Comment passer son site WordPress en HTTPS ?

Depuis quelques années maintenant Google encourage les propriétaires de sites web à passer leur site en HTTPS. Qu’il s’agisse de site WordPress ou tout autre type de site web, le protocole sécurisé est désormais recommandé. Qu’est-ce que le HTTPS ? Pourquoi obtenir un certificat SSL pour son site web WordPress ? Comment s’y prendre ? Le point tout de suite.

Qu’est-ce le protocole HTTPS ?

Le serveur sur lequel vous hébergez votre site WordPress et le client font usage d’un certain protocole de communication. Ce protocole qui leur sert à communiquer se désigne sous le nom de HTTP. Cela signifie HyperText Transfer Protocol.

Avec le HTTP, les données que se transmettent le serveur et le client sont en texte clair. De ce fait, une tierce entité peut bien venir s’incruster dans la communication, espionner et récupérer toutes les données échangées.

Cela pose donc un problème de sécurité majeur. Les données et informations sensibles des internautes se retrouvent exposées à tout piratage. Pour pallier ce défaut, il faut passer au chiffrement des données. Voilà là où intervient le protocole HTTPS.

Grâce au SSL (TLS), le HTTPS apporte une couche de sécurité à la communication entre serveur et client. La mise en place de ce protocole de cryptage nécessite un certificat d’authentification à acquérir auprès d’une autorité de certification.

Le certificat d’authentification permet de vérifier l’identité du site web (WordPress et autres) auquel l’internaute essaie de se connecter. 

Le certificat favorise également un échange de données en toute confidentialité grâce au cryptage. Par ailleurs, si l’utilisateur détient un certificat client, la mise en place d’un certificat permet de l’identifier.

Pourquoi passer son site web WordPress en HTTPS en 2022 ?

Plusieurs raisons justifient le fait de passer votre site WordPress en HTTPS.

Le référencement Google

Depuis 2014, Google avait annoncé qu’il intégrerait désormais le HTTPS dans les critères de référencement pour sites web. Cependant, la mise en place du cryptage SSL a-t-elle réellement un impact sur le classement des sites web dans les résultats Google ? La réponse reste encore mitigée.

Passer au protocole HTTPS pour une meilleure sécurité des utilisateurs de son site web

Posséder un site web WordPress sécurisé avec le cryptage SSL est important d’une part pour la sécurité des données échangées. D’autre part, cela s’avère nécessaire pour l’expérience utilisateur.

En effet, comme Google l’affirme, les internautes dans leur navigation espèrent une expérience web confidentielle et sécurisée. D’ailleurs, pour affirmer son engagement pour un environnement web sécurisé, le géant Google sanctionne désormais les sites sans certificat SSL.

Le navigateur Google Chrome indique désormais aux utilisateurs, les sites sans HTTPS en leur notifiant qu’ils essaient de se connecter à une page non sécurisée. Il faut souligner que plus de 60 % des utilisateurs du web en France utilisent Google chrome. 

De fait, pour rester dans les bonnes grâces de Google et s’assurer la confiance de ses utilisateurs, il faut passer au HTTPS. Un site bien configuré disposant de certificat SSL et une bonne communauté possèdent le don de rassurer l’internaute.

HTTPS indispensable pour les boutiques e-commerce

Les utilisateurs des boutiques en ligne renseignent fréquemment leurs données bancaires et autres données personnelles. Pour les protéger contre tout vol de ces données, il s’avère primordial de passer au HTTPS afin de bénéficier du cryptage SSL.

Par ailleurs, la plupart des passerelles de paiement réclament de votre site web, une connexion HTTPS avant que vos clients ne puissent acheter. Il est d’ailleurs recommandé de passer au HTTPS dès le début de la création d’un site.

Toutefois, si votre site est déjà hébergé, vous pouvez toujours mettre en place un certificat SSL.

Néanmoins, cela peut s’avérer un peu délicat. Il faudra donc s’y prendre avec prudence.

Notez que la mise en place d’un certificat SSL est considérée par Google comme un déplacement de site impliquant donc un changement d’URL. Ce procédé peut donc temporairement affecter votre trafic.

Comment acquérir un certificat SSL (TLS) ?

Auparavant, passer son site web WordPress ou non en HTTPS se faisait d’une seule façon. En effet, il fallait passer par son hébergeur pour acquérir un certificat SSL. Si vous utilisez un serveur dédié, il fallait s’adresser directement à une autorité de certification.

Il faut reconnaître que la procédure de mise en place du certificat SSL était fastidieuse. Il fallait tout d’abord prouver son identité à l’autorité qui délivre les certificats. Vous devriez prouver que le site web concerné vous appartient.

Ce procédé est toujours d’actualité. Toutefois, une autre manière d’obtenir un certificat SSL existe.

Let’s Encrypt

Il s’agit d’une autorité de certification qui fournit gratuitement aux propriétaires de sites web des certificats SSL. Sa mission consiste à chiffrer les données circulant sur le web afin de le rendre plus sûr.

