WordPress sotto HTTPS: un semplice certificato rende le vostre pagine più veloci in un colpo solo

Jan Hornung Ultimo aggiornamento il 21.10.2020
9 Min.
WordPress  HTTPS: Un semplice certificato può velocizzare enormemente il vostro sito

L'idea errata che l'HTTPS sia WordPress lento è persistente. In realtà, è vero esattamente il contrario: grazie a HTTP/2, le pagine criptate con SSL sono a volte estremamente velocizzate. E grazie ai certificati SSL gratuiti e alle installazioni integrate, non è mai stato così facile come oggi passare WordPress all'HTTPS. E questa è una buona cosa, perché le pagine HTTP dovranno presto accettare alcuni svantaggi. Mostriamo cosa porta il cambiamento e come è possibile controllare con un solo sguardo se il vostro hoster utilizza HTTP/2.

Oggi, praticamente ogni cliente e utente finale conosce la differenza tra pagine criptate e non criptate. Almeno a livello soggettivo: la serratura verde dà semplicemente una buona sensazione. Tuttavia, altrettanto noto come l'effetto positivo sulla fiducia dei visitatori del sito è l'errata concezione di SSL, o TLS (il Spiegare la differenza z. ad es. i colleghi di CHIP.de) WordPress rallentano.

E sì, teoricamente questo è anche vero: se una pagina viene consegnata via HTTPS (la variante sicura dell'HTTP), la connessione tra server web e browser richiede un po' più di tempo a causa della cosiddetta handshake SSL. Ma stiamo parlando solo di pochi millisecondi.

Al giorno d'oggi, si dice che l'HTTPS WordPress stia rallentando. Fondamentalmente, un certificato SSL va a beneficio solo del tuo sito. E poiché Google inizierà presto ad aggiungere la parola "non sicuro" alle pagine non criptate, è giunto il momento di passare all'HTTPS.

Oggi vi farò vedere:

  • Perché questo è il momento migliore per passare WordPress all'HTTPS
  • Come passare WordPress a HTTPS
  • Perché l'HTTP/2 rende le vostre WordPress pagine più veloci
  • Quale incremento di prestazioni ci si può aspettare per un WordPress sito sotto HTTPS
  • Un semplice trucco per rilevare se il vostro hoster sta già utilizzando HTTP/2 (cosa che dovrebbe fare!)

E' tutta una questione di HTTPS, che sia WordPress o meno

Già tre anni fa Google ha chiamato alla sua conferenza di sviluppo Google I/O il motto "HTTPS ovunque". In breve, gli sviluppatori di Google dell'epoca Pierre Far e Ilja Grigorik hanno preso le bastonate per l'uso di TLS (il protocollo successore di SSL) e hanno mostrato nel loro Sessione Tra le altre cose, individua i modi per attuarle.

Solo poche settimane dopo, nell'agosto 2014. HTTPS quindi come segnale di classifica ufficiale incluso nel ranking di ricerca di Google. Così Google ha cercato per anni di convincere i gestori di siti web a passare a HTTPS utilizzando argomenti e creando fatti.

Il fatto che Google Chrome punirà presto le pagine HTTP con la nota "non sicuro" è certamente da considerarsi il prossimo grande passo dell'offensiva "HTTPS everywhere" di Google. In realtà, questo suggerimento è già visualizzato per le pagine a partire dalla versione Chrome 56che recuperano le informazioni della carta di credito, per esempio. Con la nuova versione 62 del browser Google, tuttavia, questa regola viene applicata a tutte le pagine che consentono l'inserimento di dati da parte del cliente, come i moduli di contatto o i campi di ricerca.

Le password e le carte di credito non sono gli unici tipi di dati che dovrebbero essere privati. Qualsiasi tipo di dati che gli utenti digitano nei siti web non dovrebbe essere accessibile ad altri sulla rete, quindi a partire dalla versione 62 Chrome mostrerà l'avviso "Non sicuro" quando gli utenti digitano i dati nei siti HTTP.

– Emily SchechterChrome Security Team.

Free SSL: Mai prima d'ora è stato così conveniente passare WordPress all'HTTPS

Tre anni fa, quando i due sviluppatori di Google si sono espressi a favore di TLS, è stato necessario acquistare certificati SSL e installarli personalmente. Da allora la situazione è cambiata radicalmente; e in meglio.

