Joomla.it Forum
Joomla! 3 => Joomla! 3 => : Acar83 12 Jan 2017, 17:07:06
-
Non ho trovato guide certificate che descrivono le impostazioni corrette di joomla, htaccess e impostazioni SEO quando viene impostato il protocollo HTTPS.
aruba lo sta offrendo gratis a tutti i proprio utenti, quindi tutti gli altri provider si adegueranno.
Sono sicuro che una guida completa farebbe comodo a molti.
-
Ciao,
per quando riguarda il provider da te citato, non si potrebbe citarlo essendo commerciale, non devi far altro che seguire le informazioni che dà il medesimo provider. Immagino che anche per gli altri sarà lo stesso.
Per Joomla non cambia nulla.
-
La mia domanda non è una questione del provider. Possiamo anche cancellare la menzione. La questione è. Quale è la configurazione corretta in joomla per attivare il protocollo https?
Se sul provider o server in casa c'è un certificato installato correttamente su joomla basta forzare https dal pannello di controllo e finisce lì?
-
Ciao Acar83,
quando il certificato è correttamente configurato sul server allora vai in configurazione globale di Joomla ed attivi "Forza HTTPS" su "Tutto il sito".
Poi fai un giro per il sito a vedere se tutto funziona correttamente. Devi fare attenzione che le pagine del sito non facciano chiamate ad elementi in http, tutto deve ora essere richiamato in https, sia JS o immagini o CSS ecc... altrimenti la pagina genera errore di certificato
-
Ciao a tutti,
sto iniziando su diversi siti l'attivazione del certificato
Per ora tutto bene, come dice Alex importate che i link interni siano tutti in https altrimenti non vi esce la dicitura "Sito Sicuro" :)
confermo che non sarebbe male una miniguida :)
-
Se su un sito in Joomla forzi l'https dal pannello di controllo e sei sull'hostig di cui parliamo, con il certificato che mettono a disposizione gratuitamente, il sito si blocca e non reindirizza. Devi farlo sul pannello di controllo dell'hosting e tutte le pagine sono a posto (e i link non assoluti).
Per gli altri provider non lo so, ma prima di forzare da Joomla sentirei l'hosting.
-
I siti in firma sono lì. Ho fatto tutto dal pannello di controllo e Joomla non l'ho toccato.
-
Grazie a tutti. Ho testato il protocollo su un paio di siti. si bisogna stare molto attenti anche ai moduli utilizzati.
-
Io ho fatto 2 test sull'hosting precedentemente citato.
Forzare da joomla crea dei loop di reindirizzamento.
Mi hanno spiegato dopo un tiket tutta una serie di modifiche da fare ad alcuni file del core di joomla.
La cosa non mi suonava bene e non ci ho neanche provato. Soprattutto in virtù del fatto che anche loro dicevano che ad ogni aggiornamento queste modifiche si perdono.
Quindi utilizzo il tool che mettono a deposizione.
Ho notato anche che avendo attiva la compressione gzip con il certificato installato non si caricano css e java.
-
Io ho avuto reazioni diverse su server dello stesso hosting. Non bisogna modificare il core di jm.
-
Ri accodandomi a questo post, volevo fugarmi un dubbio.
Parto dal presupposto che per il 90% degli attuali siti non ci saremmo sognati di installare un certificato se Google non facesse una politica per l'https.
Ne guadagneremo in sicurezza sicuramente, ma credo che molti lo faranno perchè ci sono delle probabili penalizzazioni a livello seo.
Dico probabili perchè non mi sono ancora informato sulla questione e proprio oggi ho letto un post di un blog di un hosting (non il solito innominabile) dove vi sono scritte testuali parole:
"senza il protocollo HTTPS il motore di ricerca ti penalizzerà nelle SERP, facendo scivolare i tuoi contenuti in una posizione molto distante dalla prima pagina".
Qualcuno sa come funziona questo aspetto? Volevo capire se un sito dove non vengono richieste password e in teoria non c'è bisogno del certificato, per quale motivo dovrebbe essere penalizzato nelle serp?
Quale potrebbe essere il parametro di penalizzazione?
Ringrazio in anticipo per le risposte
-
Ciao lucantropo,
io credo che una piccola differenza a livello di posizionamento ci sia già.
