un vero dolore per WordPress .

Prima della distribuzione di massa dei certificati SSL gratuiti, due anni fa, passare da WordPress a HTTPS era una vera sofferenza. Soprattutto per i proprietari di piccoli siti che hanno bisogno solo di certificati convalidati dal dominio.

Info: Questi tipi di certificati SSL sono disponibili

  • Certificati DV: DV sta per Domain Validated. Un certificato DV è utilizzato per verificare se il dominio e lo spazio web "appartengono insieme". Se tutto è a posto, si può supporre che quando si accede al dominio, si atterra effettivamente sullo spazio web associato e non su un sito di phishing. Il processo di configurazione è ancora abbastanza semplice: l'amministratore del dominio conferma di avere i diritti appropriati su un dominio e può quindi criptare la sua pagina di conseguenza.
  • Certificati OV: OV sta per Organization Validated. Oltre alla convalida del dominio, un tale certificato garantisce che la pagina che state visitando appartiene realmente all'azienda di cui volevate richiamare l'offerta.
  • Certificati EV: I cosiddetti Extended Validated Certificates vanno un passo avanti: qui l'ente di certificazione controlla intensamente i documenti dell'azienda. Tra le altre cose, la forma giuridica della società è inclusa nel certificato.

Anche l'impostazione di un semplice certificato DV era una vera e propria sofferenza per le WordPress pagine e può non essere fattibile per i non tecnici. Questo perché il processo consisteva di almeno quattro fasi:

  1. Compra un certificato: Qui bisognava guardare il panorama dei fornitori e confrontare attivamente i prezzi e le condizioni anche per i semplici certificati DV. Questo ha anche portato alcuni fornitori a inventare caratteristiche molto creative, come l'assicurazione, per differenziare i loro prodotti. Con i certificati estesi, è qui che entra in gioco la fase di convalida - provando che tu, il proprietario del dominio, sei anche il proprietario del business. A seconda del certificato, questo processo potrebbe richiedere giorni o settimane.
  2. Impostare il certificato: Il passo successivo è stato quello di memorizzare le informazioni del certificato sul server web. A seconda del fornitore, questo richiedeva più o meno tempo. Nel frattempo, però, tutti i fornitori di hosting hanno effettivamente creato un flusso di lavoro più o meno buono che ti guida come utente attraverso il processo di configurazione.
  3. PreparareWordPress per HTTPS: Dopo aver impostato il certificato stesso, il sito doveva essere preparato per il passaggio da HTTP a HTTPS. Per fare questo, ogni voce del database e ogni risorsa sulla pagina doveva essere convertita in HTTPS e il risultato doveva essere controllato per errori di contenuto misto.
  4. Configurare Google: Dopo la conversione del sito, le entità in Google Analytics e in Google Search Console (ex Google Webmaster Tools) dovevano ancora essere regolate.

Attraverso lo sviluppo avviato da Let's Encrypt per i certificati DV gratuiti, questo processo è stato massicciamente semplificato. Molti hoster ora offrono anche un'installazione semplificata, in cui, nel migliore dei casi, un certificato viene attivato e impostato con un clic e il sito viene automaticamente commutato su HTTPS. E questo è indipendente dal fatto che sia un progetto WordPress o meno.

CONSIGLIO: Hai bisogno di impostare SSL senza un'installazione one-click?

Se siete sfortunati, il vostro hoster non offre ancora un'installazione semplificata. Allora dovete fare voi stessi le impostazioni WordPress -sided per HTTPS:

Nessun HTTP/2 senza Google

L'ho già detto: Google è sempre stato interessato a far funzionare il maggior numero possibile di siti con certificati SSL come parte della sua offensiva "HTTPS ovunque". Questo è probabilmente anche il motivo per cui Chrome è uno sponsor ufficiale di Let's Encrypt. Il gigante dei motori di ricerca è stato anche significativamente coinvolto nello sviluppo di HTTP/2.

Perché il protocollo precedente, SPDYè stato inizialmente sviluppato da Google come un esperimento per esplorare le possibilità tecniche con cui il quasi antico HTTP/1 poteva essere migliorato. Questo era nel 2009. Nel 2015, i risultati del progetto sperimentale SPDY sono stati poi incorporati nel protocollo HTTP/2 standardizzato.

Ecco perché HTTP/2 rende le vostre WordPress pagine più veloci

HTTP/2 è stato dotato di un gran numero di nuove funzioni che permettono di trasferire i dati molte volte più velocemente:

  • Multiplexing: Con questa caratteristica, più flussi di dati diversi possono essere caricati su una connessione tra il server web e il client (cioè il browser dei visitatori del tuo sito). Con HTTP/1, una connessione separata deve essere aperta per ogni flusso di dati. E aprire queste connessioni richiede tempo.
  • Compressione dell'intestazione: Ogni richiesta HTTP che un client fa a un server web contiene meta informazioni in modo che la pagina possa essere costruita correttamente. Questa meta-informazione è cresciuta in dimensioni nel corso degli anni. HTTP/2 comprime queste informazioni e risparmia così il volume dei dati.
  • Spingere il server: A volte chiamato cache push. Il principio dietro questa caratteristica è molto semplice: la stragrande maggioranza delle richieste a una pagina sono molto simili. Se il vostro server web riconosce il tipico modello di richiesta, per esempio per la vostra pagina iniziale, allora il server invia tutte le informazioni di cui ha bisogno per costruire la pagina al browser senza che gli venga chiesto. In questo modo, il browser deve fare molte meno richieste HTTP al server. Questo rende il caricamento della pagina più veloce.

