Passer un site WordPress en HTTPS

Les navigations sur le web nécessitent que quelques critères soient remplis pour vous offrir la meilleure expérience possible. Au nombre des différents éléments mis en place pour votre sécurité, il y a le protocole de transfert hypertexte sécurisé, couramment appelé HTTPS. Il est à distinguer du protocole de transfert hypertexte ou HTTP qui a des normes de sécurité peu convaincantes. Après la création de votre site internet, vous devez vous assurer qu’il soit protégé de la meilleure des manières possibles. C’est un critère incontournable pour créer la confiance des utilisateurs.

D’un autre côté, si vous vous obstinez à recourir au protocole de transfert hypertexte obsolète, attendez-vous aux sanctions de Google. Quelles sont les démarches à effectuer pour améliorer les normes de sécurité de votre site internet. Découvrez ici les différentes phases pour passer un site WordPress en HTTPS.

Les définitions à absolument retenir

Dans le but de présenter les phases qui conduisent à la migration de votre site vers un protocole de sécurité plus élevé (HTTPS), il convient de définir quelques termes importants.

Différents icônes concernant la sécurité sur internet sur un fond bleu et le mot "SSL" pointé par un doigt d'homme.

SSL

SSL est un sigle qui signifie en anglais Secure Sockets Layer. C’est un protocole destiné à sécuriser les opérations réalisées sur le web entre deux ou plusieurs personnes. Cette solution développée par Netscape est un outil qui favorise l’établissement d’un lien crypté entre un navigateur et un serveur web. Elle est conçue pour que les informations qui circulent restent confidentielles et inaccessibles dans le but d’éviter les piratages.

HTTPS

Quant à HTTPS, il signifie en anglais HyperText Transfer Protocol Secure. Cette solution combine les performances de HTTP et la sécurité offerte par SSL ou TLS. Elle sert aux visiteurs à obtenir l’identité de la plateforme à laquelle ils ont accès par le biais d’une certification d’authentification délivrée par une autorité. Si vous souhaitez vous assurer que vos opérations en ligne sont inviolables et confidentielles, c’est un protocole que vous devez nécessairement mettre en place.

Quelle différence existe-t-il entre HTTP et HTTPS ?

Le mot HTTP inscrit dans un cadenas rouge et le mot HTTPS dans un cadenas vert. Un bouclier avec l'inscription "SSL" au milieu pour relier les deux cadenas par une flèche.

Il existe de nombreux éléments qui différencient ces deux protocoles. Voici ces trois différents paramètres.

Premièrement, les URLs HTTPS comment par « https:// » et utilisent le port 443 par défaut. Quant aux URLs HTTP, elles commencent par « http:// » et utilisent le port 80.

Deuxièmement, le protocole HTTP n’est pas fiable, ce qui le rend victime de nombreux assauts de la part de personnes mal intentionnées. Les cybercriminels peuvent donc accéder aux informations sensibles avec un site sous HTTP, ce qui ne serait pas facile avec HTTPS, car il est conçu pour combattre ce type d’offensive.

Troisièmement, HTTP fonctionne sur la coupe la plus élevée du modèle TCP/IP qui est une couche application. Quant au protocole sécurisé, il fonctionne comme une sous-couche inférieure du modèle TCP/IP, mais il crypte le message HTTP avant sa transmission et le déchiffre à l’arrivée.

Quelle est l’utilité du certificat Secure Sockets Layer ?

Le début d'une adresse d'une page web avec l'inscription "https". Le "s" est de couleur vert et le reste de couleur gris. Un bouclier de couleur vert se trouve au début du "https".

Lorsqu’on évoque le passage à HTTPS, plusieurs personnes se questionnent sur l’utilité du certificat SSL. Sachez qu’il s’agit d’un élément très utile qui vous permettra d’avoir un site WordPress performant et sécurisé.

L’intensification de votre protection

Comme précisé plus haut, le certificat SSL est une solution qui a pour effet d’activer le protocole de transfert hypertexte sécurisé. Il garantit un accès sûr grâce au chiffrage des données transmises entre l’internaute et le serveur. Par exemple, sur votre page de connexion, une plateforme avec un faible niveau de sécurité dévoile le mot de passe sur le réseau, ce qui est très dangereux. Pour intensifier votre protection, l’idéal serait donc d’utiliser le Secure Sockets Layer.

