Comment passer WordPress en HTTPS ? Votre site WordPress est encore en HTTP ? C’est une erreur. Votre site WordPress est bien en HTTPS ? En êtes-vous sur ? Nous allons vérifier cela.
Petit test : rendez-vous sur n’importe quelle page de votre site web hors page d’accueil – Retirez le « S » de « HTTPS ». Votre site est toujours en HTTPS ? Si c’est le cas, bravo, vous pouvez visiter un autre article sur mon site. Si ce n’est pas le cas, restez encore un peu.
Passer WordPress en HTTPS n’est pas bien compliqué, je vais vous proposer 2 solutions simples, rapides et efficaces. Dans ce tuto, je vous donne les étapes indispensables pour bien passer WordPress en HTTPS.
Avant de passer WordPress en HTTPS ?
Concrètement, passer WordPress en HTTPS revient à faire une migration de site, c’est-à-dire de créer un nouveau site dans lequel seront transférés les contenus de vos différentes pages.
Le première étape pour passer son site WordPress en HTTPS consiste simplement à se procurer un certificat SLL.
Votre hébergeur ou gestionnaire de nom de domaine vous propose généralement un certificat SSL gratuit dans son offre. Rajoutez le « s » à la fin du HTTP de votre nom de domaine. Si vous êtes toujours sur votre site web, c’est que le certificat est déjà installé. Passez à l’étape suivante.
Si ce n’est pas le cas, renseignez-vous auprès que votre hébergeur pour activer un certificat gratuit Let’s Encrypt.
Dans certaines thématiques et pour certains sites e-commerce, il est parfois conseillé de choisir un certificat payant plus sécurisé. Votre hébergeur pourra vous conseiller un certificat adapté à votre situation.
Le protocole HTTPS permet de sécuriser un peu plus votre site web. Aujourd’hui, c’est la norme et vous ne pouvez pas vous permettre d’avoir un site web sans le HTTPS. Visuellement ce qui change c’est seulement l’URL.
https://redback-optimisation.fr/ à https://redback-optimisation.fr/
En réalité, il y aura toujours une version HTTP et une version HTTPS de votre site web. Pour Google, il s’agit quasiment de deux sites web différents. Vous devez donc faire en sorte que la version HTTP redirige automatiquement vers la version HTTPS.
Passer WordPress en HTTPS : la méthode ultra facile
Quelque soit la méthode pour passer WordPress en HTTPS, il y a toujours une étape à réaliser avant chaque manipulation sur votre site WordPress : réaliser une sauvegarde. Il serait dommage de perdre votre site web. Dans ma formation WordPress & SEO, je préconise l’installation du plugin Updraft Plus pour réaliser des sauvegardes automatiques.
La méthode ultra facile va vous prendre 3 minutes à tout cassé :
Vous allez simplement installer le plugin « REALLY SIMPLE SSL ».
Vous vous rendez dans votre backoffice WordPress – Extensions – Ajouter, vous recherchez le plugin et vous l’activez. C’est tout. = 3 minutes.
Cette méthode pour passer WordPress en HTTPS est ultra rapide mais ce n’est pas la meilleur méthode. Dans un premier temps, Really Simple SSL (il existe d’autres plugins similaires) n’est pas infaillible, il peut oublier des pages, des images ou des liens qui resteront en HTTP. C’est plutôt rapide de vérifier si les pages sont bien en HTTPS sur un petit site web mais c’est l’horreur sur un gros site web.
Deuxièmement, plus vous avez de plugins WordPress installés et plus votre site web rame et fait baisser votre temps de chargement et potentiellement votre référencement naturel. Il n’est donc pas conseillé d’ajouter un nouveau plugin si une autre solution existe.
Il en existe une justement. Un poil plus technique mais à la porté de n’importe qui.
Passer WordPress en HTTPS : la méthode avancée
Voilà la méthode que je recommande pour passer WordPress en HTTPS. Vous devez suivre ces 5 étapes :
Etape 1
Rendez-vous dans votre backoffice WordPress dans Réglages – Général. Vous allez devoir changer l’adresse principal de votre site. Remplacez l’URL en HTTP par sa version en HTTPS. Vous devez modifier les deux champs d’URL : « Adresse web de WordPress » et « Adresse web du site ». Vous allez être déconnecté car votre backoffice passe lui aussi en HTTPS.
