Ajouter SSL à WordPress et passer de HTTP à HTTPS

Si votre site WordPress n’a pas de certificat SSL, tous les visiteurs recevront le message « site non sécurisé ».
Dans le pire des cas, vos visiteurs quitteront immédiatement votre site web à ce moment-là et chercheront ailleurs. Dans cet article, nous déplaçons votre site WordPress de HTTP vers HTTPS pour obtenir de meilleurs résultats de recherche et protéger les données de vos visiteurs contre les attaquants.

Vidéo : Comment ajouter SSL à WordPress

Si vous préférez regarder une vidéo plutôt que de lire cet article sur la façon d’ajouter SSL à WordPress, vous pouvez regarder l’intégralité de cet article sous forme de vidéo :

Lorsqu’ils visitent votre site WordPress, les visiteurs partagent diverses données avec vous, qu’il s’agisse d’effectuer un achat et de fournir des informations de paiement ou simplement de se connecter à votre site web. Pour protéger les données transmises, une connexion sécurisée doit être établie entre le serveur de votre site web et le navigateur du visiteur.

C’est là que SSL et HTTPS entrent en jeu.

Définition des termes HTTP, SSL et HTTPS

Comme beaucoup ont encore du mal à différencier HTTP, HTTPS et SSL, je voudrais expliquer brièvement ces termes avant d’activer et d’installer le certificat SSL.

Vous pouvez passer directement au chapitre suivant si vous êtes déjà familier avec cela.

HTTP signifie Hypertext Transfer Protocol, un protocole de transfert de données. Il est principalement utilisé pour charger des sites web depuis le World Wide Web, comme votre site WordPress, dans le navigateur web d’un visiteur.

SSL signifie Secure Sockets Layer ; c’est un protocole de chiffrement pour sécuriser la transmission des données sur Internet. Un certificat SSL unique peut identifier chaque site web.

HTTPS signifie Hypertext Transfer Protocol Secure et combine les deux protocoles précédents. À l’aide du certificat SSL, une identification et une authentification protégées des deux partenaires de communication, A. votre site WordPress et B. le navigateur du visiteur, ont lieu dans le protocole HTTPS. Le protocole échange ensuite une clé de session. HTTPS utilise ensuite la clé pour chiffrer les données utilisateur. De cette façon, votre site WordPress et le navigateur du visiteur peuvent transférer des données en toute sécurité.

Pourquoi vous avez besoin d’un certificat SSL

Vous devriez investir votre temps dans l’activation et l’utilisation d’un certificat SSL pour deux raisons simples.

1. Protégez les données de vos visiteurs contre le vol, dont vous pouvez être tenu responsable selon la situation juridique locale.
2. L’optimisation pour les moteurs de recherche, également connue sous le nom de SEO, est le processus consistant à fournir les résultats de recherche les plus stricts et les plus appropriés possibles. Puisque Google souhaite fournir les résultats de recherche les plus pertinents et les plus appropriés, il classe les sites web sans certificat SSL nettement plus bas.

D’accord, assez de connaissances théoriques de base, passons à la mise en œuvre.

Vérifier si un certificat SSL est disponible

La première étape consiste à déterminer si un certificat SSL est disponible pour votre site web.

Un moyen rapide de vérifier est d’entrer https://your-site.com au lieu de l’URL HTTP d’origine, http://your-site.com. Vous devriez voir le cadenas à gauche de la barre d’URL, qui affiche plus d’informations sur le certificat lorsque vous cliquez dessus.

Un certificat SSL est disponible

Si ce processus fonctionne, vous avez déjà un certificat SSL actif, mais votre site WordPress ne l’utilise pas. Il ne prend effet que si quelqu’un appelle explicitement votre page via le lien https://.

À l’étape suivante, vous apprendrez à configurer correctement le certificat SSL sur votre site WordPress.

Un certificat SSL n’est pas disponible.

Si ce processus n’a pas fonctionné et que vous vous retrouvez toujours sur le lien http:// et recevez le message d’erreur « non sécurisé », il y a deux étapes que vous pouvez effectuer avant de configurer WordPress via https :

Étape 1 : Certains hébergeurs proposent un certificat SSL pour votre domaine, mais vous devez d’abord l’activer manuellement.

La procédure d’activation du certificat SSL diffère d’un fournisseur à l’autre. Tout d’abord, accédez au tableau de bord de l’hébergeur (souvent cPanel) et recherchez l’élément SSL.

Selon le fournisseur, l’option Auto SSL sous le statut SSL peut maintenant être exécutée, ce qui vérifie et active le certificat SSL.