-
Dico probabili perchè non mi sono ancora informato sulla questione e proprio oggi ho letto un post di un blog di un hosting (non il solito innominabile) dove vi sono scritte testuali parole:
"senza il protocollo HTTPS il motore di ricerca ti penalizzerà nelle SERP, facendo scivolare i tuoi contenuti in una posizione molto distante dalla prima pagina".
Quando si dice prendere la palla al balzo :D , se nel sito non hai form di contatto, dormi pure sonni tranquilli e con i dindini per il certificato ssl vacci a mangiare una pizza.
Molti hosting seri lo offrono già gratuito su certi piani!
-
Quando si dice prendere la palla al balzo :D , se nel sito non hai form di contatto, dormi pure sonni tranquilli e con i dindini per il certificato ssl vacci a mangiare una pizza.
Molti hosting seri lo offrono già gratuito su certi piani!
form di contatto ne abbiamo tutti, al momento dubito che l'utente medio vada a vedere in chrome sulla barra del browser l'icona a forma di informazioni, la clicchi e legga l'informativa.
Detto questo a breve farò il passaggio ad https per il mio sito dato che il mio hosting lo regala. So già che per i clienti sarà dura farlo capire e mi preme quindi conoscere il metro per cui si perderebbero posizioni nelle serp.
Per dire il mio sito al momento ancora in http non è sceso di una posizione, anzi ultimamente è salito.
-
Google lo ha dichiarato apertamente. Dal 1 gennaio 17 fa la differenza. Per i miei gusti detta un po' troppo legge. Amp, ssl, velocità, mobile-friendly. Ma governa il mercato. Quindi o te ne sbatti per principio o ti adegui. Io mi sono adeguato.
Può essere anche un volano per quelli del settore come noi.
-
Si va bene, ma vorrei capire il meccanismo.
Vedo siti (non miei) a cui ho fatto lo speed test di Google che sono abbastanza lenti ma sono primi comunque.
Mi piacerebbe capire su un sito standard dove al massimo c'è un form di contatto ma senza https quale sua il motivo per cui si dovrebbe arretrare nelle serp.
-
Le variabili che fanno scalare un sito rispetto ad un altro sono molteplici e spesso sconosciute. Almeno finché l'algoritmo di Google è segreto e continua a mutare nel tempo. Cerca di fare le cose per bene e creare contenuti realmente utili per gli utenti. Pagherà i tuoi sforzi ma non ne fare una malattia. Tra 3 giorni probabilmente le regole cambieranno ancora...
-
Assolutamente.
Di certo non me ne faccio una malattia.
Sto solo cercando un metodo per spiegare la situazione al clente tipo.
Poi per quel che mi riguarda son ben posizionato per quello che mi interessa.
-
Ho fatto una prova su un mio sito, usando un certificato gratuito generato usando il sito www.sslforfree.com che a sua volta usa https://letsencrypt.org/ (spero si possano citare, dato che sono soluzioni gratuite).
Il certificato pare sia utilizzabile anche dalle aziende, però dura solo 90gg
Cmq ho seguito la guida dell'articolo... tutto OK, però ho moltissimi elementi che NON vanno in https, ad esempio i pulsanti social (uso social2s free) ... un bagno di sangue!
Mi sono arreso (per ora) e rimesso tutto come prima :-)
Edit: tutto OK da lato amministrativo e infatti l'ho lasciato attivo
-
Ciao Daniele uso letsencrypt.org su un mio server. Puoi impostare il sistema per il rinnovo automatico. Dipende da cosa usi per gestirlo.
Ho avuto il tuo problema con un modulo che preleva immagini da Twitter non in https. Ho modificato il modulo aggiungendo una "s" alla chiamata dell'immagine. :) prima o poi aggiorneranno anche i moduli.
Per i bottoni social prova http://socext.com/download/socbuttons.html
A me non ha dato problemi.
Poi aggiungi https anche alla variabile live_url dentro configuration.php
È tutta roba free quindi può essere menzionata tranquillamente.
Spero di esserti stato d'aiuto.
-
per chi usasse joomla su una VPS con Plesk qui una piccola guida su come installare un certificato gratuito "let's encrypt"
https://www.icagenda.it/come-installare-un-certificato-ssl-let-s-encrypt-su-plesk.html
-
Ciao Daniele uso letsencrypt.org su un mio server. Puoi impostare il sistema per il rinnovo automatico. Dipende da cosa usi per gestirlo.