Etape 2
Désormais, l’ensemble de votre site web doit être en HTTPS. Malheureusement, ce n’est pas aussi simple. Le problème, c’est que votre site web est maintenant dupliqué : une version HTTP et une version HTTPS. Vous allez devoir rediriger chaque URL en HTTP vers leur version en HTTPS.
Vous allez devoir vous rendre en FTP. Vous avez du recevoir vos codes FTP lors de l’achat de votre nom de domaine et hébergement. Si vous ne les avez plus, vous pouvez contacter votre hébergeur pour qu’ils vous les renvoient. Il y a généralement :
- Un nom d’hôte
- Un nom d’utilisateur
- Un mot de passe
- Deux chiffres : 21 ou 22
Téléchargez le logiciel Filezilla (Server) et connectez-vous avec vos identifiants. Ce logiciel vous permet d’accéder aux dossiers et fichiers de votre site web.
Etape 3
Sur Filezilla, dans le dossier « www. » vous devez trouver le fichier « wp-config » et le fichier « .htaccess ». Par un glissé-déposé, récupérez ces deux fichiers et faites en 2 copies. Vous devez avoir 2 fichiers d’origines et 2 fichiers que vous allez modifier. Attention, Vous devez attendre 24h après la mise en ligne de votre site web pour voir apparaître le fichier .htaccess.
Etape 4
Vous allez devoir copier un bout de code dans ces fichiers. Pour cela, vous devez télécharger le logiciel Notepad++ (TextWrangler pour Mac).
Ouvrez le fichier Wp-config et copiez le code suivant à la ligne 2 du fichier :
define( ‘FORCE_SSL_ADMIN’, true );
Enregistrez et remplacez le fichier d’origine avec celui mis à jour dans Filezilla.
Vérifiez que tout est ok sur votre site web. Si vous n’avez plus accès à votre site web, c’est que vous avez fait une erreur de ligne ou que vous avez oublié un caractère. Vous pouvez alors envoyer sur Filezilla le fichier de sauvegarde d’origine et recommencer la manœuvre.
Etape 5
De la même façon, un autre bout de code doit être ajouté dans le fichier .htaccess (tout en haut) :
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://nomdedomaine.fr/$1 [R=301,L]
Pensez bien à ajouter votre nom de domaine en HTTPS à la place de https://nomdedomaine.fr/
Voilà, c’est bon, vous venez de passer WordPress en HTTPS.
Que faire après avoir passer WordPress en HTTPS ?
Vérifier que le HTTPS fonctionne bien
Contrôlez que votre certificat SSL soit effectif. Un certificat non valide fera apparaître un message d’alerte dans une fenêtre du navigateur de l’utilisateur, ce qui peut compromettre l’image de confiance et de sécurité que vous souhaitez véhiculer.
Il est possible de tester la validité de votre certificat avec cet outil de SSL labs. Si vous ne le vérifiez pas, vous risquez d’avoir des urls comportant le HTTPS barré dans la barre d’adresse. Ce qui indique en règle générale, que vous avez encore des liens HTTP sur vos pages.
D’autre part, l’outil permet de vérifier le niveau de sécurité de votre site HTTPS. Il vous donnera une note et vous indiquera les choses à corriger pour être mieux noté.
Si le cadenas vert ne s’affiche pas, c’est que vous avez encore du contenu mixte dans vos pages. En d’autres termes, certaines pages n’ont pas fait le lien vers le HTTPS (c’est souvent le cas des images). C’est là que ça se complique. C’est ce que l’on appel le contenu mixte.
Première chose à faire, les URL’s qui n’ont pas un cadenas vert peuvent être testé via cet outil qui vous indiquera le code de redirection de la page. Testez le avec la page en version HTTP. La page sera en code 200 si le cadenas n’est pas vert.
Si vous utilisez Firefox, vous aurez beaucoup d’informations en cliquant sur le cadenas rouge – Plus d’informations – Média. Cherchez les médias encore en HTTP sur la page pour les modifier.
