Protégez votre site WordPress en un clin d’œil ! Suivez notre guide simple et rapide pour passer en HTTPS. Sécurité et confiance garanties.
Protégez votre site WordPress en un clin d’œil ! Suivez notre guide simple et rapide pour passer en HTTPS. Sécurité et confiance garanties.
Accès rapide (Sommaire) :
Aujourd’hui la sécurité et la confidentialité sont des préoccupations majeures pour les propriétaires de sites, les développeurs et les utilisateurs. Adopter le protocole HTTPS pour votre site WordPress n’est plus simplement une option; c’est presque devenu une nécessité. Voici pourquoi :
Le HTTPS (HyperText Transfer Protocol Secure) est une méthode de sécurisation des données qui s’échangent entre les internautes et le serveur qu’ils visitent. Un site dépourvu de ce protocole expose les informations personnelles de ses visiteurs à un risque de piratage.
Nous différencions principalement le HTTP (HyperText Transfer Protocol) du HTTPS par le schéma d’URL, le niveau de sécurité et les couches réseau utilisées. Ces différences sont synthétisées dans le tableau suivant.
Protocole | Schéma d’URL | Niveau de sécurité | Couches réseau |
HTTP | « http:// » port 80 | Faible | Couche application |
HTTPS | « https:// » port 443 | Élevé | Couche application cryptée par SSL |
Le cryptage des données d’un site WP HTTPS permet d’être sûr que personne ne modifie la manière dont votre contenu est reçu par les utilisateurs. Ce protocole vous protège contre l’usurpation d’identité et le détournement des données de vos visiteurs. Il s’agit donc d’un passage indispensable pour les boutiques en ligne.
La plupart des utilisateurs n’effectuent aucune transaction sur les sites sans certificat SSL. Le HTTPS est donc un moyen de réassurance qui indique à vos potentiels clients qu’ils peuvent réaliser leurs achats en toute quiétude.
Les sites WordPress SSL bénéficient enfin d’un avantage par rapport aux plateformes non sécurisées pour leur référencement dans les pages de résultats de recherche (SERP). La plupart des moteurs de recherche comme Google, Bing et Yahoo incluent le chiffrement à leurs critères de positionnement.
Avant de passer votre site en HTTPS, vous devez prendre certaines précautions pour faciliter sa migration. Elles concernent notamment l’audit du site et le choix du certificat SSL.
Nous vous suggérons d’accorder une attention particulière à cette étape pour faciliter la sécurisation de votre plateforme.
Grâce à la copie complète de votre site, vous pourrez restaurer vos données en cas de problèmes au cours de la migration. Vous pouvez réaliser manuellement votre backup, contacter votre hébergeur ou utiliser un plugin de sauvegarde comme UpdraftPlus, BackWPup ou All-In-One WP Migration.
Le passage en HTTPS de votre site impacte aussi bien les liens de vos différentes pages que vos campagnes publicitaires. Prenez les devants en effectuant :
Préparez-vous aussi à mettre à jour les liens dans vos signatures de mail.
Le passage en HTTPS suppose un certificat SSL (Secure Socket Layer) pour chiffrer les données de connexion. Si la plupart des hébergeurs proposent deux formes de certificats SSL (privés et partagés), vous devez faire attention dans le choix de votre solution de chiffrement.
Le certificat « Domain validation » garantit uniquement le cryptage des échanges de données. Nous recommandons plutôt le certificat à « validation de l’organisation » pour garantir l’authentification des serveurs et des internautes.
Vous souhaitez sécuriser un grand site e-commerce ou une plateforme qui collecte des données très confidentielles ? Optez pour un certificat à « validation étendue » pour une protection maximale.
Il est désormais temps de sécuriser votre site WP en suivant 4 étapes simples et rapides à mettre en place.
Nous vous présentons ici l’essentiel à savoir pour acheter et installer votre certificat.
Les fournisseurs de certificats SSL les plus populaires sont OVH, Media Temple, SSLs.com, GoDaddy et Namecheap. Le certificat payant n’est toutefois vraiment utile que pour les sites sensibles (banques, assurances, grandes boutiques en ligne…). Pour le reste, nous recommandons un certificat SSL gratuit. Contactez votre hébergeur pour en bénéficier.
Nous ne détaillerons pas la procédure d’activation d’un certificat SSL dans cet article, car elle dépend de votre hébergeur ainsi que du type d’hébergement que vous souscrivez. Retenez simplement qu’il suffit de contacter le service technique de votre hébergeur pour déléguer l’activation de ce chiffrement.
N’oubliez pas non plus d’activer l’option de renouvellement automatique. Il serait dommage de vous retrouver avec un site WP non sécurisé à la fin de votre contrat en cours.
L’étape suivante pour passer son site en HTTPS consiste à modifier les paramètres de votre CMS puis à mettre à jour vos fichiers.
Tous les fichiers WordPress comme les CSS des thèmes, les images jointes et les documents JavaScript sont liés à votre URL d’installation. Il suffit donc de modifier cette URL en la faisant passer de http://votresite.com à https://votresite.com.
Connectez-vous au tableau de bord de votre site WordPress. Accédez à l’onglet « Général » du menu « Réglages » et assurez-vous que l’URL du site et l’adresse de WordPress sont en HTTPS. Vous pouvez par ailleurs imposer l’administration sur SSL en réglant la constance FORCE_SSL_ADMIN sur « True ».
Vous devez vérifier que les liens internes ne sont pas spécifiés en dur dans votre fichier wp-config.php et modifier leur schéma d’URL si nécessaire. Pour ne pas effectuer ces modifications manuellement, nous vous suggérons d’utiliser un éditeur de texte capable de scanner plusieurs fichiers en même temps. Notepad++, Sublime Text ou l’environnement de développement Visual Code Studio sont autant de solutions qui facilitent cette étape.
