Comment passer son site WordPress en HTTPS?

Un certificat SSL est devenu un indispensable pour votre site internet. Passer son site WordPress en https devient donc un impératif pour maintenir la confiance avec les internautes, mais aussi pour rassurer les navigateurs web et les moteurs de recherche.Voyons comment passer son site WordPress en https.

Les navigateurs internet comme chrome, Bing et Firefox sont passés à l’action, il y a quelques années. Les sites internet ne possédant pas de certificat SSL, ont le droit à un message d’avertissement adressé au visiteur. Concrètement, cela signifie que si l’adresse de votre site est http://www.monsite.fr, il y a un petit cadenas rouge qui prévient l’internaute que votre site n’est pas « sécurisé ». Petit cadenas qui deviendra vert si l’adresse de votre site est https://www.monsite.fr. Je mets “sécurisé” entre guillemets, car je doute que cette information soit toujours pertinente.

Du coup, cette situation peut inquiété l’internaute et faire fuir vos prospects, et futurs clients. Pourtant, je vois encore des sites ne disposant pas d’un certificat SSL, certificat qui permet d’obtenir ce fameux “code vert.” Ceci alors qu’il est plutôt assez simple de s’en procurer un, auprès de la grande majorité des hébergeurs.

Qu’est-ce qu’un certificat SSL?

La plupart des hébergeurs proposent maintenant, par défaut, un certificat SSL avec leurs offres d’hébergement, comme OVH ou O2Switch. Si ce n’est pas le cas, il peut être commandé très facilement comme sur IONOS, par exemple. OVH et O2switch proposent même un certificat Let’s Encrypt qui a l’avantage d’être gratuit. Il vous est aussi possible de l’obtenir via leur plateforme, directement. Ces certificats sont largement suffisant pour la grande majorité des sites internet.

Si vous souhaitez ouvrir une boutique en ligne ou ou un site demandant une connexion avec beaucoup d’informations personnelles, vous pouvez acheter des certificats plus poussés, auprès d’autorité de certification. C’est indispensable pour sécuriser un site WordPress. Vous les trouverez facilement sur internet. Mais franchement, pour des sites vitrines professionnels, passez par votre hébergeur, cela sera suffisant… à l’heure ou je vous écris. Bref, ce certificat va sécuriser vos internautes en plus de sécuriser votre site web.

Comment passer son site de http à https

Si vous créez votre site, alors optez directement pour le https. Il n’y aura rien de particulier à faire. Si votre site internet est déjà existant et que vous devez le passer en https après avoir acquis un certificat, il y aura quelques mises à jour à faire.

Cette opération peut faire peur. C’était mon cas. Cependant, elle est assez simple. Je ne reviendrai pas sur le détail des différentes opérations pouvant être effectuées manuellement, en changeant le code, et autres manipulations divers. Des blogueurs l’ont déjà fait et ont très bien décrit ces opérations, comme Alex de WPmarmitte. Et si vous lisez cet article, c’est que ne vous sentez pas trop de le faire.

Nous allons voir, ici, les différentes démarches pour une personne n’ayant pas de connaissances particulières et ne voulant pas mettre la main dans les bases de données, les fichiers,…

Acquérir le certificat

Comme nous l’avons vu, plusieurs hébergeurs vous fournissent un certificat. 1and1 en propose un que vous pouvez paramétrer sur votre domaine assez facilement, le guide est bien fait. Sur OVH ou O2Switch, vous pouvez en avoir autant que de noms de domaine, les fameux certificats gratuits let’s Encrypt. Là aussi, l’installation est assez simple. Je ne vais pas reprendre la démarche ici, référez vous aux guides de ces hébergeurs. Vous pouvez ensuite vérifier la qualité de vos certificats sur ce site. Une note A est indispensable.

Effectuer les redirections

Maintenant, que vous avez installé votre certificat, votre site internet est accessible via son adresse en http et via l’adresse en https. Il faut donc tout rediriger vers l’adresse en https.

La première chose à faire est d’aller sur son tableau de bord WordPress et de changer l’adresse dans l’onglet réglage>>Général.

Ceci fait, vous avez deux solutions. Soit utiliser l’extension que je vous présente ci dessous, soit ajouter un code dans le fichier .htaccess. Oui, je sais, on avait dit qu’on y connaissait rien. mais bon, pour la forme et ceux que cela intéresse. le code à ajouter est celui ci:

RewriteEngine on

RewriteCond% {HTTP_HOST} ^ votresite.com [NC, OR]

RewriteCond% {HTTP_HOST} ^ www.votresite.com [NC]

(*). RewriteRule ^ $ https: //www.votresite.com/$1 [L, R = 301, NC]

Par sécurité, si vous le faites pour la première fois, copiez le code d’origine sur un fichier text. Si votre site ne s’affiche pas après avoir modifié le code, recopiez celui d’origine.

Si vous voulez vérifier que tout va bien, je vous incite à utiliser cet outil qui est vraiment très instructif. celui ci permet de vérifier que vos redirections sont toutes directes, et pas du style http://www.mon site.fr vers http://monsite.fr qui envoie vers https://monsite.fr qui envoie vers https://www.monsite.fr. Google, ni même Qwant, je suppose, n’aime vraiment pas cela…

Il peut arriver que malgré les étapes ci dessus, le cadenas vert ne s’affiche pas. La faute au contenu mixte. Là, il n’y a pas trop le choix, il faudra mettre la main dans le code…ou utiliser l’extension ci dessous….mais lisez tout avant… cela peut venir de photos.

Informez Google

Maintenant, il ne reste plus qu’à informer Google de la migration. Pour le moment, vous ne pouvez pas modifier votre site. Il va bien falloir qu’ils changent cela chez Google. Il vous faut ajouter votre site, avec l’adresse en https, et vous laisser guider.

L’extension qui va bien

Et oui, la voilà. Si je ne suis pas pour multiplier les extensions, sur WordPress, il y en a une qui va vous donner un sacré coup de main dans votre passage en https. Cette extension va tout faire pour vous et est très légère. Quoi de mieux ?

Cette extension s’appelle Really Simple SSL. Comme son nom l’indique, elle est très simple. Il n’y a presque pas d’options, puisque elle va tout faire toute seule. Elle va s’occuper d’effectuer les redirections de vos pages en http vers les nouvelles adresses en https.

Encore mieux, votre contenu non sécurisé, le contenu mixte qui empêche d’avoir un cadenas vert,  est corrigé en remplaçant toutes les URLs http:// avec https://, exceptés les hyperliens vers d’autres domaines. Dynamiquement, aucun changement de base de données n’est effectué.

Et voilà, le passage au https est effectué. pas si compliqué pour le coup…. Vous voyez autre chose?