L’optimisation du référencement

Le navigateur Chrome est connu pour afficher des avertissements de Google lorsqu’un site n’est pas sûr. Il en ressort donc que l’emploi du Secure Sockets Layer est primordial. Si posséder un site sécurisé n’améliore pas immédiatement votre référencement, la façon dont vous êtes vu par les internautes qui découvrent votre plateforme agit sur votre classement. Pensez donc à effectuer une migration pour mettre en confiance les utilisateurs.

Le fonctionnement du CMS

Pour vous assurer que votre CMS fonctionne optimalement, il doit nécessairement y avoir un certificat Secure Sockets Layer. Sur la durée, il n’est pas possible d’utiliser une plateforme sous WordPress sans recourir à ce protocole. C’est là tout l’intérêt de l’intégrer sans perdre du temps.

Quels sont les avantages du passage de WordPress en HTTPS ?

Loin d’être une opération esthétique, la migration de votre plateforme vers un protocole fiable est incontournable pour votre entreprise. Elle offre une multitude d’avantages qu’on vous présente sans plus tarder.

La sécurité des internautes sur le web

Un bouclier de couleur rouge sur lequel sont inscrits le mot "SSL" est un cadenas fermé de couleur blanc. Le fond de l'image représente la toile et une carte du monde.

Le protocole de transfert hypertexte sécurisé offre aux internautes la possibilité d’avoir accès à des plateformes par le biais d’un navigateur, tout en envoyant des informations sur un serveur. L’inconvénient avec le protocole de transfert hypertexte classique, c’est que les données qui y transitent ne sont pas chiffrées. Par conséquent, les pirates informatiques peuvent accéder aux informations importantes et les utiliser pour nuire.

Le protocole de transfert hypertexte sécurisé étant la version approfondie du HTTP, il permet aux internautes de s’assurer de l’identité d’un site grâce à un certificat d’authentification donné par une autorité fiable. Pour être sûr que vous profitez de cet avantage, vous devez vous référer au petit cadenas qui se trouve à proximité de l’URL de votre site.

Avec le Secure Sockets Layer, vous aurez la certitude que les données envoyées par l’internaute au serveur sont sûres et confidentielles. Alors, si vous souhaitez éviter les dépenses inutiles pour renforcer votre protection, l’idéal serait d’effectuer une migration vers HTTPS

L’accroissement du référencement

La possession du protocole de transfert hypertexte sécurisé fait partie des critères choisis par l’algorithme de Google pour améliorer le positionnement d’un site. Ce paramètre se place devant la densité et la présence des mots clés qui sont des éléments incontournables pour le référencement. Dans le but d’établir votre stratégie SEO, vous devez nécessairement passer à HTTPS. D’ailleurs, vous ferez le constat que la majorité des sites qui sont les mieux classés sur Google disposent d’un protocole de transfert hypertexte sécurisé.

Quelles étapes pour passer en HTTPS ?

Votre site web WordPress étant sous HTTP, vous devez nécessairement le passer sous HTTPS pour améliorer votre référencement. Voici les différentes étapes à suivre pour mener à bien votre opération.

La sauvegarde de la base de données

Pour passer votre site WordPress en HTTPS, vous devez effectuer la sauvegarde de votre base de données. C’est une étape incontournable qui vous sera très utile en cas de restauration.

Le déploiement d’un certificat SSL

Filigrane de certificat SSL. L'une de couleur rose et l'autre bleu.

Pour le déploiement de votre certificat SSL, vous devez vous rendre chez votre hébergeur. Ce dernier mettra à votre disposition un certificat gratuit. Pour un site de vente en ligne, vous devez opter pour un certificat qui vous offrira une durée de vie d’un an minimum. Généralement, la génération d’un SSL gratuit fonctionne en un seul clic. N’hésitez pas à vérifier qu’il n’est pas déjà actif. Cette précaution a pour but d’assurer que votre site n’est pas dupliqué sur les moteurs de recherche.

Lorsque votre certificat est actif, saisissez l’URL de votre site dans votre navigateur en ajoutant « https:// » devant le nom de domaine. Normalement, un cadenas devrait s’afficher. Il est généralement vert, mais il peut être jaune en présence de contenu mixte.

La redirection du trafic vers HTTPS

Pour l’instant, les sites sont accessibles de deux manières différentes, à savoir : HTTPS et HTTP. Vous devez conserver une seule variante pour permettre aux visiteurs et aux robots de Google d’être orientés vers la version sécurisée.