Quindi, tutto ciò suona abbastanza bene in teoria. Ma cosa significa in pratica? La pagina del test HTTPS vs. HTTP mostra in modo impressionante quanto sia grande la differenza tra le due generazioni di protocolli.

In un confronto tra HTTPS e HTTP, HTTPS può essere molto più veloce.
In uno dei nostri test sono state riscontrate differenze di tempo di caricamento, come il giorno e la notte, tra HTTP/1 e HTTP/2. La variante HTTP del test è stata del 914 per cento più lenta della variante HTTP/2. Questi sono buoni presagi per cambiare le vostre WordPress pagine in HTTPS.

Naturalmente, ciò che è più interessante è come queste nuove caratteristiche influenzeranno il tempo di caricamento della pagina nel mondo reale. Per scoprire se il tuo sito sta girando su un server abilitato per HTTP/2, puoi semplicemente chiedere al tuo hoster (o scoprirlo da solo usando questo semplice trucco). A condizione, naturalmente, che WordPress sia in esecuzione sotto HTTPS.

Il test acido: HTTPS rende WordPress il 45% più veloce nel test

Ma ora veniamo al nocciolo della questione: Quale aumento di prestazioni ci si può realisticamente aspettare dalla conversione di un sito WordPress in HTTPS? Perché una pagina finita non mostrerà il 914% appena misurato. Perciò abbiamo testato il tutto con la nostra homepage. Cioè abbiamo testato raidboxes.de una volta con e una volta senza HTTPS.

WordPress  HTTPS senza SSL ha bisogno di RAIDBOXES più di 5 secondi per caricare
WordPress  HTTPS con SSL ha bisogno di RAIDBOXES solo 3 secondi per essere caricato.
Abbiamo eseguito il test attuale con Webpagetest. Il tempo di caricamento di un clone di raidboxes.de è stato misurato tramite italiani test server. Un totale di sette test consecutivi sono stati eseguiti per le varianti HTTPS e HTTP e i risultati sono stati mediati. È importante notare: il sito mostra un punteggio di performance molto basso. Questo perché certe risorse funzionano solo sotto il dominio corretto della pagina. Pertanto, solo il tempo di carico è decisivo per il confronto.

Il test mostra: una copia della nostra homepage diventa il 45% più veloce con HTTPS in un colpo solo. Il nostro test dettagliato con sette prove consecutive dai server tedeschi mostra risultati simili.

Life hack per i webmaster: come dire a colpo d'occhio se il tuo hoster usa HTTP/2

E poiché HTTPS dà ai tuoi progetti WordPress -WordPress quel comodo aumento di prestazioni, è ancora più importante che tu sappia se il tuo host usa HTTP/2. Naturalmente, puoi semplicemente chiedere al supporto, ma c'è anche un modo per dire a colpo d'occhio se il tuo sito, o qualsiasi altro sito che stai testando, beneficia di HTTP/2.

Per questo avete bisogno di una sola cosa: un diagramma a cascata della vostra pagina. Puoi crearlo misurando il tempo di carico con gli strumenti Webpagetest, Pingdom o GTmetrix. Basta inserire l'URL da testare ed eseguire il test. Per questo trucco, tra l'altro, non importa da dove e con quali specifiche il test viene eseguito.

Nel diagramma a cascata finito, ora dovete solo prestare attenzione al fatto che le singole richieste siano caricate simultaneamente o esclusivamente in modo cronologico. Se vengono caricati simultaneamente, la tua pagina sta usando HTTP/2.

WordPress  HTTPS vs WordPress  HTTP
Come potete vedere, le singole richieste nella versione di sinistra (HTTP) sono caricate cronologicamente, cioè una dopo l'altra. Nella versione giusta (WordPress con HTTPS) tutte le richieste sono caricate simultaneamente.

Se hai attivato HTTPS sui tuoi WordPress -WordPress -progetti e le richieste non vengono caricate in parallelo, dovresti contattare urgentemente il tuo hoster 😉

Conclusione: HTTPS come opportunità per i vostri WordPress progetti

Recentemente, Google ha iniziato a inviare le prime email di avvertimento ai gestori di pagine HTTP. Dalla versione 62, il browser Chrome fornirà pagine che permettono l'input dell'utente con il messaggio "non sicuro".

WordPress  HTTPS Esempio di una pagina HTTP nella nuova versione 62 di Chrome
Per esempio, ecco come sarebbe la barra degli indirizzi dei nostri colleghi di t3n se Chrome mostrasse l'avviso "Non sicuro" per tutte le pagine HTTP.

Questo significa in linea di principio che ogni pagina HTTP con modulo di contatto o funzione di commento è marchiata da Google. Fortunatamente, non è mai stato così facile come oggi convertire le proprie pagine WordPress in HTTPS: I certificati SSL sono per lo più gratuiti e le installazioni con un solo clic risparmiano un sacco di lavoro durante la configurazione e permettono anche ai webmaster meno esperti di tecnologia di fare il passaggio. E il nostro test dimostra: anche con un sito meno ottimizzato WordPress può beneficiare estremamente di HTTPS e semplicemente si carica molto più velocemente.

Nel migliore dei casi, basta un clic. Quindi, se state ancora eseguendo siti sotto HTTP, possiamo solo consigliarvi vivamente di cambiare.

RAIDBOXER dall'inizio e capo del supporto. Ai Bar e ai WordCamps ama parlare di PageSpeed e delle prestazioni dei siti web. Il modo migliore per corromperlo è un espresso - o un pretzel bavarese.

Commenti su questo articolo

Scrivi un commento

Il tuo indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati con *.