À la suite d’un MeetUp WordPress (Marseille) très enrichissant, nous avons longuement échangé sur un sujet d’actualité : « comment passer son WordPress en HTTPS ». Il est vrai que l’étau se resserre concernant la sécurité du Web et que notre ami Google a annoncé l’an dernier que les sites sécurisés seront avantagés au niveau du classement dans les résultats de recherches, sans pour autant être LE critère numéro 1, bien-sûr… Il y a beaucoup de tutoriels sur le web concernant ce sujet, cependant, certains peuvent être sommaires et d’autres un peu complexes… Du coup, je me lance et j’espère vous proposer un bon compromis !

 

1. Pourquoi passer son site en HTTPS ?

Si, comme moi, vous êtes freelance, vous possédez certainement déjà votre propre site web pour promouvoir votre activité et si ce dernier n’est pas encore sécurisé, voici les principaux avantages de passer à l’action :

  • rassurer les visiteurs de votre site, vos clients et vos prospects
  • optimiser le référencement naturel de votre site web
  • prendre les devant avant que cela ne deviennent complètement obligatoire

 

2. Que faire AVANT de passer en HTTPS ?

Avant quoi que ce soit, la première des choses à faire est d’obtenir un certificat SSL. Depuis quelques temps déjà, plusieurs hébergeurs incluent le certificat SSL Let’s Encrypt gratuitement dans leur offre. Ce n’est pas non plus LE certificat idéal à utiliser sur un site e-commerce mais celui-ci sera suffisant pour un site vitrine ou un blog. Rapprochez-vous de votre hébergeur pour savoir comment l’obtenir et comment le mettre en place. Pour ma part, j’héberge mes sites chez OVH et la procédure est très simple :

Obtenir un certificat SSLchez OVH

Pour cela, rendez-vous dans votre compte OVH, puis :

  1. allez à l’onglet HEBERGEMENTS puis choisissez le compte en question
  2. allez à l’onglet MULTISITE
  3. cliquez sur l’icône du crayon pour éditer le domaine à passer en HTTPS
  4. sélectionnez le nom de domaine
  5. cochez la case MODIFIER ÉGALEMENT LE SOUS DOMAINE WWW (ou autre selon votre configuration)
  6. cochez la case SSL
  7. cliquez sur suivant et laissez-vous guider (répondez OUI à la question « êtes-vous sûr de vouloir modifier … »)
  8. enfin, terminez par RÉGÉNÉRER LE CERTIFICAT SSL

Il est tout a fait possible que vous ayez déjà votre certificat SSL actif sur votre hébergement. Dans ce cas là, vous n’aurez rien à faire, à part peut-être de régénérer un certificat si le bouton jaune indique de le faire… Pour savoir, si votre site est déjà disponible en HTTPS, il suffit de tapez votre nom de domaine (https://mon-site.com/) dans la barre de votre navigateur et vérifier s’il y a une erreur 404 ou bien si votre site est déjà fonctionnel. Pour en savoir plus au sujet du SSL OVH, jettez un œil au guide officiel.

Attention ! Il se pourrait bien que, si vous accédez à votre site via l'URL HTTPS, vous le trouviez dans un état lamentable : navigation cassée, images énormes etc... Ne vous inquiétez surtout pas, cela rentrera dans l'ordre dès que vous aurez fini la migration...

 

3. Comment passer facilement en HTTPS ?

À présent que vous avez vérifié ou mis en place votre SSL, vous allez pouvoir passer votre site en HTTPS en quelques simples étapes :

  • SAUVEGARDE : Dans un premier temps, il vous faudra faire une sauvegarde de fichiers et de base de données de votre site. On n’est jamais trop prudent. Celle-ci vous servira sur vous rencontrez des problèmes lors du changement.

 

  • ADMINISTRATION WP : Rendez-vous dans l’administration de votre site, à l’onglet RÉGLAGES > GÉNÉRAL Ajout du S pour passer en HTTPS Ici, il vous suffira d’ajouter simplement le S à vos deux URL puis de cliquer sur sauvegarder. À ce moment là, vous allez être déconnecté de votre administration qui vient elle aussi de passer en HTTPS, il faudra alors saisir à nouveau votre mot de passe.

