Hai attivato il certificato SSL sul tuo sito WordPress<\/a> ma il browser mostra un avviso di contenuto misto (mixed content)<\/strong>? Il lucchetto nella barra degli indirizzi \u00e8 grigio o mostra un triangolo di avvertimento? Questo problema si verifica quando una pagina HTTPS carica risorse (immagini, script, fogli di stile) ancora tramite HTTP. In questa guida ti spiego come identificare e risolvere l’errore mixed content su WordPress<\/strong> in modo definitivo.<\/p>\n Quando il tuo sito usa HTTPS, il browser si aspetta che tutte le risorse della pagina vengano caricate tramite connessione sicura. Il mixed content<\/strong> si verifica quando alcune risorse \u2014 immagini, file JavaScript, CSS, font \u2014 vengono ancora richieste con il protocollo HTTP non crittografato. I browser moderni bloccano o segnalano queste risorse per proteggere i visitatori.<\/p>\n Ci sono due tipi di mixed content:<\/p>\n Oltre al problema di sicurezza, il mixed content ha un impatto negativo sulla SEO<\/a><\/strong>. Google penalizza i siti che non offrono una connessione completamente sicura, e il lucchetto mancante riduce la fiducia dei visitatori.<\/p>\n Il primo passo \u00e8 trovare esattamente quali risorse causano il problema. Ci sono diversi strumenti:<\/p>\n Apri il sito in Chrome, clicca con il tasto destro e seleziona “Ispeziona”<\/strong>, poi vai alla tab “Console”<\/strong>. Vedrai messaggi di errore in giallo o rosso che indicano le risorse caricate via HTTP:<\/p>\n Ogni messaggio indica il tipo di risorsa e l’URL completo. Annota tutti gli URL che iniziano con http:\/\/<\/span> invece di https:\/\/<\/span>.<\/p>\n Puoi usare strumenti come Why No Padlock<\/strong> o SSL Labs<\/strong> che analizzano automaticamente tutte le pagine del sito e generano un report con le risorse non sicure. Sono utili per siti con molte pagine dove controllare la console manualmente sarebbe troppo lungo.<\/p>\n Nella maggior parte dei casi, il mixed content su WordPress \u00e8 causato da URL assoluti con http:\/\/<\/strong> salvati nel database. Quando hai installato WordPress o caricato le immagini, il sito usava HTTP. Dopo aver attivato SSL, gli URL nel database non si aggiornano automaticamente. Gli articoli, le pagine, i widget e le impostazioni del tema contengono ancora riferimenti come http:\/\/tuosito.it\/wp-content\/uploads\/…<\/span><\/p>\n La soluzione pi\u00f9 efficace \u00e8 sostituire tutti gli URL http:\/\/<\/span> con https:\/\/<\/span> nel database. Puoi farlo con WP-CLI:<\/p>\n Se non hai accesso SSH, puoi usare il plugin Better Search Replace<\/strong>. Installalo dalla dashboard, vai su Strumenti > Better Search Replace<\/strong>, inserisci il vecchio URL con http e il nuovo con https, seleziona tutte le tabelle ed esegui la sostituzione. Usa prima l’opzione “Esecuzione di prova” per verificare quante sostituzioni verranno fatte senza modificare nulla.<\/p>\n Importante:<\/strong> fai sempre un backup del database prima di eseguire un search-replace. Un errore nell’URL di sostituzione potrebbe rendere il sito inaccessibile.<\/p>\n Aggiungi queste righe in wp-config.php<\/span> per assicurarti che WordPress usi sempre HTTPS:<\/p>\n La prima riga forza HTTPS per il pannello admin. Il blocco successivo \u00e8 necessario se il sito \u00e8 dietro un load balancer o un proxy inverso (come Cloudflare<\/a>) che gestisce SSL al posto del server.<\/p>\n Per assicurarti che tutte le richieste HTTP vengano reindirizzate a HTTPS, aggiungi queste regole all’inizio del file .htaccess<\/span>:<\/p>\n Questo redirect 301 permanente dice ai browser e ai motori di ricerca che la versione corretta del sito \u00e8 HTTPS. Tutte le richieste HTTP verranno automaticamente reindirizzate.<\/p>\n Se il mixed content \u00e8 causato da risorse esterne (font Google, script di terze parti, immagini da altri siti), devi aggiornare i riferimenti manualmente. Controlla:<\/p>\n Per le risorse esterne, la soluzione pi\u00f9 semplice \u00e8 cambiare http:\/\/<\/span> in https:\/\/<\/span> o usare URL relativi al protocollo (\/\/esempio.com\/risorsa.js<\/span>).<\/p>\n Dopo aver risolto il mixed content, puoi aggiungere l’header HTTP Strict Transport Security (HSTS)<\/strong> per istruire i browser a connettersi sempre via HTTPS. Aggiungi questa riga in .htaccess<\/span>:<\/p>\n Questo header dice al browser: “per i prossimi 12 mesi, connettiti a questo dominio solo via HTTPS, senza nemmeno tentare HTTP”. \u00c8 un livello di protezione aggiuntivo che previene anche attacchi di tipo downgrade. Attivalo solo dopo aver confermato che HTTPS funziona perfettamente su tutto il sito, perch\u00e9 revocarlo non \u00e8 immediato.