Ho un VPS con Plesk
Ho avuto il tuo problema con un modulo che preleva immagini da Twitter non in https. Ho modificato il modulo aggiungendo una "s" alla chiamata dell'immagine. :) prima o poi aggiorneranno anche i moduli.
Si immaginavo si potesse fare una cosa simile...
ovviamente occorre stare attenti con gli aggiornamenti delle estensioni modificate... o meglio avvisare gli autori, sperando che nel caso di social2s non mettano l'opzione nella versione premium :-D
Per i bottoni social prova http://socext.com/download/socbuttons.html (http://socext.com/download/socbuttons.html)
Ora gli do uno sguardo... ma social2s è l'unica estensione che ho trovato che non crea rallentamenti al sito
A me non ha dato problemi.
Poi aggiungi https anche alla variabile live_url dentro configuration.php
È tutta roba free quindi può essere menzionata tranquillamente.
Spero di esserti stato d'aiuto.
Si avevo modificato anche la variabile live_url, come suggerito nell'articolo.
-
Ho risolto ;D
e penso che la soluzione possa servire a qualcuno :)
Il problema con social2s era dovuto alla cache (in effetti chi realizza il plugin ha già il sito in https e non presenta problemi).
Avevo un altro problema, con un piccolo banner di un servizio di spedizioni economico che regale 10 centesimo per ogni cliente che arriva dal mio sito tramite il banner (attualmente 0 Euro guadagnati :-D ) e alla fine l'ho dovuto togliere perché il sito da cui proviene il banner non è in htttps...
Per cui sembra che tutto sia andato per il meglio :)
Ovviamente dovrò cercare alcuni link interni inseriti manualmente e correggerli :)
In definitiva credo che sia utile aggiungere alla guida di cancellare la cache.
Altra cosa che potrebbe essere utile da aggiungere, giusto per non tralasciare nulla al caso e guidare gli utenti meno esperti (o un po' distratti) in tutti i passaggi: il file configuration.php potrebbe avere i permessi 444 e non 644 quindi tramite ftp non si riesce ad aggiornarlo.
-
ok, consigli inseriti in guida e pubblicato anche nuovo articolo in homepage sempre su questo argomento.
-
Ciao ragazzi, vorrei discutere di alcune cose ch enon ho visto trattate finora e che sarà forse il caso di inserire nelle FAQ una volta chiarita bene la questione. Come ci dobbiamo comportare in search console e in analytics dopo aver attivato il certificato ed avere quindi redirezionato tutto il sito su https?
Io su analytics vado in gestione della proprietà dove a mezzo di un menu a tendina scelgo https. Non ho notato alcuna differenza tra il prima e il dopo.
Su search console non avevo fatto nulla finora. Avevo letto di qualcuno che manda le nuove sitemap con gli indirizzi modificati, a mio avviso sbagliando perchè quella proprietà è stata dichiarata in http. Nelle guide di google ho trovato questo suggerimento:
Migrazione da HTTP a HTTPS Se esegui la migrazione del sito da HTTP a HTTPS, Google considera l'operazione uno spostamento del sito (https://support.google.com/webmasters/answer/6033049) con modifiche agli URL. Ciò può influire temporaneamente sulle cifre relative al traffico. Per ulteriori informazioni, consulta la pagina recante una panoramica sullo spostamento di un sito (https://support.google.com/webmasters/answer/34437).
Aggiungi la proprietà HTTPS a Search Console. Search Console gestisce HTTP e HTTPS separatamente, non condividendo i dati relativi a tali proprietà. Pertanto, se hai pagine che adottano entrambi i protocolli, devi indicare una proprietà Search Console distinta per ciascuno di essi.
Quindi poichè in altre guide ho letto che il cambio di protocollo non può essere gestito come un cambio di indirizzo io direi di creare un'altra proprietà con l'indirizzo contente https e di mandare in questa una nuova mappa, essendo che non mi pare possibile cambiare la proprietà dove avevamo indicato http. Voi che dite?
-
Credo che sia corretto, perché Search Console non permette la modifica da http a https e anche da altre parti viene suggerito di creare una nuova proprietà come se fosse un sito differente. E ovviamente a questo passiamo la nuova sitemap.
Certo che google poteva implementare la gestione del passaggio a https prima di "forzarci".
P.S.
