Ce qu’il faut retenir pour réussir sa transition HTTPS :
- Vérifiez votre certificat : Assurez-vous que Let’s Encrypt ou un certificat équivalent est activé chez votre hébergeur avant toute manipulation.
- Sauvegardez votre site : Ne touchez jamais à votre fichier .htaccess ou à votre base de données sans avoir une sauvegarde complète (fichiers + SQL) récente.
- Redirigez en 301 : Une redirection permanente (301) est indispensable pour que Google comprenne que la version HTTP est définitivement remplacée par la version HTTPS.
- Corrigez la base de données : Utilisez un outil comme Better Search Replace pour transformer les liens HTTP internes (images, scripts) en HTTPS directement dans votre base de données.
- Mettez à jour les outils externes : Pensez à modifier l’URL de votre flux dans Google Analytics (GA4) et vérifiez votre propriété dans la Google Search Console.
- Le HTTPS est un prérequis SEO : Au-delà de la sécurité, c’est un signal positif pour l’algorithme de Google (critères E-E-A-T).
Comment passer WordPress en HTTPS ? Votre site WordPress est encore en HTTP ? C’est une erreur. Votre site WordPress est bien en HTTPS ? En êtes-vous sur ? Nous allons vérifier cela.
Petit test : rendez-vous sur n’importe quelle page de votre site web hors page d’accueil – Retirez le « S » de « HTTPS ». Votre site est toujours en HTTPS ? Si c’est le cas, bravo, vous pouvez visiter un autre article sur mon site. Si ce n’est pas le cas, restez encore un peu.
Passer WordPress en HTTPS n’est pas bien compliqué, je vais vous proposer 3 solutions simples, rapides et efficaces. Dans ce tuto, je vous donne les étapes indispensables pour bien passer WordPress en HTTPS.
Les 3 méthodes recommandées pour passer WordPress en HTTPS
| Méthode | Difficulté | Avantage majeur | Utilisation conseillée |
|---|---|---|---|
| Plugin (SecuPress) | Très faible | Corrige le contenu mixte automatiquement | Débutants et petits sites |
| Hébergeur (cPanel) | Moyenne | Simple et performant | Profils intermédiaires |
| Manuel (.htaccess) | Avancée | Zéro impact sur la vitesse du site | Sites professionnels et SEO |
Le passage au HTTPS est une étape cruciale qui doit s’adapter à vos compétences techniques. Pour sécuriser votre site et vos utilisateurs, je recommande d’utiliser l’un des trois leviers suivants, classés de la méthode la plus automatisée à la plus technique.
Méthode 1 : Utiliser un plugin (Solution clé en main)
C’est la méthode idéale pour les débutants. Je recommande à mes clients SecuPress qui est maintenant connecté au plugin Really Simple SSL, celui-ci permet d’activer le SSL en un clic. L’avantage majeur de cette solution est qu’elle ne se contente pas d’activer le protocole : elle peut également corriger dynamiquement les erreurs de « contenu mixte » (images ou scripts restés en HTTP) qui empêchent parfois le cadenas de s’afficher correctement.
Avantages
- Pas de code.
- Corrige généralement les URLs internes mixtes (contenus non sécurisés).
Inconvénients
- Peut introduire des dépendances plugins.
- Moins robuste qu’une configuration serveur directe.
Méthode 2 : Configurer via votre hébergeur (Via cPanel)
Si vous ne voulez pas surcharger votre site avec un plugin supplémentaire, tournez-vous vers l’interface de gestion de votre hébergement (souvent cPanel). La plupart des hébergeurs proposent désormais une option « Force HTTPS » dans la section « SSL/TLS Status » ou « Let’s Encrypt ». En activant cette option, le serveur gère lui-même la redirection avant même que WordPress ne soit sollicité, ce qui est excellent pour les performances.
Avantages
- Automatique (renouvellement inclus pour Let’s Encrypt).
- Aucun plugin nécessaire.
- Moins d’erreurs de configuration.
Méthode 3 : Modification manuelle via le fichier .htaccess (Méthode experte)
C’est la solution la plus propre et la plus pérenne pour le SEO. Elle consiste à insérer manuellement une règle de redirection 301 dans votre fichier .htaccess (accessible via FTP). En forçant le trafic à la racine du serveur, vous assurez une redirection instantanée et définitive sans dépendre d’une extension tierce. C’est la méthode que j’utilise systématiquement pour les projets de mes clients.
Avantages
- Redirection propre via 301 permanent.
- Pas de plugin.
Attention
- Nécessite accès FTP/serveur.
- Ne configure pas le certificat SSL.
- Plus compliqué sans connaissance
Besoin d’un tuto ? Regardez la vidéo, sinon, j’explique un peu plus bas la méthodologie étape par étape.
Avant de passer WordPress en HTTPS ?
Concrètement, passer WordPress en HTTPS revient à faire une migration de site, c’est-à-dire de créer un nouveau site dans lequel seront transférés les contenus de vos différentes pages.