Pour ce faire, l’idéal serait de recourir aux traditionnelles redirections de type 301. Elles permettent d’indiquer de manière SEO-Friendly l’URL d’un nouveau contenu. Notez qu’il ne s’agira pas de poser autant de 301 que de contenus sur le site. Ce serait une action épuisante et contre-productive. Dans le but d’atteindre votre objectif, vous devez accéder au fichier .htaccess et ajouter les lignes ci-dessous :

Exemple du contenu d'un fichier htaccess pour WordPress.

# BEGIN Redirect HTTP to HTTPS

RewriteEngine On

RewriteCond %{SERVER_PORT} 80

RewriteRule ^(.*)$ https://passersonsitewordpress.fr/ [R=301,L]

# END Redirect HTTP to HTTPS

N’oubliez pas de remplacer le nom de domaine par le vôtre. Il existe une solution pour trouver automatiquement le domaine, il est plus fiable et efficace de l’indiquer directement. Une fois que c’est terminé, retournez sur votre navigateur web et actualisez la page. Cela vous redirigera automatiquement vers la version HTTPS. C’est valable pour l’ensemble des URLs de votre domaine. Effectuez donc un test en ouvrant une page de votre site, remplacez le protocole « https:// » par « http:// » et notez la redirection vers l’équivalent HTTPS.

Avec cette technique, il ne faudra que quelques heures à Google et aux moteurs de recherche pour prendre en compte les nouveaux changements.

La réécriture des URLs en base de données

Le CMS WordPress conserve les URLs présentes dans vos contenus en chemin absolu. En d’autres termes, si vous créez une redirection dans le corps de votre texte, l’URL du lien est entière. Vous devez donc les modifier en masse afin que « http:// » soit remplacé par « https:// » par le biais d’un script spécialisé tel que Search Replace DataBase

Les solutions manuelles qui consistent à rechercher et à remplacer les URLs directement dans un éditeur de code sont à interdire, car vous ne pouvez pas gérer les données sérialisées. Ce type de données est très utilisé dans les constructeurs de page.

L’utilisation de Search Replace DataBase

L'interface de "Search and replace database" de WordPress.

Notez que Search Replace DataBase est couramment utilisé pour modifier l’adresse d’un site. Il sert également à effectuer les migrations de HTTP vers HTTPS. Ce script a été conçu pour faciliter le processus de migration de sites basés sur PHP et MySQL. Il possède des fonctionnalités intéressantes pour WordPress et il fonctionne aussi pour les autres CMS similaires.

Pour exécuter le script dans le navigateur, saisissez le nom du dossier à la suite de votre domaine. Dans le champ « replace », saisissez l’URL sous la forme http://passersonsitewordpress.fr et https://passersonsitewordpress.fr dans le champ « with ». N’oubliez pas que vous remplacez uniquement la partie qui change. Vous ne devez donc pas vous questionner sur la présence ou non d’un slash à la fin.

Les tests

Afin de poursuivre votre travail, cliquez sur « dry run ». Cela aura pour effet d’effectuer un test. Une liste d’éléments se présentera à vous table par table, ce qui vous permettra de vérifier que tout fonctionne de manière optimale. Si les tests sont concluants, effectuez un « live run » et effectuez les remplacements. Une fois qu’ils seront opérés, cliquez sur « delete me » pour supprimer le script du serveur. Vous pouvez également réaliser cette opération manuellement par le biais de votre client favori. Pour assurer votre sécurité, ne laissez pas ce genre de script sur votre serveur.

Normalement, à la fin de cette étape, vous devez avoir résolu presque tous les problèmes de contenus mixtes dans les pages de votre site.

La modification du fichier wp-config.php

Exemple de contenu du fichier wp-config.php à modifier. Une flèche rouge montre les paramètres à modifier.

Le fichier de configuration wp-config.php est généré au cours de l’installation de votre site WordPress. Il relie votre installation à votre base de données et offre une multitude d’options de configuration.