Nel 2016, l'iniziativa Let's Encrypt ha iniziato a rilasciare certificati SSL gratuiti. Grazie a Sponsor come - non c'è da stupirsi - Chrome, ma anche Facebook e le aziende dell'WordPress Universo, i californiani oggi possono fornire quasi 40 milioni di certificati SSL gratuiti attivi.

WordPress  HTTPS Crittografiamo i numeri della crescita. Il numero di certificati attivi è aumentato di quasi otto volte dall'ottobre 2016.
Come potete vedere, la crescita di Let's Encrypt ha registrato una forte accelerazione dall'ottobre 2016. Da allora, il numero di certificati attivi è aumentato di quasi otto volte.

Questo sviluppo ha influenzato in modo massiccio il paesaggio che lo ospita: certificati SSL gratuiti sono oggi standard e anche la configurazione è ora possibile per ogni utente grazie all'integrazione di installazioni con un solo clic.

L'HTTPS era WordPress una vera spina nel fianco

Prima della distribuzione di massa di certificati SSL gratuiti ben due anni fa, il passaggio da WordPress HTTPS era una vera e propria spina nel fianco. Soprattutto per i proprietari di piccoli siti che hanno bisogno solo di certificati convalidati dal dominio.

Info: Questi tipi di certificati SSL sono disponibili

  • Certificati IT: DV è l'acronimo di Domain Validated. Un certificato DV serve a verificare se il dominio e lo spazio web "appartengono insieme". Se tutto è corretto, si può presumere che si finirà davvero sullo spazio web corrispondente quando si accede al dominio e non su un sito di phishing. Il processo di configurazione è ancora piuttosto semplice: l'amministratore del dominio conferma di avere i diritti appropriati su un dominio e viene quindi autorizzato a crittografare la sua pagina di conseguenza.
  • Certificati OV: OV sta per Organizzazione Convalidata. Oltre alla convalida del dominio, tale certificato garantisce che la pagina che state visitando appartiene realmente all'azienda di cui volevate visitare l'offerta.
  • Certificati EV: I cosiddetti certificati estesi convalidati fanno un passo avanti: qui l'ente di certificazione verifica intensamente i documenti aziendali. Tra le altre cose, la forma giuridica dell'azienda è inclusa nel certificato.

Anche l'impostazione di un semplice certificato DV era una vera e propria sofferenza per le WordPress pagine e può non essere fattibile per i non tecnici. Questo perché il processo consisteva di almeno quattro fasi:

  1. Acquista il certificato: Qui ci si è dovuti confrontare con il panorama dei fornitori e confrontare attivamente prezzi e condizioni anche per semplici certificati IT. Questo ha anche portato alcuni fornitori a inventare caratteristiche molto creative, come le polizze assicurative, per differenziare i loro prodotti. Nel caso di certificati estesi, qui viene aggiunta la fase di convalida, ovvero la prova che il proprietario del dominio è anche il proprietario dell'azienda. A seconda del certificato, questo processo potrebbe richiedere giorni o settimane.
  2. Impostare il certificato: Il passo successivo è stato quello di memorizzare le informazioni del certificato sul server web. A seconda del fornitore, questo è stato più o meno complesso. Nel frattempo, tuttavia, tutti i provider di hosting hanno effettivamente creato un flusso di lavoro più o meno buono che guida l'utente nel processo di configurazione.
  3. WordPress preparatevi per HTTPS: Dopo la creazione del certificato stesso, il sito doveva essere preparato per il passaggio da HTTP a HTTPS. Per fare questo, ogni voce del database e ogni risorsa della pagina doveva essere convertita in HTTPS e il risultato doveva essere controllato per verificare la presenza di errori di contenuto misto.
  4. Configurare Google: Dopo il cambio di pagina, le entità in Google Analytics e nella Google Search Console (ex Google Webmaster Tools) hanno dovuto essere adeguate.

Lo sviluppo avviato da Let's Encrypt verso i certificati IT gratuiti ha semplificato enormemente questo processo. Molti hoster offrono ora anche un'installazione semplificata, dove nel migliore dei casi Attivare e impostare un certificato con un clic e la pagina viene automaticamente commutata su HTTPS. Questo indipendentemente dal fatto che il progetto sia o meno un WordPress -progetto.