D’autres fournisseurs prennent en charge un certificat SSL de l’organisation à but non lucratif Let’s Encrypt, qui fournit des certificats SSL gratuits.

Recherchez « Let’s Encrypt ».

Étape 2 : Si vous ne trouvez pas le sous-élément SSL, votre hébergeur ne fournit pas de certificat SSL gratuit.

Contactez le support de votre hébergeur et renseignez-vous sur les coûts d’un certificat SSL. De nombreux hébergeurs facturent jusqu’à 60 $ par an pour un certificat SSL. Dans ce cas, décidez si un changement de fournisseur pourrait être judicieux.

Comment ajouter SSL à WordPress

La configuration manuelle de la connexion https est une solution permanente et optimisée pour les performances. Nous utilisons la même méthode sur wp-staging.com, c’est donc la méthode recommandée plutôt que d’utiliser un plugin SSL WordPress. Cependant, dans cet article, je vais également vous montrer une solution de plugin si vous souhaitez tout de même l’essayer.

Tout d’abord, allez dans Réglages > Général. À partir de là, mettez à jour les champs d’adresse URL WordPress et du site en remplaçant http:// par https://.

Une fois les paramètres enregistrés, WordPress peut vous déconnecter et vous demander de vous reconnecter.

Ajustements dans le fichier .htaccess

Ensuite, personnalisez le fichier .htaccess pour mettre en place une règle redirigeant tout le trafic de HTTP vers HTTPS. Vous pouvez accéder à ce fichier via le tableau de bord de l’hébergeur, qui est souvent basé sur cPanel, ou via un outil FTP comme FileZilla.

Pour ce faire, ouvrez le fichier .htaccess et ajoutez-y les lignes de code.

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

Ajustements dans le fichier Nginx.conf

Si vous êtes sur des serveurs Nginx, ajoutez ce code à votre fichier de configuration Nginx.conf :

server {
listen 80;
server_name example.com www.example.com;
return 301 https://example.com$request_uri;
}

N’oubliez pas de remplacer https://your-site.com par votre nom de domaine.

Ajustements dans le fichier wp-config.php

Si vous souhaitez imposer SSL et HTTPS dans votre zone d’administration WordPress ou sur vos pages de connexion, vous devez configurer SSL dans le fichier wp-config.php.

Ajoutez simplement le code suivant au-dessus de la ligne qui dit « That’s all, stop editing! » dans votre fichier wp-config.php :

define('FORCE_SSL_ADMIN', true);

Votre site web est maintenant entièrement configuré pour utiliser SSL / HTTPS.

Correction des erreurs de contenu mixte dans la base de données WordPress

Bien que nous ayons atteint notre objectif intermédiaire en configurant le certificat SSL et en acheminant tout le trafic via HTTPS, des erreurs dites de contenu mixte peuvent se produire sur votre site WordPress.

Des sources telles que des images, des scripts ou des feuilles de style toujours chargées via http provoquent ces erreurs de contenu mixte.

Si tel est le cas, aucun symbole de cadenas sécurisé n’est affiché dans la barre d’adresse de votre site web, et le navigateur bloque automatiquement les scripts et ressources non sécurisés, ce qui peut rendre votre site web inaccessible. Il affiche donc un symbole de cadenas avec un avertissement.

Google Developer Tools

Vous pouvez utiliser les outils de développement pour déterminer quel contenu est encore fourni via le protocole http non sécurisé. Vous pouvez accéder à ces outils dans Chrome en appuyant sur F12 ou en cliquant avec le bouton droit et en sélectionnant « Inspecter ». Ensuite, accédez à l’onglet « Console » dans le menu supérieur. L’onglet Console affichera les erreurs de contenu mixte sous forme d’avertissement.

Comme mentionné, la plupart de ces messages d’erreur sont basés sur des images, des iframes et des galeries d’images. Cependant, vous pouvez également obtenir des messages d’erreur concernant les scripts et les feuilles de style dont sont responsables les plugins et thèmes WordPress.

Plugin Better Search Replace

Vous pouvez corriger la plupart de ces erreurs via la base de données WordPress. Pour ce faire, vous devrez trouver toutes les mentions de votre ancienne URL de site web commençant par http dans la base de données et les remplacer par votre nouvelle URL de site web commençant par https.

L’outil le plus simple pour remplacer toutes ces chaînes est le plugin Better Search Replace. Ouvrez le menu latéral WordPress, cliquez sur Plugins, puis Ajouter.