 

  • TÉLÉCHARGER LE SCRIPT « DATABASE SEARCH & REPLACE » : Vous devrez utiliser un script qui vous permettra de remplacer toutes vos URL http:// par https://Envoi du script via FileZilla Pour cela, rendez-vous sur le site de INTERCONNECTIT, téléchargez le script en local (sur votre ordinateur), dézippez-le puis envoyez-le à la racine du dossier de votre site sur votre serveur en utilisant un client FTP tel que FileZilla par exemple. Attention, pour des raisons de sécurité, il est préférable de renommer le dossier du script avec le nom de votre choix. Pour mon exemple, je l’ai appelé « HTTPS » (oui, je sais, ce n’est pas très inventif !).

 

  • CHANGEZ LES INFORMATIONS DE VOTRE BASE DE DONNÉES : À présent, vous allez pouvoir procéder aux changements dans votre base de données. Rendez-vous à https://mon-site.com/https (puisque j’ai renommé mon dossier « https »). Utilisation du script SEARCH and REPLACE Vous arriverez alors dans une fenêtre où il faudra saisir l’ancienne URL, à savoir http://mon-site.com (sans le dernier slash /) puis la nouvelle URL, à savoir https://mon-site.com (toujours sans le dernier slash /) (1). Cliquez ensuite sur DRY RUN (2). Pour l’instant, le script énumère seulement les tables et indique dans lesquelles il faudrait faire des changements. Il fait un état des lieux en quelques sorte. Si vous jugez que ces changements peuvent être effectués (et c’est aussi un peu le but de ce tuto !), alors, vous n’aurez plus qu’à cliquer sur LIVE RUN (3). Patientez jusqu’à la fin de l’opération, puis cliquez sur DELETE ME (4).

 

4. Que faire APRÈS être passé en HTTPS ?

Après avoir effectué toutes ces opérations, il faudra accomplir encore quelques étapes pour terminer proprement votre passage en HTTPS. Je ne vais pas m’étendre sur le sujet mais plutôt vous indiquer la marche à suivre… Voici quelques-unes des plus importantes :

  • retournez du côté visiteur, rafraichissez la page puis vérifiez toutes (ou une grande partie) de vos pages pour voir s’il n’y a pas de soucis.
  • vérifiez le cadenas situé à gauche de votre URL dans la barre de votre navigateur : s’il est VERT, vous pourrez vous féliciter, s’il est JAUNE, il faudra inspecter l’onglet RÉSEAU de votre navigateur car votre site est victime de MIXED CONTENT. Il faudra corriger cela.
  • vérifiez vos chemins de redirection : il existe un outil très pratique pour vérifier les redirections d’un site web, saisissez votre nouvelle URL (en HTTPS) puis cliquez sur TESTER. Si les redirections se font correctement, vous n’aurez normalement rien à faire. Si par contre vous voyez que les redirections se font vers l’ancienne adresse, alors il faudra ajouter un bout de code dans votre fichier .htaccess => voir cet article très détaillé.
  • ajoutez la version HTTPS dans votre compte Google Search Console : depuis votre compte, cliquez sur AJOUTER UNE PROPRIÉTÉ > saisir l’adresse en HTTPS puis finissez de configurer la propriété (envoi de sitemap etc…) comme à votre habitude.
  • changez l’option d’URL pour votre propriété dans Google Analytics : depuis votre compte, cliquez sur TOUTES LES DONNÉES DU SITE WEB > onglet ADMINISTRATION > cliquez sur PARAMÈTRES DE LA PROPRIÉTÉ > dans URL PAR DÉFAUT, positionnez le menu déroulant sur HTTPS
  • changez les URL contenues dans vos comptes de réseaux sociaux : bien que pas obligatoire puisque les redirections se font du HTTP vers le HTTPS, cela sera bien plus sympa de mettre vos liens à jour.

 

En conclusion…

Il est vrai que tout cela peut effrayer les propriétaires de sites web. Je peux le comprendre. Mon conseil serait de ne pas aller trop vite afin de ne pas commettre d’erreurs et, idéalement, se faire la main sur un site-test que vous avez en local. Si toutefois vous avez besoin d’aide, je propose divers services dont les travaux web… N’hésitez pas à me contacter !

Bonne sécurisation à tous !

Le guide ultime pour migrer WordPress en HTTPS
Le guide ultime pour migrer WordPress en HTTPS – tuto complet !
Comment passer son site WordPress en HTTPS ?
5 pour 2 votes

Ne partez pas ! Ça pourrait vous intéresser :