Votre site utilise un réseau de diffusion de contenu (CDN) pour accélérer la diffusion de son contenu ? Assurez-vous de passer toutes les URL concernées en HTTPS ! Videz ensuite le cache du site, celui du serveur et celui du CDN.
La migration vers un format plus sécurisé occasionne bien souvent des problèmes de contenu mixte. Nous vous expliquons la démarche à adopter pour les résoudre.
Il s’agit d’une page HTTPS contenant des éléments en HTTP. Sa présence suffit à remettre en cause la sécurité de votre certificat SSL. De plus, les navigateurs affichent un avertissement pour prévenir les internautes qui souhaitent visiter cette page qu’elle n’est pas entièrement sécurisée.
Le contenu mixte est un véritable problème, car il présente un risque d’usurpation d’identité pour l’internaute qui échange avec votre serveur. Dans certains cas, ce dysfonctionnement occasionne des vols de données sensibles.
Il existe plusieurs outils en ligne qui facilitent la détection de ce type de contenu. Le site www.dareboost.com présente une liste des pages concernées dans la rubrique « compatibilité » de son rapport d’audit.
Servez-vous aussi de SSL-check ou de SSL-lookup.io pour vérifier votre site de manière récursive et identifier les liens vers les contenus non sécurisés. Nous vous suggérons ensuite d’utiliser le plugin SSL Insecure Content Fixer pour résoudre ce problème.
Les redirections permanentes (301) sont indispensables dans la procédure de migration vers le HTTPS. Les modifications de préfixe effectuées sur votre site entraînent des erreurs 404 préjudiciables à votre référencement. En redirigeant Google et les internautes vers les nouvelles adresses de vos pages, vous évitez une véritable descente aux enfers pour votre site.
Vous pouvez réaliser cette opération directement dans le fichier « .htaccess » de votre serveur. Il suffit d’ouvrir ce fichier et d’y ajouter :
RewriteEngine on
RewriteCond% {HTTP_HOST} ^ votresite.com [NC, OR]
RewriteCond% {HTTP_HOST} ^ www.votresite.com [NC]
(*). RewriteRule ^ $ https: //www.votresite.com/$1 [L, R = 301, NC]
Remplacez « votresite.com » par votre nom de domaine. Vous pouvez également utiliser un plugin WordPress pour effectuer vos redirections.
Après la migration HTTPS, vous devez vérifier que tout fonctionne bien sur votre site. Contrôlez aussi les paramètres SEO Off Page pour éviter de perdre vos positions dans la SERP.
Nous vous invitons en premier lieu à tester la sécurisation de votre site. Utilisez un outil de vérification SSL comme Qualys SSL Labs et SSL Checker pour contrôler la mise en place de votre HTTPS.
Qualys SSL Labs réalise une analyse approfondie de votre site. Vous pourrez ainsi savoir si votre certificat principal et vos certificats intermédiaires sont bien configurés. En cas de dysfonctionnements, l’outil indique la source du problème pour faciliter sa résolution. Quant à SSL Checker, elle permet d’obtenir une analyse plus rapide du site.
La dernière étape vers la migration HTTPS consiste à soigner votre référencement : informer les moteurs de recherche et actualiser votre stratégie de netlinking.
Commencez par mettre à jour votre fichier robots.txt en indiquant la nouvelle adresse de votre Sitemap. Vous pouvez accéder à ce document en passant par votre serveur ou éditer le sitemap directement à partir d’une extension WordPress (Yoast SEO, Rank Math SEO, SEOPress…). Vous pouvez également modifier les informations indiquées sur vos comptes Google Analytics et Google Search Console.
Les liens qui pointent vers votre site depuis des sites d’autorités ou des médias sociaux doivent être actualisés pour éviter les erreurs 404. Utilisez un outil d’analyse comme Online Broken Link Checker, Dead Link Checker ou Ahrefs pour identifier les liens à modifier. Contactez ensuite les gestionnaires des sites concernés pour actualiser vos liens.
Modifier l’URL de votre site WordPress pour passer de HTTP à HTTPS est une étape cruciale après avoir obtenu et installé un certificat SSL pour votre domaine. Voici comment procéder de manière structurée et sécurisée :
http://votresite.com/wp-admin
.http
par https
au début de l’URL dans ces deux champs. Par exemple, si l’URL actuelle est http://votresite.com
, modifiez-la pour qu’elle devienne https://votresite.com
..htaccess
(sur les serveurs Apache) ou par d’autres méthodes en fonction de votre serveur.Le cadenas qui s’affiche avant le lien d’un site indique que la connexion entre le navigateur de l’utilisateur et le site web est sécurisée grâce au protocole HTTPS. Cela signifie que les données échangées sont cryptées et protégées contre les interceptions malveillantes.
Avant de se quitter…
Si cet article sur le passage de son site WordPress en https vous a plu, n’hésitez pas à le partager sur les réseaux sociaux et à vous abonner à notre newsletter digitale pour recevoir nos prochains articles.
Vous pouvez également suivre nos meilleurs articles via notre flux RSS : https://www.leptidigital.fr/tag/newsletter-digitale/feed/ (il vous suffit de l’insérer dans votre lecteur de flux RSS préféré (ex : Feedly)).
Nous sommes aussi actifs sur LinkedIn, Twitter, Facebook et YouTube. On s’y retrouve ?
Pour toute question associée à cet article, n’hésitez pas à utiliser la section « commentaires » pour nous faire part de votre remarque, nous vous répondrons dans les meilleurs délais (avec plaisir).
Alternante chez LEPTIDIGITAL, je suis aussi bien à l’aise sur les sujets de marketing digital, que des sujets plus techniques et avancés. Pour me contacter : [email protected]