Après l’activation, accédez à l’onglet Outils et sélectionnez Better Search Replace.

Dans le champ Rechercher, entrez votre ancienne URL de site web, y compris http://. Dans le champ Remplacer, entrez votre nouvelle URL de site web avec https://.

En dessous, vous verrez une liste des tables de la base de données WordPress. Veuillez toutes les sélectionner pour assurer une mise à jour complète.

La dernière étape consiste à décocher la case à côté de l’option « Exécuter en test ? » puis à cliquer sur le bouton « Exécuter Rechercher / Remplacer ».

Le plugin scanne votre base de données à la recherche d’URL http:// et les remplace par https://. Le temps de traitement dépend de la taille de la base de données. Une fois terminé, les erreurs de contenu mixte devraient être résolues.

Correction des erreurs de contenu mixte concernant les thèmes et les plugins

Si vous trouvez d’autres erreurs dans la console des outils de développement à ce stade, cela indique que ces erreurs de contenu mixte se trouvent dans les fichiers du thème ou du plugin WordPress, généralement sous forme de chaînes codées en dur, et n’ont pas pu être remplacées par le plugin de recherche et de remplacement dans la base de données.

Il est important de noter qu’un thème ou plugin WordPress décent qui suit les standards de codage WordPress ne causera généralement pas de tels problèmes. Donc, si vous obtenez encore de telles erreurs de contenu mixte, demandez-vous si vous avez effectué des modifications manuelles dans le code. Si c’est le cas, vous devez vous plonger dedans et modifier toutes les occurrences de http:// en https:// dans le code du fichier de plugin ou de thème spécifique.

Créez un environnement de dépannage sécurisé avec WP STAGING

Pour résoudre les erreurs restantes sans rien casser sur votre site de production et tester si tout fonctionne, jetez un œil au plugin gratuit WP STAGING, qui peut créer une copie de votre site web à des fins de développement.

Installez et activez le plugin depuis le dépôt. Dans WP Staging, allez dans Sites Staging et cliquez sur Créer un site Staging.

Ensuite, entrez le nom de votre site de staging et ignorez les tables ou fichiers que vous ne souhaitez pas. Vérifiez les paramètres avancés pour des ajustements supplémentaires, puis cliquez sur « Démarrer le clonage » pour terminer.

Enfin, une fenêtre contextuelle apparaîtra, vous informant que votre site de staging est prêt à être utilisé.

Retournez sur votre site de production, puis installez et activez le plugin Really Simple SSL depuis le dépôt.

Après activation, allez dans Réglages > SSL. Le plugin reconnaît automatiquement votre connexion https et corrige les erreurs de contenu mixte. Le plugin utilise la technique de mise en mémoire tampon de sortie. Cette technique peut affecter négativement les performances et la vitesse de votre site WordPress, car elle remplace le contenu HTTP lorsque votre site est chargé. Cet effet ne se produit que lors du chargement de la première page et devrait être minimal si vous utilisez un plugin de cache.

Bien que le plugin indique que vous pouvez le désactiver sans problème, cette déclaration n’est pas précise à 100 %. Vous devez laisser le plugin actif en permanence, car sa désactivation entraînera à nouveau des erreurs de contenu mixte. Il ne s’agit donc que d’une solution temporaire.

Assurez-vous qu’il n’y a plus d’erreurs

Retournez sur votre site de staging. Essayez de résoudre le problème en consultant et en modifiant les messages d’erreur de la console des outils de développement Google. Si cela ne fonctionne pas, changez le thème WordPress et vérifiez si le message d’erreur apparaît toujours. Si cela n’aide pas, désactivez tous les plugins sur le site de staging, activez-les plugin par plugin et vérifiez quand le message d’erreur réapparaît.

Après avoir corrigé les erreurs, répétez les mêmes étapes sur votre site de production.

Vous pouvez maintenant désactiver le plugin « Really Simple SSL » et vérifier dans la console si les erreurs de contenu mixte ont disparu.

Assez de dépannage pour aujourd’hui.

Félicitations, vous avez réussi à déplacer votre site WordPress du protocole HTTP vers le protocole HTTPS !

Articles connexes

• Comment sauvegarder un site WordPress manuellement à l’aide de cPanel
• Comment corriger les problèmes SSL courants dans WordPress comme NET::ERR_CERT_INVALID ?
• 5 méthodes pour corriger les erreurs de connexion sécurisée dans WordPress
• Comment corriger l’erreur de contenu mixte dans WordPress ?
• Le guide du débutant pour renouveler un certificat SSL (automatique & manuel)