CONSIGLIO: È necessario impostare SSL senza un'installazione con un solo clic?

Se siete sfortunati, il vostro hoster non offre ancora un'installazione semplificata. In questo caso dovete effettuare voi stessi le WordPress impostazioni per HTTPS:

  • Il mio collega Jonas Tietgen, alias WP Ninjas, spiega come fare.
  • Allo stesso modo Istruzioni di René Dasbeck, alias netzgänger
  • E anche il collega Finn Hillebrandt di blogmojo ha affrontato l'argomento

Senza Google no HTTP/2

L'ho già detto: Google, nell'ambito della sua offensiva "HTTPS everywhere", è sempre stato interessato ad avere il maggior numero possibile di siti con certificati SSL. Questo potrebbe essere il motivo per cui Chrome è lo sponsor ufficiale di Let's Encrypt. Anche il gigante dei motori di ricerca è stato determinante nello sviluppo di HTTP/2.

Perché il protocollo precedente, SPDYè stato sviluppato per la prima volta come esperimento da Google per esplorare le possibilità tecniche con cui il quasi antico HTTP/1 poteva essere migliorato. Questo nel 2009. Nel 2015, i risultati del progetto sperimentale SPDY sono andati in Protocollo HTTP/2 standardizzato tramite.

Ecco perché HTTP/2 rende le vostre WordPress pagine più veloci

HTTP/2 è stato dotato di numerose nuove funzioni che consentono un trasferimento di dati molto più veloce:

  • Multiplexing: Con questa funzione è possibile caricare diversi flussi di dati attraverso una connessione tra il server web e il client (cioè il browser dei visitatori del vostro sito). Con HTTP/1 si deve aprire una connessione separata per ogni flusso di dati. E aprire questi collegamenti richiede tempo.
  • Compressione della testata: Ogni richiesta HTTP che un client fa ad un server web contiene meta informazioni in modo che la pagina possa essere impostata correttamente. Questa meta informazione è cresciuta negli anni. HTTP/2 comprime queste informazioni e quindi salva il volume dei dati.
  • Server Push: A volte chiamato anche cache push. Il principio alla base di questa caratteristica è molto semplice: la stragrande maggioranza delle richieste ad un sito sono molto simili. Se il vostro server web riconosce il tipico schema di chiamata, ad esempio per la vostra homepage, allora il server invia tutte le informazioni necessarie per costruire la pagina al browser senza che gli venga chiesto. In questo modo, il browser deve effettuare un numero notevolmente inferiore di richieste HTTP al server. Questo rende la pagina più veloce.

Beh, tutto ciò suona abbastanza bello in teoria. Ma cosa significa in pratica? La pagina del test HTTPS vs. HTTP mostra in modo impressionante quanto sia grande la differenza tra le due generazioni di protocollo.

In un confronto tra HTTPS e HTTP, HTTPS può essere molto più veloce.
In uno dei nostri test sono state riscontrate differenze di tempo di caricamento, come il giorno e la notte, tra HTTP/1 e HTTP/2. La variante HTTP del test è stata del 914 per cento più lenta della variante HTTP/2. Questi sono buoni presagi per cambiare le vostre WordPress pagine in HTTPS.

Naturalmente è particolarmente interessante vedere come queste nuove funzionalità influiscono sul tempo di caricamento delle vostre pagine nel mondo reale. Se la tua pagina è in esecuzione su un server abilitato HTTP/2, puoi semplicemente chiedere al tuo hoster (o scoprirlo da solo usando questo semplice trucco). A condizione, naturalmenteWordPress , che funzioni sotto HTTPS.

Il test acido: HTTPS è il 45 per cento più veloce WordPress nei test

Veniamo agli affari: Quale incremento di prestazioni ci si può realisticamente aspettare da una conversione di una WordPress pagina in HTTPS? Perché una pagina finita non mostrerà il 914 per cento appena misurato. Per questo motivo abbiamo testato il tutto con la nostra homepage. Questo significa che abbiamo testato raidboxes.de una volta con e una volta senza HTTPS.