<\/p>\n Dopo aver risolto il problema, assicurati che non si ripresenti. Verifica che le impostazioni di WordPress (Impostazioni > Generali) mostrino l’URL del sito con https:\/\/<\/span>. Quando carichi nuove immagini o inserisci link, WordPress user\u00e0 automaticamente HTTPS. Se usi un plugin di sicurezza come Really Simple SSL, pu\u00f2 forzare automaticamente HTTPS su tutte le risorse del sito come soluzione rapida. Tuttavia, il search-replace nel database resta la soluzione preferibile perch\u00e9 risolve il problema alla radice anzich\u00e9 applicare un filtro a ogni caricamento di pagina.<\/p>\n Un’altra tecnica avanzata \u00e8 usare l’header Content-Security-Policy<\/strong> con la direttiva upgrade-insecure-requests<\/span>. Questo header dice al browser di convertire automaticamente tutte le richieste HTTP in HTTPS prima di inviarle:<\/p>\n \u00c8 una soluzione elegante che funziona come rete di sicurezza: anche se nel database restano alcuni URL con http, il browser li converte automaticamente. Combinata con il search-replace nel database, garantisce una copertura completa contro il mixed content.<\/p>\n Se dopo aver provato tutte le soluzioni il problema persiste, potrebbe esserci un conflitto con il tema o un plugin che genera URL in modo dinamico. Il team di SoccorsoWP<\/strong> pu\u00f2 analizzare il tuo sito, identificare tutte le fonti di mixed content e risolverle definitivamente. Apri un ticket<\/a> e ottieni il lucchetto verde.<\/p>\n","protected":false},"excerpt":{"rendered":" Come risolvere l’errore “Mixed Content” su WordPress HTTPS Hai attivato il certificato SSL sul tuo sito WordPress ma il browser mostra un avviso di contenuto…<\/p>\n","protected":false},"author":1,"featured_media":25700,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"Come risolvere l'errore Mixed Content su WordPress HTTPS","_seopress_titles_desc":"Guida per risolvere l'errore mixed content su WordPress dopo l'attivazione di SSL: search-replace, wp-config, .htaccess e HSTS.","_seopress_robots_index":"","footnotes":""},"categories":[1424],"tags":[],"class_list":{"0":"post-25699","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-bug-e-vulnerabilita"},"_links":{"self":[{"href":"https:\/\/soccorsowp.it\/blog\/wp-json\/wp\/v2\/posts\/25699","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/soccorsowp.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/soccorsowp.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/soccorsowp.it\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/soccorsowp.it\/blog\/wp-json\/wp\/v2\/comments?post=25699"}],"version-history":[{"count":1,"href":"https:\/\/soccorsowp.it\/blog\/wp-json\/wp\/v2\/posts\/25699\/revisions"}],"predecessor-version":[{"id":26258,"href":"https:\/\/soccorsowp.it\/blog\/wp-json\/wp\/v2\/posts\/25699\/revisions\/26258"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/soccorsowp.it\/blog\/wp-json\/wp\/v2\/media\/25700"}],"wp:attachment":[{"href":"https:\/\/soccorsowp.it\/blog\/wp-json\/wp\/v2\/media?parent=25699"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/soccorsowp.it\/blog\/wp-json\/wp\/v2\/categories?post=25699"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/soccorsowp.it\/blog\/wp-json\/wp\/v2\/tags?post=25699"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Cos’\u00e8 il mixed content e perch\u00e9 \u00e8 un problema<\/h2>\n
\n
Come identificare le risorse mixed content<\/h2>\n
Console del browser<\/h3>\n
Mixed Content: The page at 'https:\/\/tuosito.it\/pagina\/' was loaded over HTTPS,\nbut requested an insecure image 'http:\/\/tuosito.it\/wp-content\/uploads\/2024\/01\/foto.jpg'.<\/pre>\n
Strumenti online<\/h3>\n
Causa principale: URL hardcoded con http:\/\/<\/h2>\n
Soluzione 1: Search and Replace nel database<\/h2>\n
wp search-replace 'http:\/\/tuosito.it' 'https:\/\/tuosito.it' --path=\/var\/www\/html\/<\/pre>\n
Soluzione 2: forzare HTTPS in wp-config.php<\/h2>\n
define('FORCE_SSL_ADMIN', true);\nif (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] === 'https') {\n $_SERVER['HTTPS'] = 'on';\n}<\/pre>\nSoluzione 3: aggiungere un redirect .htaccess<\/h2>\n
RewriteEngine On\nRewriteCond %{HTTPS} off\nRewriteRule ^(.*)$ https:\/\/%{HTTP_HOST}%{REQUEST_URI} [L,R=301]<\/pre>\nSoluzione 4: risorse esterne e CDN<\/h2>\n
\n
Aggiungere l’header HSTS per la massima sicurezza<\/h2>\n
Header always set Strict-Transport-Security \"max-age=31536000; includeSubDomains\"<\/pre>\n
Prevenire il mixed content in futuro<\/h2>\n
Content Security Policy come rete di sicurezza<\/h2>\n
Header always set Content-Security-Policy \"upgrade-insecure-requests\"<\/pre>\n
Il mixed content persiste?<\/h2>\n