Le première étape pour passer son site WordPress en HTTPS consiste simplement à se procurer un certificat SLL.
Votre hébergeur ou gestionnaire de nom de domaine vous propose généralement un certificat SSL gratuit dans son offre. Rajoutez le « s » à la fin du HTTP de votre nom de domaine. Si vous êtes toujours sur votre site web, c’est que le certificat est déjà installé. Passez à l’étape suivante.
Si ce n’est pas le cas, renseignez-vous auprès que votre hébergeur pour activer un certificat gratuit Let’s Encrypt.
Dans certaines thématiques et pour certains sites e-commerce, il est parfois conseillé de choisir un certificat payant plus sécurisé. Votre hébergeur pourra vous conseiller un certificat adapté à votre situation.
Le protocole HTTPS permet de sécuriser un peu plus votre site web. Aujourd’hui, c’est la norme et vous ne pouvez pas vous permettre d’avoir un site web sans le HTTPS. Visuellement ce qui change c’est seulement l’URL.
http://redback-optimisation.fr/ à https://redback-optimisation.fr/
En réalité, il y aura toujours une version HTTP et une version HTTPS de votre site web. Pour Google, il s’agit quasiment de deux sites web différents. Vous devez donc faire en sorte que la version HTTP redirige automatiquement vers la version HTTPS.
Passer WordPress en HTTPS : la méthode avancée
Voilà la méthode que je recommande pour passer WordPress en HTTPS. Vous devez suivre ces 5 étapes :
Etape 1
Rendez-vous dans votre backoffice WordPress dans Réglages – Général. Vous allez devoir changer l’adresse principal de votre site. Remplacez l’URL en HTTP par sa version en HTTPS. Vous devez modifier les deux champs d’URL : « Adresse web de WordPress » et « Adresse web du site ». Vous allez être déconnecté car votre backoffice passe lui aussi en HTTPS.
Etape 2
Désormais, l’ensemble de votre site web doit être en HTTPS. Malheureusement, ce n’est pas aussi simple. Le problème, c’est que votre site web est maintenant dupliqué : une version HTTP et une version HTTPS. Vous allez devoir rediriger chaque URL en HTTP vers leur version en HTTPS.
Vous allez devoir vous rendre en FTP. Vous avez du recevoir vos codes FTP lors de l’achat de votre nom de domaine et hébergement. Si vous ne les avez plus, vous pouvez contacter votre hébergeur pour qu’ils vous les renvoient. Il y a généralement :
- Un nom d’hôte
- Un nom d’utilisateur
- Un mot de passe
- Deux chiffres : 21 ou 22
Téléchargez le logiciel Filezilla (Server) et connectez-vous avec vos identifiants. Ce logiciel vous permet d’accéder aux dossiers et fichiers de votre site web.
Etape 3
Sur Filezilla, dans le dossier « www. » vous devez trouver le fichier « wp-config » et le fichier « .htaccess ». Par un glissé-déposé, récupérez ces deux fichiers et faites en 2 copies. Vous devez avoir 2 fichiers d’origines et 2 fichiers que vous allez modifier. Attention, Vous devez attendre 24h après la mise en ligne de votre site web pour voir apparaître le fichier .htaccess.
Etape 4
Vous allez devoir copier un bout de code dans ces fichiers. Pour cela, vous devez télécharger le logiciel Notepad++ (TextWrangler pour Mac).
Ouvrez le fichier Wp-config et copiez le code suivant à la ligne 2 du fichier :
define( ‘FORCE_SSL_ADMIN’, true );
Enregistrez et remplacez le fichier d’origine avec celui mis à jour dans Filezilla.
Vérifiez que tout est ok sur votre site web. Si vous n’avez plus accès à votre site web, c’est que vous avez fait une erreur de ligne ou que vous avez oublié un caractère. Vous pouvez alors envoyer sur Filezilla le fichier de sauvegarde d’origine et recommencer la manœuvre.
Etape 5
De la même façon, un autre bout de code doit être ajouté dans le fichier .htaccess (tout en haut) :
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://nomdedomaine.fr/$1 [R=301,L]
Pensez bien à ajouter votre nom de domaine en HTTPS à la place de https://nomdedomaine.fr/
Voilà, c’est bon, vous venez de passer WordPress en HTTPS.
Que faire après avoir passer WordPress en HTTPS ?
Vérifier que le HTTPS fonctionne bien
Contrôlez que votre certificat SSL soit effectif. Un certificat non valide fera apparaître un message d’alerte dans une fenêtre du navigateur de l’utilisateur, ce qui peut compromettre l’image de confiance et de sécurité que vous souhaitez véhiculer.
Il est possible de tester la validité de votre certificat avec cet outil de SSL labs. Si vous ne le vérifiez pas, vous risquez d’avoir des urls comportant le HTTPS barré dans la barre d’adresse. Ce qui indique en règle générale, que vous avez encore des liens HTTP sur vos pages.