WordPress  HTTPS senza SSL richiede RAIDBOXES  più di 5 secondi per il caricamento
WordPress  HTTPS con SSL richiede RAIDBOXES  solo 3 secondi per il caricamento
Il test vero e proprio è stato fatto con Webpagetest. Il tempo di caricamento di un clone è stato misurato da raidboxes.it tramite il italiani server di test. In totale, sono stati effettuati sette test consecutivi per ciascuna delle varianti HTTPS e HTTP e i risultati sono stati mediati. Importante: la pagina mostra un pessimo punteggio di performance. Perché alcune risorse funzionano solo nel dominio corretto del sito. Il tempo di carico è quindi l'unico fattore decisivo per il confronto.

Il test mostra: una copia della nostra homepage è più veloce del 45% con HTTPS in un colpo solo. Il nostro ampio test con sette test consecutivi di server tedeschi mostra risultati simili.

Life-Hack per i webmaster: ecco come si può capire a colpo d'occhio se il vostro host utilizza HTTP/2

E poiché l'HTTPS dà ai vostri WordPress -WordPress progetti quel conveniente incremento di prestazioni, è ancora più importante sapere se il vostro hoster utilizza HTTP/2. Naturalmente, si può semplicemente chiedere nel supporto, ma c'è anche un metodo che permette di vedere a colpo d'occhio se il vostro sito, o qualsiasi altro sito che state testando, sta beneficiando di HTTP/2.

Basta una sola cosa: un diagramma a cascata del vostro sito. Lo si crea misurando il tempo di caricamento con gli utensili Webpagetest, Pingdom oppure GTmetrix. Basta inserire l'URL da testare ed eseguire il test. Per questo trucco non importa da dove e con quali specifiche il test viene eseguito.

Nel diagramma a cascata finito si deve ora solo prestare attenzione se le singole richieste vengono caricate contemporaneamente o esclusivamente cronologicamente. Se vengono caricati contemporaneamente, la vostra pagina utilizzerà HTTP/2.

WordPress  HTTPS vs WordPress  HTTP
Come si può vedere, le singole richieste vengono caricate nella versione sinistra (HTTP) cronologicamente, cioè una dopo l'altra. Nella versione giusta (WordPress con HTTPS), tutte le richieste vengono caricate contemporaneamente.

Se avete attivato l'HTTPS sui vostri WordPress WordPress progetti e le richieste non vengono caricate in parallelo, contattate urgentemente il vostro hoster 😉.

Conclusione: HTTPS come opportunità per i vostri WordPress progetti

Recentemente Google ha iniziato ad inviare le prime email di avvertimento agli operatori delle pagine HTTP. Perché dalla versione 62 in poi, le pagine del Chrome Browser che consentono l'inserimento di dati da parte dell'utente saranno contrassegnate con la dicitura "non sicuro".

WordPress  HTTPS Esempio di una pagina HTTP nella nuova versione Chrome 62
Ad esempio, la barra degli indirizzi dei colleghi di t3n avrebbe questo aspetto se Chrome mostrasse l'avviso "Non sicuro" su tutte le pagine HTTP.

Ciò significa, in linea di principio, che ogni pagina HTTP con un modulo di contatto o una funzione di commento è marchiata da Google. Fortunatamente, non è mai stato così facile come oggi cambiare le proprie WordPress pagine in HTTPS: I certificati SSL sono per lo più gratuiti e le installazioni con un solo clic risparmiano molto lavoro durante l'installazione e permettono anche ai webmaster meno esperti di effettuare il cambiamento. E il nostro test dimostra: anche con un sito meno ottimizzato può trarre WordPress grande vantaggio dall'HTTPS e si carica semplicemente molto più velocemente.

Nel migliore dei casi, basta un solo clic. Quindi, se si eseguono ancora pagine sotto HTTP, possiamo solo consigliare vivamente di passare da una pagina all'altra.

RAIDBOXER della prima ora e responsabile del supporto. Al Bar- and WordCamps gli piace parlare di PageSpeed e delle prestazioni del sito web. Il modo migliore per corromperlo è con un espresso - o un pretzel bavarese.

Articoli correlati

Commenti su questo articolo

Scrivi un commento

Il tuo indirizzo mail non sarà pubblicato. I campi obbligatori sono contrassegnati con * marcato.