Vous pouvez aussi faire un clique droit sur la page non sécurisé et cliquer sur « Afficher le code source de la page ». Faites ensuite CTRL+F afin d’ouvrir une barre de recherche et entrez « HTTP ». Identifiez les liens qui ne sont pas en HTTPS et modifiez les.
Mise à jour de Google Search Console et Google Analytics
Une fois que vous aurez réalisé toutes les redirections nécessaires et que vous vous serez assuré de ne plus avoir aucun lien vers du HTTP, vous devrez prévenir Google afin qu’il indexe au plus vite vos nouvelles URL. Cette étape est très importante et doit être réalisé rapidement.
En effet, plus vous tarderez, plus vous aurez de chances de perdre des positions SEO. Pour cela, il suffit de rajouter votre nouveau site dans Google Search Console en renseignant l’URL de votre nouveau site. Il faudra également lui soumettre le sitemap en HTTPS et modifier son adresse dans le fichier robots.txt.
En outre, n’oubliez pas, de modifier votre URL dans Google Analytics (dans paramètre de la propriété et dans paramètre de vue).
Pourquoi passer WordPress de HTTP à HTTPS ?
Protéger les informations des internautes
L’HyperText Transfer Protocol (HTTP) est un Protocole de transmission permettant à l’utilisateur d’accéder à des pages web par l’intermédiaire d’un navigateur tout en envoyant des données sur votre serveur. Le problème, c’est que les données qui transitent via HTTP ne sont pas cryptées, ce qui peut permettre à une personne mal intentionnée de récupérer facilement des informations pouvant être confidentielles (identifiants de connexion, coordonnées).
l’HyperText Transfer Protocol Secure (HTTPS) est la version sécurisée de HTTP. Il est le résultat d’une combinaison du HTTP avec une couche de chiffrement de type SSL (Secure Sockets Layer) ou TSL (Transport Layer Security). C’est ce qui va permettre à l’internaute de vérifier l’identité de votre site internet grâce à un certificat d’authentification. Ce dernier est matérialisé par un cadenas vert à côté de l’URL du site.
Ce certificat garantit la confidentialité et l’intégrité des données envoyées par l’utilisateur et reçues par le serveur. De même que la propagation de logiciels malveillants (Malwares) sera freinée, permettant ainsi une meilleure sécurité du web. Il est donc de l’intérêt de tous de contribuer à l’essor du HTTPS.
Mais comment savoir quel certificat choisir ? Les certificats SSL sont les preuves d’identité d’un site Web. Il en existe différents types qui se distinguent par l’étendue de leur identification :
- Validation Domaine (DV) : c’est le certificat type et (le plus souvent) le moins cher. Ces certificats permettent un cryptage de base. Ils sont délivrés très rapidement et nécessitent une simple vérification pour la propriété du domaine.
- Validation Entreprise (OV) : Ces certificats incluent l’authentification de l’entreprise et/ou de l’organisation propriétaire du domaine.
- Validation Étendue (EV) : Avec ce type de validation, l’autorité de certification effectue un examen en profondeur de votre entreprise avant d’émettre le certificat. Celui-ci offre le plus haut degré de sécurité.
Être mieux référencé et positionné par l’algorithme de Google
Pour Google, le HTTPS est un critère de son algorithme de référencement d’un site internet. Selon l’étude annuelle de SEMrush « Rankings factors 2017« ,le HTTPS est à la 7ème place des critères de référencement, devant la densité ou la présence des mots clés recherchés dans le corps de l’article.
Après analyse de 600 000 requêtes et des résultats du TOP 100, les conclusions de l’étude ont révélés que les premières positions de Google étaient plus souvent occupées par des sites en HTTPS. Le HTTPS a donc un réel intérêt pour votre stratégie SEO.
En conclusion
Passer WordPress en HTTPS n’est pas indispensable mais reste fortement conseillé. Grâce au certificat SSL, vous véhiculerez une image rassurante auprès de vos visiteurs et Google vous remerciera en améliorant légèrement votre positionnement.
Et vous, qu’en pensez-vous ? Etes-vous prêt à passer au HTTPS ?