Non so se l'avete notato ma anche Firefox ha inserito un luchetto sbarrato nei siti non protetti da https quando c'è un campo password.
-
Si, credo si possa aggiungere alla FAQ di aggiungere in search console la nuova proprietà indicando il link al sito in https.
Search console però non prevede il "Cambio indirizzo" in questo caso dalla proprietà http a quella in https, quindi rimangono entrambe le proprietà elencate in search console.
P.S.
Non so se l'avete notato ma anche Firefox ha inserito un luchetto sbarrato nei siti non protetti da https quando c'è un campo password.
mi pare un poco più blando il controllo di Firefox e vedo molto più spesso quel lucchetto sbarrato, non solo nelle pagine http con campo password. Per esempio segnala anche questa pagina: http://www.joomla.it/e-ancora/articoli-community-3x/8598-chrome-segnala-alcune-pagine-dei-siti-joomla-come-non-sicure.html ma di campi password non ne vedo.
-
mi pare un poco più blando il controllo di Firefox e vedo molto più spesso quel lucchetto sbarrato, non solo nelle pagine http con campo password. Per esempio segnala anche questa pagina: http://www.joomla.it/e-ancora/articoli-community-3x/8598-chrome-segnala-alcune-pagine-dei-siti-joomla-come-non-sicure.html (http://www.joomla.it/e-ancora/articoli-community-3x/8598-chrome-segnala-alcune-pagine-dei-siti-joomla-come-non-sicure.html) ma di campi password non ne vedo.
Su quel link non vedo il lucchetto.
-
per chi usasse joomla su una VPS con Plesk qui una piccola guida su come installare un certificato gratuito "let's encrypt"
https://www.icagenda.it/come-installare-un-certificato-ssl-let-s-encrypt-su-plesk.html (https://www.icagenda.it/come-installare-un-certificato-ssl-let-s-encrypt-su-plesk.html)
Una bella guida Giusebos, se permetti l' apprezzamento. E cade anche al momento giusto, vuoi per il discorso certificati, vuoi perché mi sembra che il mercato dei piccoli server (vps o dedicati) sia in crescita, almeno presso un pubblico professionale.
Se posso aggiungere è meglio aver fatto prima un backup del server perché occasionalmente può generarsi un errore che riguarda un ID assente con conseguente blocco un po' di tutto.
I certificati Let's Encript che si possono avere sono quelli base, con sola certificazione del dominio, per gli altri livelli di certificazione si ricorre al metodo tradizionale con CRS da far firmare, che Plesk gestisce bene come gli altri.
Con altrettanta facilità Plesk redirige tutto un sito a https. Funzione comoda anche se, a onore di Joomla, non vedo sensibili differenze nella velocità di scarico a browser dei due metodi.
Ciao!
-
In italiano non c'era ancora nulla, così ho messo insieme un pò di informazioni tra quelle nelle varie faq dei provider e quelle di plesk, faq rigorosamente in inglese natiralmente.
Si un backup non lo scordiamo mai, anchje quando si installa un piccolo plug in su joomla, il backup una volta su mille ti leva dal fuoco le castagne.
Quindi meglio investire un pò di tempo nei vari backup, che siano di joomla, di tizio o di caio, che perdere ore nel ripristinare il danno!!
-
la modifica dell'htacess non è affatta facoltativa. Per un sito posizionato molto bene ho perso 2/3 del traffico per non averlo fatto.
Correggete per favore visto il danno che mi ha creato.
Grazie
-
la modifica dell'htacess non è affatta facoltativa. Per un sito posizionato molto bene ho perso 1/3 del traffico per non averlo fatto.
Correggete per favore visto il danno che mi ha creato.
Grazie
Un altro che da la colpa agli altri quando non sa usare gli strumenti...
-
Un altro che da la colpa agli altri quando non sa usare gli strumenti...
No, è solo un esperto sui generis.
-
Un altro che da la colpa agli altri quando non sa usare gli strumenti...
può darsi.. ma se usi tutta la guida e proprio la modifica facoltativa (che volutamente ho tralasciato) è quella che ti ha fatto perdere posizionamento a chi daresti la colpa tu?
-
Come fai a stabilire he sia stato quello a farti perdere traffico? O pensi che una volta raggiunto un traguardo questi resti a vita?
-
Come fai a stabilire he sia stato quello a farti perdere traffico?
L'algoritmo di google lo ha inventato lui...