D’autre part, l’outil permet de vérifier le niveau de sécurité de votre site HTTPS. Il vous donnera une note et vous indiquera les choses à corriger pour être mieux noté.
Si le cadenas est gris, c’est que vous avez encore du contenu mixte dans vos pages. En d’autres termes, certaines pages n’ont pas fait le lien vers le HTTPS (c’est souvent le cas des images). C’est là que ça se complique.
Première chose à faire, les URL’s qui ont un cadenas gris ou barré peuvent être testé via cet outil qui vous indiquera le code de redirection de la page. Testez le avec la page en version HTTP. La page sera en code 200 si la page n’est pas totalement sécurisée.
Si vous utilisez Firefox, vous aurez beaucoup d’informations en cliquant sur le cadenas rouge – Plus d’informations – Média. Cherchez les médias encore en HTTP sur la page pour les modifier.
Vous pouvez aussi faire un clique droit sur la page non sécurisé et cliquer sur « Afficher le code source de la page ». Faites ensuite CTRL+F afin d’ouvrir une barre de recherche et entrez « HTTP ». Identifiez les liens qui ne sont pas en HTTPS et modifiez les.
Mise à jour de Google Search Console et Google Analytics
Plus besoin de recréer une propriété à chaque fois si vous utilisez une « Propriété de domaine » (DNS). Elle englobe automatiquement HTTP, HTTPS, www et non-www. Si ce n’est pas le cas :
Une fois que vous aurez réalisé toutes les redirections nécessaires et que vous vous serez assuré de ne plus avoir aucun lien vers du HTTP, vous devrez prévenir Google afin qu’il indexe au plus vite vos nouvelles URL. Cette étape est très importante et doit être réalisé rapidement.
En effet, plus vous tarderez, plus vous aurez de chances de perdre des positions SEO. Pour cela, il suffit de rajouter votre nouveau site dans Google Search Console en renseignant l’URL de votre nouveau site. Il faudra également lui soumettre le sitemap en HTTPS et modifier son adresse dans le fichier robots.txt.
En outre, n’oubliez pas, de modifier votre URL dans Google Analytics (dans paramètre de la propriété et dans paramètre de vue).
Pourquoi passer WordPress de HTTP à HTTPS ?
Protéger les informations des internautes
L’HyperText Transfer Protocol (HTTP) est un Protocole de transmission permettant à l’utilisateur d’accéder à des pages web par l’intermédiaire d’un navigateur tout en envoyant des données sur votre serveur. Le problème, c’est que les données qui transitent via HTTP ne sont pas cryptées, ce qui peut permettre à une personne mal intentionnée de récupérer facilement des informations pouvant être confidentielles (identifiants de connexion, coordonnées).
l’HyperText Transfer Protocol Secure (HTTPS) est la version sécurisée de HTTP. Il est le résultat d’une combinaison du HTTP avec une couche de chiffrement de type SSL (Secure Sockets Layer) ou TSL (Transport Layer Security). C’est ce qui va permettre à l’internaute de vérifier l’identité de votre site internet grâce à un certificat d’authentification. Ce dernier est matérialisé par un cadenas vert à côté de l’URL du site.
Ce certificat garantit la confidentialité et l’intégrité des données envoyées par l’utilisateur et reçues par le serveur. De même que la propagation de logiciels malveillants (Malwares) sera freinée, permettant ainsi une meilleure sécurité du web. Il est donc de l’intérêt de tous de contribuer à l’essor du HTTPS.
Mais comment savoir quel certificat choisir ? Les certificats SSL sont les preuves d’identité d’un site Web. Il en existe différents types qui se distinguent par l’étendue de leur identification :
- Validation Domaine (DV) : c’est le certificat type et (le plus souvent) le moins cher. Ces certificats permettent un cryptage de base. Ils sont délivrés très rapidement et nécessitent une simple vérification pour la propriété du domaine.
- Validation Entreprise (OV) : Ces certificats incluent l’authentification de l’entreprise et/ou de l’organisation propriétaire du domaine.
- Validation Étendue (EV) : Avec ce type de validation, l’autorité de certification effectue un examen en profondeur de votre entreprise avant d’émettre le certificat. Celui-ci offre le plus haut degré de sécurité.
Être mieux référencé et positionné par l’algorithme de Google
Pour Google, le HTTPS est un critère de son algorithme de référencement d’un site internet. Dans plusieurs analyses SEO de 2025 basées sur de larges jeux de données et tests de professionnels, Google est toujours considéré comme donnant un léger avantage aux sites sécurisés (HTTPS) par rapport aux sites non sécurisés, car cela améliore la confiance des utilisateurs et l’expérience de navigation. Source : Rankings factors 2025.
En conclusion
Passer WordPress en HTTPS n’est pas indispensable mais reste fortement conseillé. Grâce au certificat SSL, vous véhiculerez une image rassurante auprès de vos visiteurs et Google vous remerciera en améliorant légèrement votre positionnement.
Et vous, qu’en pensez-vous ? Etes-vous prêt à passer au HTTPS ?
