Vous l’avez peut-être déjà constaté, depuis le début d’année 2017, les navigateurs tel que Google Chrome (à partir de sa version 56) ou Firefox commencent à afficher des messages d’avertissement sur les sites qui ne sont pas en https (sous certificat SSL) ; ces messages d’avertissement indiquent dans la barre d’adresse des pages recueillant des information, comme des mots de passe ou des numéros de carte bancaire, que le site est potentiellement « dangereux ».
En effet, Google a annoncé pour l’année 2017 qu’il considérera tous les sites en http comme « non sécurisés ». Il est évident que ce genre de message, peuvent faire peur et dissuader pas mal d’internautes de continuer leur navigation sur ces sites.
Pour commencer, je vous propose de clarifier certaines notions techniques relatives à notre sujet avec les définitions suivantes.
Définitions : HTTPS et certificats SSL/TLS
HTTPS
HTTPS signifie HyperText Transfer Protocol Secure (soit « protocole de transfert hypertexte sécurisé »), il s’agit du protocole standard http d’internet, auquel va venir s’ajouter un certificat SSL (ou TLS), délivré par certaines autorités, qui garantit l’identité du site et sa sécurité par le cryptage des données.
Certificats SSL et TLS
Le SSL, pour Secure Sockets Layer, est un protocole qui date de 1995, développé à l’origine par Netscape ; il permet de sécuriser un site internet par un système de chiffrement des données. Ce protocole est chargé de crypter les données qui transitent du serveur à votre navigateur afin de les rendre inexploitables pour toute personne souhaitant les récupérer ou les falsifier.
Le TLS (Transport Layer Security) est également un protocole cryptographique, il est basé sur le SSL 3.0 et apparaît en 1999. Le TLS succède donc au SSL, mais les différences entre ces deux protocoles n’est pas énorme.
Si vous voulez en savoir plus sur le sujet, j’avais publié un article sur le protocole HTTPS et le certificat TLS/SSL.
Est-ce qu’un site en HTTP est forcément « non sécurisé » ?
Sur un site en http, n’importe quelle personne (avec tout de même un minimum de connaissances en informatique bien sûr) peut intercepter les informations qui transitent depuis le serveur en se plaçant au milieu de cette échange (serveur/ordinateur). Ce type d’attaque informatique est connue sous le nom de ‘est un méthode de piratage que l’on appelle l’homme du milieu (HDM), ou MITM en anglais pour Man in the Middle ; cependant le risque que cela arrive est assez faible, mais il existe.
Sur un site sécurisé, affichant un message vert au niveau de sa barre d’adresse précisant que ce site est bien en HTTPS, les données échangées avec le serveur sont chiffrées, c’est à dire cryptées. Grâce à cette sécurité de cryptage, les informations deviennent alors inviolables, le pirate ne pouvant plus interpréter ses données.
Un site n’étant pas en https ne manque donc pas forcément de sécurité, mais gardez à l’esprit que toutes les données qui transite sur ce site ne sont pas cryptées, et peuvent donc être récupérer par un tiers qui pourra les lire ; il peut s’agir de coordonnées entrées dans un simple formulaire lors d’une inscription à une newsletter par exemple. Le protocole https ne garanti pas pour autant une sécurité parfaite (l’informatique étant par définition toujours « piratable »), mais il est tout de même vivement recommandé lorsque l’on à besoin de communiquer des informations privées ou confidentielles. Il existe également plusieurs niveaux de sécurité avec différents types de certificats SSL.
Pourquoi passer son site WordPress en https ?
En plus de ce nouvel affichage des sites en http dits « non sécurisés » par les navigateur depuis janvier 2017, d’autres raisons sont à prendre en compte pour se convaincre qu’il vaut mieux passer son site WordPress en https au plus vite.
La sécurité bien sûr
Évidemment, si vous souhaiter protéger toutes les données de votre site, il faut impérativement que votre site soit protégé, et donc en https. De plus cette protection est obligatoire pour tous les sites qui demandent des informations sensibles comme des coordonnées bancaires. Si vous possédez un site de e-commerce vous vous devez de le proposer en https.