-
ho un evidenza data dai fatti
ho migrato 3 siti in https tutti con la stessa procedura. A 2 ho aggiunto il codice redirect htaccess ad 1 no (facoltativo).
I primi 2 siti hanno mantenuto lo stesso medesimo volume di utenti attivi giornalieri in analytics il terzo no.
A riprova di questo su uno dei due siti che a cui avevo aggiunto il codice ho dovuto toglierlo a causa di un conflitto (lo uso anche come repository di un'applicazione .NET troppo lunga da spiegare) in concomitanza del rimozione del redirect è iniziato un evidentissimo calo.
Ricapitolando
Sito 1 ->redirect 301 in htaccess ->utenti attivi costanti
Sito 2 ->redirect 301 in htaccess poi rimosso per conflitti ->dapprima utenti attivi costante poi vistoso calo
Sito 3 ->nessun redirect ->perso 2/3 del traffico
vi faccio presente che i cali iniziano esattamente il giorno dopo la rimozione del redirect (sito2) e del passaggio ad https (sito 3)
Se volete a riprova vi allego tutti gli screenshot di analytics se avete altre spiegazioni sono qui per imparare non intendevo essere borioso ma come vi ho dimostrato ho riprova di ciò
-
Ma tu al cambio hai aperto un altro profilo su google?
-
Ma tu al cambio hai aperto un altro profilo su google?
sto parlando dei dati UTENTI ATTIVI su Analytics. Su search console devi aggiungere una nuova proprietà in Https su analytics devi cambiare la URL predefinita in https nelle proprietà e viste di che "altro profilo su google" parli?
-
Sì per profilo intendevo proprietà.
-
Per Daniele Pinna, veramente anche io uso social2s free ma non mi da nessun problema con https:
www.convivium.club (http://www.convivium.club)
-
chiedo venia e rettifico quanto scritto sopra.
L'analisi dei dati mi portava a quella conclusione, che il redirect 301 omesso avesse influito sul traffico organico.
Ma ero del tutto fuori strada, con il passaggio ad https di quel sito ho anche installato e configurato il componente GDPR della J!Extension e anonimizzato lo script di analytics.
Il componente bloccava lo script a tutti quelli che non accettavano l'utilizzo dei cookie portandomi ad un vistosissimo calo di traffico, ma solo per analytics non realmente, infatti nei log del server il traffico era costante, aggiunta l'eccezione risolto il problema.
Tornando al redirect 301 in htaccess, da altre fonti ho letto che è del tutto facoltativo solo quando in configurazione globale ->server si forza tutto il sito HTTPS. Magari nella guida questo aspetto lo evidenzierei.
Ciao
-
Tornando al redirect 301 in htaccess, da altre fonti ho letto che è del tutto facoltativo solo quando in configurazione globale ->server si forza tutto il sito HTTPS. Magari nella guida questo aspetto lo evidenzierei.
Sarebbe bene che tu specificassi quali siano le "altre fonti", così che tutti possano leggere e verificare quanto scritto.
-
Ma ero del tutto fuori strada, con il passaggio ad https di quel sito ho anche installato e configurato il componente GDPR della J!Extension e anonimizzato lo script di analytics.
Mi sembrava strano..L'unica spiegazione poteva essere una perdita di ranking per contenuti duplicati.
Ho osservato anche io la stessa cosa bloccato il cookie delle statistiche preventivamente, anche io ho una riduzione approssimativa a 1/3 nella pagina delle statistiche dei visitatori..ma questa è la legge, quindi ce la teniamo così
Tornando al redirect 301 in htaccess, da altre fonti ho letto che è del tutto facoltativo solo quando in configurazione globale ->server si forza tutto il sito HTTPS.
Se si setta il forza https nel configuration.php di joomla, joomla fa direttamente il redirect 301 di tutto il sito da http a https, quindi la modifica all'.htaccess è del tutto superflua (e quindi facoltativa), questo testato direttamente.
ES: https://forum.joomla.org/viewtopic.php?t=946415
-
Attenzione che forzando https da più parti poi si ottiene un loop con relativo blocco per troppi reindirizzamenti, al di la di quello che scrivono nel post meglio reindirizzare con un solo metodo, ancora meglio farlo a monte da pannello admin spazio web se possibile o tramite .htaccess lascerei per ultima ma proprio ultima la possibilità di farlo da joomla.