Pourquoi et comment sécuriser son site WordPress en HTTPS

Pourquoi et comment sécuriser son site WordPress en HTTPS

Qu’est-ce que le HTTPS ?

Le HTTPS est la version sécurisée du HTTP, le protocole de communication utilisé sur le web pour pouvoir interagir avec un site Internet. Cette sécurisation s’effectue à l’aide d’un certificat SSL. Celui-ci permet de sécuriser votre site WordPress en HTTPS, et garantit la confidentialité et la sécurité des données échangées avec le site.

Pourquoi sécuriser son site WordPress avec HTTPS ?

Les raisons de passer au HTTPS sont nombreuses, car la tendance est au renforcement de la sécurité sur Internet. Et cette sécurisation est un atout indéniable pour rassurer les internautes et les moteurs de recherche.

Si, il y a quelques années, seuls les grands sites et les sites e-commerce étaient sécurisés, aujourd’hui le protocole HTTPS n’est plus une option, et s’impose pour la majorité des sites.

Si votre site Internet n’utilise pas encore le protocole HTTPS, vous trouverez dans cet article toutes les informations nécessaires pour sécuriser votre site WordPress avec HTTPS.

Les avantages de la sécurisation

Garantir la sécurité des données échangées

Le premier avantage de passer votre site web en HTTPS est de le rendre plus sûr pour les internautes. De cette manière, vous garantissez la sécurité des données échangées entre l’utilisateur et le site web.

Rassurer vos visiteurs

Un site sécurisé rassurera naturellement les internautes qui le visitent. D’autant plus que certains navigateurs comme Chrome affichent clairement une mention « Non sécurisé’ sur la barre d’adresse des sites en HTTP.

Etre mieux référencé

Si vous travaillez le référencement naturel de votre site dans les moteurs de recherche, le fait de passer en HTTPS vous fera peut-être gagner quelques positions. Car vous envoyez des signaux positifs aux moteurs. Cela étant dit, le positionnement de votre site dépend beaucoup plus de vos contenus et de la popularité de votre site que de sa sécurité. Par conséquent, l’argument du référencement ne doit donc pas être votre motivation principale pour passer en HTTPS.

Comment passer votre site WordPress en HTTPS ?

Il existe des solutions logicielles toutes faites si vous utilisez un CMS (système de gestion de contenus) tel que WordPress. Le plus connu est sans doute Really Simple SSL, téléchargé à plus de 4 millions d’exemplaires, et qui bénéficie de très bons avis d’utilisateurs. Il existe une version premium pour une sécurisation renforcée.

D’autres composants existent pour la plupart des plateformes, il suffit de faire une recherche sur le web.

Mais si vous préférez passer votre site en HTTPS à la main, et en contrôlant ce qui se passe, voici comment procéder, étape par étape. Et rassurez-vous, ce n’est pas si compliqué.

Etape 1 : Obtenir un certificat SSL

1.1 Choisir votre certificat SSL et l’activer

La plupart des hébergeurs proposent désormais un certificat SSL gratuit avec leurs offres d’hébergement. Celui-ci est suffisant pour la majorité des sites. Si vous avez besoin d’un niveau de sécurité plus élevé, il vous suffira de consulter leurs offres.

Une fois votre certificat SSL choisi, il vous suffit de l’activer sur votre hébergement via l’interface d’administration de votre hébergement.

1.2 Vérifier que le certificat est activé

En général, l’activation du certificat SSL prend entre 1 minute et 24 heures, selon les hébergeurs.

Ajoutez https:// avant le nom de votre site dans la barre d’adresse pour vérifier si votre certificat est installé.

Si votre certificat n’est pas encore installé, vous obtiendrez un message d’erreur similaire à celui ci-dessous.

Connexion non sécurisée

Ne commencez à modifier votre site qu’une fois le certificat activé, sinon celui-ci risque de ne plus fonctionner.

Par ailleurs, vous pouvez également tester votre certificat en ligne sur :

https://www.digicert.com/help/

Etape 2 : Modifier votre site WordPress en HTTPS

Votre certificat SSL activé, vous allez pouvoir apporter quelques modifications à votre site pour qu’il devienne sécurisé.

Note : Dans les étapes suivantes, remplacez bien évidemment axedit.fr par votre nom de domaine !