Le HTTPS et le référencement
En plus de la confiance que procure un site en https à l’internaute, Matt Cutts à indiquer en 2014 que le HTTPS était un critère de classement de Google. Il donnerait un avantage au positionnement dans les moteurs de recherche ; ce n’est sans doute pas le critère SEO le plus important, mais sachez qu’il y joue un rôle (même s’il est sans doute encore faible pour l’instant).
Ce que dit WordPress sur le https
Matt Mullenweg, le cofondateur de WordPress, a publié cet article pour préciser le point de vue du CMS sur le HTTPS et le SSL, indiquant que certaines fonctionnalités nécessiteront des hôtes en https. Autrement dit, pensez à passer votre site WordPress vers un serveur sécurisé au risque de voir certaines de vos fonctionnalités être bloquées. WordPress a décidé de mettre en avant uniquement les hébergeurs qui fournissent un certificat SSL pour ce début d’année 2017, et limite désormais l’accessibilité de certaines fonctionnalités comme l’API authentification aux serveurs sécurisés.
Obtenir un certificat SSL
Aujourd’hui, la solution la plus simple et la plus répandue pour obtenir un certificat SSL gratuit est de passer par Let’s Encrypt.
Depuis 2025, Let’s Encrypt propose en plus des certificats de 90 jours classiques, une option de certificats de très courte durée (6 jours) pour renforcer la sécurité. De plus, ils n’envoient plus de rappel d’expiration par email, ce qui rend indispensable l’automatisation du renouvellement.
Le projet Let’s Encrypt
Le Let’s Encrypt est un projet lancé fin 2015, dont le but est de fournir des certificats SSL/TLS gratuits. Grâce à ce projet, il est beaucoup plus facile maintenant, et gratuit, d’installer un certificat pour son site web. Beaucoup de services d’hébergement proposent ce type de certificat SSL, il suffit la plupart de temps de l’activer, si celui-ci ne l’est pas déjà par défaut :
Pour prendre l’exemple d’OVH (l’un des acteurs qui financent le projet du Let’s Encrypt), cela se fait depuis la page principale de votre espace client. Si vous possédez plusieurs sites sur votre serveur, rendez-vous dans la partie « Multisite » pour vérifier si le certificat est bien activé sur le(s) site(s) que vous souhaitez passer en https :
N’hésitez pas à vous renseigner auprès de vos hébergeurs respectifs concernant les certificats SSL qu’ils proposent.
Vous pouvez ensuite vérifier la sécurité de votre certificat SSL sur ce site : www.ssllabs.com ; indiquer simplement l’adresse de votre site web dans le champ « Hostname ».
Remplacer les URL avec Better Search Replace
Une fois le certificat installé, il faut modifier toutes les URL du site.
Pour cela, je vous recommande d’utiliser l’extension Better Search Replace qui permet de remplacer toutes les occurrences de « http:// » par « https:// » dans la base de données facilement et en toute sécurité directement depuis l’administration WordPress.
Cela vous évite de le faire manuellement, ce qui est bien plus compliqué ; il faudrait pour cela se connecter à la base (en passant par phpMyAdmin depuis le cPanel de votre hébergeur), puis lancer certaines requêtes SQL pour remplacer toutes les URL.
Attention : comme toujours, avant de modifier un site WordPress (surtout pour de telles modifications) il est essentiel de procéder à une sauvegarde complète du site ; récupérez tous les fichiers depuis un client FTP (tel WinSCP) et exportez sa base de données ; sinon, plus simple, utilisez une extension WordPress, comme BackWPup qui fait ça très bien !
Installation et activation de l’extension
Dans votre tableau de bord WordPress, accédez à « Extensions » > « Ajouter », recherchez « Better Search Replace », puis installez et activez l’extension.
Configurer l’extension Better Search Replace
Une fois l’extension activée, rendez-vous dans « Outils » > « Better Search Replace ».
