Come migrare il sito da HTTP a HTTPS: Joomla [SEO] e Social Sharing Plugin

Lo scorso 26 Gennaio, in concomitanza al rilascio di Google Chrome 56 ho deciso di passare il mio sito realizzato con il CMS Open Source Joomla al protocollo HTTPS (Hypertext Transport Protocol Secure). In rete ci sono tante buone spiegazioni sui motivi del perché e quando migrare, che qui eviterò di riportare perché non è lo scopo di questo articolo. Inoltre Mountain View è già stata molto chiara a riguardo. Da un estratto della mail di Google Search Console, arrivata in queste settimane a tutti i possessori di siti registrati al medesimo strumento di analisi e gestione, riporto:

Il nuovo avviso rappresenta solo la prima fase di un piano a lungo termine per contrassegnare come "Non sicure" tutte le pagine pubblicate tramite il protocollo HTTP non criptato.

Quindi a buon intenditor poche parole. Google avrà ancora vita lunga nel web e oggi tante "regole" le detta proprio lui; influenza mercati, acquisizioni, lo sviluppo di figure professionali di settore, crea lavoro, strategie marketing, orienta investimenti pubblicitari e molto altro, quindi per il bene del vostro Business (qualunque esso sia) se volete continuare a portarlo avanti con qualità e profitto adeguatevi non solo al protocollo crittografato ma più ampiamente ad una visione di web sempre più veloce e complesso. Imparate ad evolvere con esso senza incertezze.

Per i siti appena nati si può disporre del certificato SSL fin dall’inizio ma per tutti quelli già presenti in rete occorre procedere con la migrazione. Di per sé la procedura è alquanto semplice ed immediata ma necessita di qualche attenzione lato SEO per evitare penalizzazioni in termini di posizionamento organico. Vediamo di seguito tutti i passaggi con relative accortezze.

Il primo step è ottenere il certificato SSL per il dominio che si vuole migrare. Personalmente mi affido al provider Ergonet, realtà italiana formata da esperti professionisti e persone amiche con le quali mi confronto da oltre 10 anni su qualsiasi tematica di settore; CMS, programmazione, configurazioni server fino a semplici consigli per i miei clienti e su tutto questo fanno la differenza. Il loro customer care rispecchia in toto una visione aziendale fatta di competenza, flessibilità ed efficienza. Ergonet mette a disposizione il certificato gratuitamente, basta farne richiesta tramite il nuovo widget Let's Encrypt presente nel WebPanel ed è attivo entro 15 minuti. Cambiano tempi e modalità ma comunque molti altri fornitori di servizi di hosting - vedi Aruba - stanno offrendo il certificato a costo zero.

La procedura di setup richiede un minuto.

1. Attraverso il menu Sistema accedete alla sezione Configurazione globale 
   
   
   
   
2. Nella scheda Server, impostate la voce Forza HTTPS su "Tutto il sito"
   
   
3. Salvate le modifiche alla configurazione. Completata questa operazione sarà possibile visualizzare l'icona del lucchetto sicuro prima dell'URL nella barra degli indirizzi del browser.
   
   

Ora occorre controllare se tutte le URL del sito hanno l'icona che avvisa della connessione protetta. Potrebbe capitare che alcune pagine conservino al loro interno qualche riferimento statico al prefisso HTTP (ad esempio nel mio sito la colpa era da imputare al social button di Pinterest). In questo caso il simbolo visualizzato sarà il seguente:

Per i siti di piccole dimensioni questa operazione può essere svolta anche manualmente, ma proviamo ad immaginare e-commerce, quotidiani online e in generale siti web con centinaia o migliaia di pagine. Sarebbe un’immane perdita di tempo. Il consiglio allora è quello di eseguire una scansione con il tool di JitBit (SSL Check) grazie al quale, inserito il nome del sito da analizzare, verranno mostrati tutti i contenuti che non vengono caricati correttamente in HTTPS.

Una volta completato il passaggio da HTTP ad HTTPS, occorre fare in modo che tutte le pagine precedentemente indicizzate con il protocollo HTTP, rispondano anche in HTTPS (redirect 301). Questa operazione eviterà problemi con Google ed il posizionamento raggiunto in serp dal vostro sito. Per fare questo bisogna inserire le seguenti righe di istruzione nel file .htaccess

Copia/Incolla

RewriteCond %{ENV:HTTPS} off
RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301,NE]

L’immagine sottostante mostra il punto corretto di inserimento.