L’initiative de Let’s Encrypt lancée depuis 2015 est soutenue par plusieurs entités, dont Google, OVH, WordPress, Shopify, Facebook, etc.

Les certificats SSL payants

Let’s Encrypt permet certes de sécuriser gratuitement son site WordPress, mais il existe un inconvénient important à ce procédé. Vous ne disposez d’aucune garantie avec un certificat gratuit.

En effet, si votre système de sécurité (HTTPS) a une faille et que des données personnelles de vos utilisateurs sont dérobées, vous ne serez pas couvert. La plupart des gens disent que ce type de situation n’arrive jamais. Mais des failles de sécurité peuvent bien être découvertes.

La situation peut alors très vite s’avérer critique quand il s’agit d’un gros site web. C’est pour cela que dans certains cas de figure, il faut assurer ses arrières en optant pour des certificats octroyant un certain niveau de garantie. Il existe trois types de certificats permettant d’obtenir une garantie.

Les certificats à validation de domaine

Pour obtenir un certificat à validation de domaine, l’autorité de certification vérifiera d’abord que vous êtes le propriétaire du nom de domaine votre site web WordPress. La vérification se déroule en ligne et se fait de manière automatique. Juste après cela, le certificat vous sera octroyé.

Les certificats à validation de l’organisation

Les certificats à validation de l’organisation s’obtiennent après que vous ayez prouvé que vous êtes la personne morale qui détient le domaine à sécuriser. Pour cela, les propriétaires de sites web doivent fournir à l’autorité de certification des documents justificatifs. Il s’agit entre autres d’une attestation de domiciliation ou d’un extrait Kbis.

Les certificats à validation étendue

Pour obtenir ce type de certificats, les propriétaires de sites web doivent aussi fournir plusieurs informations. De plus, chaque information est vérifiée par l’organisme qui octroie les certificats. 

Votre existence physique et légale sera vérifiée. L’autorité de certification fera pareil pour votre adresse, votre activité, votre numéro de téléphone, etc. Chaque année, ces informations seront sujettes à vérification.

Si vous désirez maintenir la confiance de vos utilisateurs, il faudra renouveler régulièrement votre certificat SSL. Les différentes procédures pour l’obtention des certificats payants peuvent durer un mois. Il faudra donc penser à anticiper pour ne pas être surpris.

En l’absence d’un renouvellement, votre site web sera homologué comme page non sécurisée. Si vous trouvez les démarches à faire trop tracassantes, vous pouvez toujours les confier à un professionnel.

Quelques tâches à faire après activation du protocole HTTPS

Après avoir activé le certificat SSL sur votre nom de domaine, il faudra réaliser encore quelques tâches pour sécuriser complètement les données sur vos sites web.

Redirection vers le site web sécurisé (en HTTPS)

Après l’activation du certificat SSL, votre site devient accessible à la fois en HTTP et en HTTPS. Cela peut tout de suite vous poser un problème de contenu dupliqué.

Pour éviter cette situation, il faut que tous vos éléments renvoient vers le site web WordPress en HTTPS. Il est possible de gérer la redirection depuis la console d’administration de certains hébergeurs.

Vous pouvez aussi le faire depuis le fichier htaccess de votre site WordPress. Mais il faut utiliser du code pour y arriver. 

Mise à jour des URL en HTTP vers HTTPS

Si votre site WordPress est déjà fini et en ligne, il faudra effectuer une mise à jour des URL dès votre migration en HTTPS. Cela peut se faire grâce à un script. Après la mise à jour, toutes les URL de votre site web devront être en HTTPS.

Vérification des ressources chargées par le thème de votre site WordPress

Il arrive que le thème de votre site WordPress continue à charger des fichiers en HTTP après votre passage en HTTPS. Il s’agit des contenus mixtes.

Ce type de contenu est nuisible à votre site web. Les données échangées sur votre site web seront toujours exposées au piratage puisque la page ne sera pas totalement sécurisée.

Pour régler ce problème, il faut faire un peu de code. Ce n’est qu’ainsi que vous pourrez corriger les ressources qui se chargent en HTTP.

Forçage du HTTPS pour l’interface administrateur

Il est important que l’administration de votre site WordPress se charge également en HTTPS. Avec les redirections, cela devrait être effectif. 

Mais pour s’en rassurer, il faut forcer la redirection HTTPS côté administrateur. Pour le faire, il faut accéder au fichier wp-config.php de votre site web et y intégrer un code.

Mise à jour du fichier robot.txt

Ce fichier se retrouve à la racine de votre site WordPress. C’est lui qui définit ce que les robots d’indexation de Google et autres moteurs de recherche peuvent effectuer sur votre site web.

Hormis ces différentes tâches, vous devez aussi mettre à jour votre site web WordPress dans la console Google Search. Vous devez faire pareil dans Google Analytics. Pour finir, testez votre Certificat SSL.

Si vous avez des doutes sur la mise en place du HTTPS sur votre site web, vous pouvez nous contacter à partir du formulaire de contact.

WP Support > Le blog > Sécurité > Comment passer son site WordPress en HTTPS ?