Dans le champ « Rechercher » saisissez l’URL actuelle du nom de domaine de votre site en HTTP sans la barre oblique finale (par exemple, http://www.mon-site.fr).
Dans le champ « Remplacer par » : saisissez la nouvelle URL en HTTPS correspondante, également sans la barre oblique finale (par exemple, https://www.mon-site.fr).
Dans « Sélectionner les tables » : sélectionnez toutes les tables de la base de données. Pour cela, cliquez dans la liste des tables et utilisez le raccourci Ctrl + A (Windows) ou Cmd + A (Mac) pour tout sélectionner (elles seront toutes surlignées).
Par défaut la case « Faire un essai » est cochée ; vous devez la décocher avant de cliquer sur le bouton « Lancer un rechercher/remplacer » pour effectuer les changements. Vous pourrez la laisser cochée pour faire un premier test avant de procéder pour examiner les résultats.
Les autres réglages supplémentaires
Laissez par défaut :
- Insensible à la casse : laissez cette option décochée pour que la recherche ne tienne pas compte de la casse des caractères.
- Remplacer les GUID : il est généralement recommandé de ne pas cocher cette option, sauf si vous migrez un site vers un nouvel environnement et que vous souhaitez que les flux RSS détectent les contenus comme nouveaux.
Nous utilisons ici cette extension pour passer de http à https, mais elle sert à tous changement d’URL en base de données (pour changer un répertoire, un sous-domaine…).
Autre possibilité : il est également possible d’effectuer le remplacement des URL en base de données avec le script Search Replace DB. Cette méthode ne nécessite pas l’installation d’une extension dans WordPress, mais implique le téléchargement d’un script manuellement sur le serveur, ce qui peut être moins pratique pour les utilisateurs non techniques.
Remplacer les URL restantes s’il y en a
Malgré le remplacement des URLs dans la base de données, certaines ressources (images, scripts, feuilles de style CSS) peuvent encore être chargées en HTTP, notamment si elles proviennent de sources externes ou sont intégrées avec des constructeurs de pages, notamment avec Elementor.
Pour Elementor, par exemple, vous devriez avoir un onglet Outils vous permettant de « Régénérer les fichiers et les données » (onglet Général) et surtout faire la même chose que précédemment, mais directement dans Elementor depuis l’onglet « Remplacement d’URL », puis cliquer sur Remplacement d’URL.
Corriger les erreurs de contenu mixte
Il se peut qu’une fois passé en https votre site comporte encore quelques erreurs. Cela peut être le cas quand celui-ci fait appel à des éléments externe à votre site (comme c’est souvent le cas), par exemple en intégrant certains fichiers (typos, script…) venant d’autres sites. Cela peut alors créer du contenu mixte, c.-à-d. que votre site fait appel à la fois à du contenu en https, mais aussi à du contenu en http.
Pour régler ce souci, vous pouvez tout simplement passer par une extension qui s’en chargera. Je vous en présente deux qui peuvent effectuer cette tâche :
- Really Simple SSL règle automatiquement vos réglages SSL pour votre site WordPress et corrige entre autres les problèmes de contenu mixte. Vous désinstallerez l’extension ensuite en précisant que vous souhaitez rester en https (pas besoin de la laisser sur le site).
- SSL Insecure Content Fixer est une extension dédiée au nettoyage du contenu mixte ou dangereux sur votre site lors d’une migration en https
Vérifier les modifications de changement d’URL
Enfin, pour vérifier que tout est bon :
Accédez à « Réglages » > « Général » dans l’administration WordPress et assurez-vous que les champs « Adresse web de WordPress (URL) » et « Adresse web du site (URL) » utilisent bien le protocole HTTPS.
Contrôler le passage en https en utilisant les Outils de développement (F12) de votre navigateur (onglet « Console ») ou des services en ligne comme Why No Padlock, qui vous indiquera notamment les erreurs de contenu mixte :
Une fois le processus terminé et vérifié, vous pouvez désactiver ou désinstaller l’extension Better Search Replace pour des raisons de sécurité.