Va bene anche sotto RewriteEngine On. Mentre la presenza di una variabile di ambiente (con riferimento ENV) dipende dalla configurazione dei web server.

Segnalo una cosa alla quale probabilmente non tutti pensano prima della migrazione. I social sharing plugin che tengono conto del numero dei vari like e condivisioni su Facebook, Twitter, Google+ ecc vengono azzerati - ovviamente solo visivamente - per un discorso di cambio URL (appunto da HTTP a HTTPS). Personalmente la cosa ha un’importanza relativa ma molti clienti e partners potrebbero pensarla diversamente. Immaginate brand di moda, webshop, business nel turismo, in un'era social dove l’immagine vuole la sua parte, i Like - proprio perché puntano a rafforzare reputazione ed engagement - rimangono i protagonisti. E poi occhio al suicidio di massa dei vari blogger, "guru" e "influencer" dopo aver notato il contatore a quota 0.

Nonostante nel mio sito sia riuscito a risolvere con una programmazione ad hoc lunga e articolata (sto ancora monitorando risultati ed effettive funzioni), allo stato attuale non ci sono plugin che con un semplice download e installazione consentano di sciogliere il nodo della questione. Vi segnalo però AMPZ Social Sharing. Dietro questo plugin c'è Roy, programmatore olandese e Owner of Roosterz.nl che sta lavorando in questa direzione. Tenetelo d'occhio. Durante un lungo ed interessante confronto via chat, Roy mi fa presente di avere in cantiere una versione beta del suo plugin con la feature (Keep Shares) ma che necessita ancora di molto lavoro prima di un eventuale rilascio ufficiale. L'idea è questa:

Vedremo nei prossimi tempi. A prescindere dalla funzione ancora non presente vi consiglio di utilizzarlo.

Configurazione del plugin

Il plugin sviluppato da Roosterz.nl non è complesso da configurare e la personalizzazione è intuitiva ma se vi dovesse servire qualche aiuto in più qui trovate tutta la documentazione necessaria. E poi non esitate a scrivere a Roy che si è dimostrato molto disponibile, vi offrirà velocemente il supporto di cui avete bisogno. 

Altra cosa che vi segnalo è il debugger di condivisione di Facebook - https://developers.facebook.com/tools/debug/ - con il quale potete aggiornare e verificare il numero effettivo di like nelle vostre pagine. Prendete una URL ed eseguite il debug. Una volta fatto, noterete una serie di info come: URL recuperato, URL canonico, percorso di reindirizzamento e diverse altre info riguardanti l’indirizzo analizzato. Prestate attenzione al numero di “Mi piace” che leggete (nel mio caso 254) e cliccate su Esegui lo scraping di nuovo. Pochi secondi e la pagina sarà aggiornata assieme al numero di like corretto. È una questione di cache. In questo caso avete forzato la lettura.

Dopo il passaggio ad HTTPS se usate Google Analytics come tool per monitorare le vostre statistiche avete due possibilità per continuare ad utilizzarlo correttamente. La prima è quella di creare un nuovo codice di incorporamento (significa ricominciare da zero la raccolta delle statistiche) e cancellare il vecchio dal sito; la seconda, quella che vi consiglio e illustro di seguito, consente di lasciare lo stesso codice di monitoraggio senza perdere nessun numero.

Accedete nel vostro profilo Google Analytics e cliccate su:

• Amministrazione
• Proprietà
• Impostazioni proprietà

In questa pagina é possibile aggiornare la URL da HTTP a HTTPS.

Ora occupiamoci delle impostazioni vista

Sempre nel pannello di Google Analytics portiamoci su:

• Amministrazione
• Vista
• Impostazioni Vista

Anche qui cambiate la URL da HTTP a HTTPS

Ora è il turno della Google Search Console con la verifica del nuovo sito in versione HTTPS. Andate quindi nel pannello generale dello strumento e:

1. Verificate sia la versione con www che quella senza www
2. Impostate il dominio preferito (scegliete quello con www)
3. Controllate il file robots.txt che sia accessibile
4. Inviate la nuova sitemap* con le URL in HTTPS

*Aggiornate la mappa XML del sito ed inviala a Google. Per i vari CMS come Joomla, Wordpress, Drupal, Magento o Pretashop ci sono vari plugin dedicati alla creazione di sitemap, altrimenti generatela direttamente online tramite tools come xml-sitemaps o seoutility.

A questo punto il lavoro è finito. Avete configurato correttamente il sito con il protocollo HTTPS e, lato SEO, sono stati eseguiti tutti i passaggi per evitare penalizzazioni da parte di Google.