Pour forcer l’usage de HTTPS en back-office, vous devez rajouter la ligne suivante :

define (‘FORCE_SSL_ADMIN’ , true);

N’oubliez pas de vérifier que les URLs d’installation ne sont pas spécifiées en dur dans le fichier. Cette précaution vous permettra de bloquer le réglage en back-office et d’éviter une erreur de manipulation. Voici un exemple qui devrait tout illustrer :

/** Définir l’URL par défaut */

define(‘WP_HOME’, ‘https://passersonsitewordpress.fr’);

define(‘WP_SITEURL’, ‘https://passersonsitewordpress.fr’);

La vérification de la présence de contenus mixtes

La vérification de la présence de contenus mixtes est sans doute l’étape la plus compliquée, car elle nécessite des compétences en développement web pour le CMS WordPress. Certaines pages de votre site vont probablement combiner les URLs en HTTP et les URLs en HTTPS, malgré la réécriture que vous avez réalisée. C’est généralement le cas pour les URLs saisies en dur dans le code d’un thème, d’une extension ou d’un mu-plugins.

Pour identifier les différents cas, vous devez parcourir les pages principales de votre site. Si le cadenas vert devient jaune comme sous Firefox, cela signifie que certaines pages se chargent encore en HTTP. Vous pouvez également effectuer une recherche dans le code source dans la fenêtre d’informations sur la page pour obtenir les URLs fautives.

La modification des propriétés Google Analytics

Pour vos propriétés et pour vos vues Google Analytics, vous devez modifier HTTP par HTTPS dans les listes déroulantes prévues à cet effet.

L’ajout des propriétés Google Search Console

Interface de Google search console avec diverses données et statistiques.

Les propriétés en HTTP sont déjà présentes pour votre site WordPress. Pour la migration, vous devez ajouter https://passersonsitewordpress.fr et https://www.passersonsitewordpress.fr et indiquer à Google la version que vous préférez. Ainsi, il n’y aura qu’une variante visible dans les résultats de recherche. Vous pouvez ensuite paramétrer ces nouvelles propriétés en procédant notamment à l’envoi de nouveaux sitemaps à Google. Notez qu’il s’agit d’une opération facultative, car un site bien conçu et idéalement optimisé sera rapidement mis à jour dans les résultats de recherche Google.

La modification du fichier robots.txt

Exemple de contenu d'un fichier robots.txt.

Le fichier robots.txt est présent à la racine de tous les sites développés sous l’éditeur WordPress. Il contient des instructions relatives à l’indexation de vos pages par les moteurs de recherche. Si vous disposez des outils spécialisés, vous pouvez modifier ce fichier directement depuis votre back-office. Assurez-vous donc de mettre à jour l’URL du plan de site qui est généralement inséré en première ligne.

La mise à jour des liens entrants

La dernière étape du passage de votre site WordPress en HTTPS, c’est la mise à jour des liens entrants. Une fois que cette opération est effectuée, il y a des démarches que vous devez impérativement réaliser pour vous assurer que tout fonctionne optimalement.

Que faire après le passage de votre site WordPress en HTTPS ?

Après le passage de votre site WordPress en HTTPS, vous devez vous assurer que tout fonctionne correctement. Pour ce faire, voici quelques éléments auxquels vous devez faire attention.

La vérification des redirections 301

L'écran de la fonctionnalité "301 Redirect" sur WordPress.

En premier lieu, vous devez vérifier les redirections 301. Afin d’y parvenir, il existe deux méthodes principales. L’une d’entre elles consiste à tester manuellement toutes vos URLs « HTTP » pour vérifier qu’elles se redirigent toutes en « HTTPS ». L’autre méthode consiste à utiliser un outil de crawling comme « Screaming Frog ». Il va parcourir la totalité de votre site et vous donner des informations sur les URLs parcourues.

La modification des URLs dans les outils tiers

Si vous utilisez des outils d’analyse ou de marketing comme Google Analytics ou Google Adwords, pensez à modifier les URLs utilisées avec ces solutions. Pour Google Search, vous pouvez déclarer votre nouvelle URL HTTPS puis renvoyer le sitemap de votre site.

La vérification de la validité de l’installation globale

Enfin, vérifiez l’installation complète de votre site en HTTPS grâce à des outils en ligne qui font tester la validité de l’installation. Parmi les solutions recommandées, il y a SSLLabs et SSLCheck.

Passer un site WordPress en HTTPS: en résumé

En somme, vous devez effectuer le passage de votre site WordPress en HTTPS pour la sécurité des visiteurs et pour le référencement naturel. Cette migration nécessite quelques connaissances techniques, ce qui peut rendre la tâche compliquée. Si vous n’avez pas le savoir-faire nécessaire, l’idéal serait de vous tourner vers une agence spécialisée. Elle s’occupera de vous satisfaire dans les meilleurs délais possibles.