Autres points sur le passage en https WordPress
Après tout ça, vous aurez peut-être encore quelques réglages à faire pour que tout fonctionne correctement, selon votre contexte (hébergeur, site…) ; maintenant de nombreux hébergeurs proposent des options pour forcer la redirection vers HTTPS depuis leur interface d’administration.
Forcer l’administration WordPress en https
Assurez vous également de rendre accessible l’administration WordPress uniquement en https. Pour se faire, insérez la ligne de code suivante dans le fichier wp-config.php à la racine du serveur :
define ( 'FORCE_SSL_ADMIN' , true);Langage du code : JavaScript (javascript)Il se peut que cela soit déjà en place ; le code peut également être généré par une extension de sécurité ; je vous recommande d’utiliser Solid Security pour forcer le SSL sur le site automatiquement depuis Réglages > Fonctionnalités > Utilitaires.
Modifier le fichier .htaccess
Afin de rediriger la totalité du site vers sa version https il faut mettre en place une redirection 301 (permanente). Pour cela, insérez le code suivant dans votre fichier .htaccess, à la racine de votre site.
RewriteEngine on
RewriteCond %{HTTPS} !=on
RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} Langage du code : JavaScript (javascript)Le code pour un serveur OVH est le suivant :
RewriteEngine on
RewriteCond %{SERVER_PORT} 80
RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} Langage du code : JavaScript (javascript)Certains hébergeur feront cela tout seul. Vérifiez les réglages par rapport à votre situation.
Ne faut pas dupliquer ces règles si votre serveur s’en occupe déjà (à vérifier).
Mettre à jour le fichier robots.txt
Dans certains cas il faudra modifier le fichier robots.txt (s’il n’est pas mis à jour automatiquement), présent à la racine du site a priri.
C’est dans ce fichier que vous indiquez à Google où trouver votre fichier sitemap XML pour l’aider à indexer les pages de votre site web. Il suffit de mettre à jour cette adresse en ajoutant le « s » au http.
Sitemap: https://www.votresite.fr/sitemap.xmlLangage du code : JavaScript (javascript)Le passage en https pour vos outils Google
Ça y est ! Votre site WordPress est passé en https, relié à votre certificat SSL avec Let’s Encrypt. Maintenant n’oubliez pas de modifier tous les services que vous utilisez pour votre site en mettant à jour son URL. Même s’il ne s’agit pas d’un changement de nom de domaine Google interprète ce changement comme tel. C’est pourquoi il faut que vous ré-enregistriez votre site dans les différents outils de Google.
Dans la Google Search Console, il vous faut enregistrer une nouvelle propriété pour votre site ; et cela dans ses deux versions, avec et sans les « www ». Une fois cette nouvelle propriété créée, vous pouvez renvoyer le sitemap en cliquant sur le bouton « ENVOYER/TESTER UN SITEMAP », dans la partie « Exploration » > « Sitemaps ».
Concernant Google Analytics vous avez besoin de modifier les paramètres de votre site ; dans l’administration, sélectionnez le site à modifier puis cliquez sur « Paramètres de la propriété ». Modifiez alors le « http:// » par « https:// » dans le petit menu déroulant.
En conclusion
Vous avez tout à y gagner en passant votre site en https, par la confiance que vous communiquer avec un site protégé, en sécurité bien sûr, pour votre référencement et aussi pour éviter que Google ou un autre moteur de recherche n’affiche votre site comme n’étant pas sécurisé ! Je vous recommande donc vivement de procéder à ce changement ; ce n’est certes pas la chose la plus amusante à faire, mais ce n’est pas très compliqué à mettre en place ; et puis avec une bonne sauvegarde au préalable, vous ne risquer pas grand chose.
De plus, le certificat SSL est obligatoire sur les sites qui collecte des données auprès de ses internautes. Pour un simple formulaire de contact il devient donc indispensable d’avoir un site en https.
N’hésitez pas à me poser vos questions dans les commentaires en-dessous.