2.1 Définir l’adresse de base du site WordPress en HTTPS

Rendez-vous dans le menu Réglages, Général de WordPress.
Modifiez l’adresse de votre site en la faisant précéder de « https:// »
Enregistrez les modifications.

réglage site sécurisé https

2.2 Rediriger les URLs classiques vers les adresses sécurisées

Afin que toutes les URLs de votre site soient en HTTPS, vous devez configurer une redirection permanente (301). Pour cela, ajoutez ce code dans votre fichier .htaccess

# BEGIN Redirection vers HTTPS
RewriteEngine On
RewriteCond %{SERVER_PORT} ^80$ [OR]
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)$ https://www.axedit.fr/$1 [R=301,L]
# END Redirection vers HTTPS

Dans cet exemple, on teste si le port 80 (HTTP) est utilisé, ou si l’URL n’utilise pas le HTTPS. Et on redirige vers l’URL demandée en forçant le HTTPS.

Etape 3 : Vérifier votre site WordPress

A ce stade, toutes vos pages devraient afficher le logo du cadenas fermé, indiquant que votre site est sécurisé. Même si c’est le cas, je vous incite à procéder à toutes les vérifications qui suivent.

Cette étape est importante, elle permet de vous assurer que les modifications que vous avez faites ont bien été prises en compte. Et que votre site s’affichera correctement et intégralement en HTTPS.

3.1 Vérifier votre installation de SSL

Vérifiez que votre certificat SSL est valide, bien installé et correctement configuré. Vous pouvez utiliser des outils de vérification en ligne tels que :

HTTPCS, outil simple qui donne les informations principales.

https://www.httpcs.com/fr/tester-certificat-ssl

SSL Server Test de Qualy, qui livre une analyse beaucoup plus complète de la configuration de votre serveur web sécurisé.

https://www.ssllabs.com/ssltest/

A la fin du test, la note obtenue devrait être un A ou A+. Si votre note est inférieure, il faut essayer de corriger les problèmes mentionnés dans la liste.

3.2 Vérifier l’absence de liens en HTTP (mixed content)

Vous devez maintenant vérifier que toutes les autres URLs contenues dans votre site web soient également en https. Faute de quoi, les navigateurs risquent d’afficher votre site comme non totalement sécurisé.

Mixed content

C’est ce que l’on appelle le ‘mixed content’. Cela signifie qu’il y a dans votre site des URLs (souvent externes) qui sont en http. Le navigateur les détecte, et considère la page comme non totalement sécurisée.

Pour repérer les URLs en cause, vous pouvez là encore utiliser un outil en ligne, tel que Why No Padlock. Saisissez l’URL complète des pages n’apparaissant pas comme sécurisées :

https://www.whynopadlock.com/

Vous saurez ainsi quels sont les liens vers les ressources non sécurisées que vous devrez modifier.

3.3 Vérifier la redirection de http vers https

Ouvrez la page d’accueil de votre site, et vérifiez que le pictogramme du cadenas fermé s’affiche. L’URL de votre site doit commencer par https.

sécuriser site https

Si c’est le cas, naviguez sur une autre page de votre site (autre que la page d’accueil), et refaites les mêmes vérifications.

Supprimez ensuite le ‘s’ de https dans la barre d’adresse de votre page, et actualisez-la. Si votre page repasse en https et affiche le cadenas, c’est bon signe. Par contre, si la page reste en http, cela signifie que le code de redirection au niveau du serveur (dans votre fichier .htaccess sur Apache) ne fonctionne pas correctement.

Le contenu dupliqué est néfaste au référencement naturel. Vous devez donc corriger ce problème pour l’éviter.

Pour cela, vérifiez qu’il n’y ait pas d’autre code en conflit avec le code ajouté plus haut dans votre fichier .htaccess

Conclusion

Et voilà, si vous avez effectué toutes ces étapes sans problèmes, votre site WordPress devrait normalement être correctement sécurisé en HTTPS.

N’hésitez pas à me faire part de vos commentaires si vous avez rencontré des difficultés.

Et si vous avez un doute, ou peur de le faire par vous-même, vous pouvez me contacter pour que je le fasse pour vous.

Partager sur
  •  
  •  
  •  
  •  

J'aide les entreprises et les professionnels dans leur transition numérique à l'aide d'outils adaptés à leurs besoins et simples à utiliser.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

* Copy This Password *

* Type Or Paste Password Here *

3 538Commentaires spam bloqué jusqu'à présent parSpam Free Wordpress