Apprendre à déplacer votre site Web vers HTTPS est une question importante. De nos jours, nous partageons des données sensibles comme des informations de carte de crédit et de banque ou des identifiants de connexion des dizaines de fois par jour.
L’utilisation du web pour les achats nous offre de nombreuses commodités. Nous n’avons plus besoin de sortir pour faire des courses, acheter des produits d’épicerie, payer des factures ou parler à d’autres personnes en face à face. Bon sang, juste avant d’écrire ce guide, nous étions en train d’essayer des lunettes en ligne !
Cependant, il y a un revers de la médaille. En tant que propriétaire d’un site web – surtout si vous avez une boutique en ligne et/ou si vous traitez des informations financières ou d’autres informations sensibles – vous avez la responsabilité d’en assurer la sécurité. L’une des mesures les plus importantes pour y parvenir est d’utiliser le protocole HTTPS et le cryptage SSL sur votre site. C’est ce dont nous allons parler dans ce guide.
Dans ce guide, nous allons d’abord parler de ce que nous entendons par HTTPS et SSL et de leur fonctionnement. Aussi, nous parlerons des raisons d’ajouter le cryptage à votre site. Ensuite, nous vous dirons où vous pouvez obtenir un certificat SSL pour votre site et enfin, nous vous fournirons un guide étape par étape sur la façon de passer votre site en HTTPS.
Prêts ? Alors mettez vos lunettes de sécurité et parlons un peu de sécurité.
Cliquez ici pour voir les 8 étapes pour déplacer votre WordPress vers https://
Comment fonctionne le HTTPS – Une courte définition
Avant de plonger dans la façon de déplacer votre site Web vers le HTTPS, définissons d’abord ce dont nous parlons. Même si vous ne savez pas exactement ce que sont HTTPS et SSL, vous les avez probablement déjà vus à l’œuvre.
HTTPS et SSL sont visibles sur les URL des sites
De nos jours, l’URL de la plupart des grands sites (et de plus en plus aussi des plus petits) commence par https:// au lieu du familier https://. En fait, si vous regardez dans la barre de votre navigateur alors que vous êtes sur ce même site, vous verrez exactement cela.
À côté, vous remarquerez également le symbole du cadenas. C’est ainsi que les navigateurs modernes montrent que vous êtes sur un site qui utilise le cryptage SSL. Dans certains cas, ils incluent même le nom de l’entreprise. Ces deux signes indiquent que vous êtes sur un site qui prend au sérieux la confidentialité de ses visiteurs.
Qu’est-ce que cela signifie vraiment ?
HTTPS signifie Hypertext Transport Protocol Secure. Son cousin, HTTP (qui signifie la même chose moins le Secure à la fin), est le protocole de communication habituellement utilisé pour faciliter le trafic web.
Quelle est la différence ?
La version sécurisée utilise un certificat SSL (Secure Socket Layer) pour établir une connexion entre le navigateur et le serveur. Cela signifie que toutes les informations échangées sont cryptées.
Le chiffrement consiste à remplacer des informations en texte clair (comme les noms d’utilisateur et les mots de passe) par des chiffres et des lettres aléatoires. De cette façon, elles ne sont plus lisibles par les humains et plus difficiles à comprendre si quelqu’un les intercepte.
Ça semble utile, non ? Mais en avez-vous vraiment besoin sur votre site ? Passons en revue quelques bonnes raisons d’ajouter HTTPS à votre site WordPress.
Une note rapide : techniquement, SSL n’est plus le nom correct. À la fin des années 90, le nom a changé pour TLS (Transport Layer Security) et SSL a en fait été retiré. Cependant, son nom est resté.
Comment déplacer votre site WordPress vers HTTPS (8 étapes)
D’accord, nous arrivons maintenant à la viande et aux pommes de terre de cet article : comment déplacer votre site de HTTP à HTTPS. Nous allons procéder étape par étape pour nous assurer que vous pouvez suivre sans problème. Après tout – nous nous soucions également de la sécurité de votre site !
Sauvegarder votre site Web
Lorsque vous apportez des modifications importantes à votre site, vous devriez toujours le sauvegarder en premier. De cette façon, au cas où quelque chose se passe mal (non pas que nous nous y attendions), vous pouvez revenir à la version de travail.
Comme ce cas n’est pas différent, la sauvegarde de votre site Web est votre première tâche. Encore mieux – si vous en avez la possibilité, exécutez le processus ci-dessous sur un serveur de test d’abord, et pas seulement sur votre site en direct.
Mettre en place votre certificat SSL
La première chose que nous allons faire est de nous procurer un certificat SSL. La facilité ou la complexité de ce processus dépend en grande partie de votre hôte.
Par exemple, en faisant des recherches pour ce guide, nous avons découvert que notre hôte actuel ne prend pas en charge Let’s Encrypt et ne prévoit pas de le faire. Inutile de dire que nous sommes en train de changer. Espérons que le vôtre soit un peu plus avant-gardiste, comme les entreprises de cette liste.
Le scénario optimal est que votre hébergeur offre une option pour passer votre site en HTTPS directement dans le tableau de bord de gestion. Par exemple, pour passer votre site à Let’s Encrypt dans cPanel, vous pouvez suivre ces instructions. Retrouvez les mêmes étapes pour Plesk ici.
Pour tous les autres, il y a Certbot. Si vous avez un accès au shell d’administration sur votre serveur, vous pouvez simplement sélectionner le type de serveur web et le système d’exploitation que vous utilisez. Après cela, le site vous indiquera comment mettre en œuvre Let’s Encrypt sur votre serveur.
Si vous obtenez votre certificat SSL d’une source différente, suivez les instructions de votre hébergeur pour mettre en œuvre le changement (c’est aussi la raison pour laquelle se tourner vers eux en premier lieu n’est pas une mauvaise idée).
Une fois que cela est fait, vous devez commencer à apporter les modifications nécessaires à votre site WordPress. C’est ce dont nous allons parler ensuite. Si vous pensez que ce qui suit est trop technique, vous pouvez également essayer le plugin Really Simple SSL. Il prend en charge la plupart des tâches lourdes décrites ci-après.
Ajouter HTTPS à l’espace d’administration de WordPress
Le premier endroit où vous pourrez profiter de la nouvelle connexion sécurisée est le tableau de bord de WordPress. En sécurisant d’abord le back-end, vous vous assurez qu’à chaque fois qu’un utilisateur se connecte, ses informations sont échangées en toute sécurité.
Pour ce faire, ouvrez wp-config.php dans votre dossier racine WordPress et ajoutez la ligne suivante quelque part avant l’endroit où il est indiqué C’est tout, arrêtez de modifier !.
define('FORCE_SSL_ADMIN', true);
Une fois que vous avez mis à jour le fichier, il est temps de tester si cela fonctionne. Pour cela, essayez d’accéder à votre page de connexion avec HTTPS dans l’URL, par exemple via https://yoursite.com/wp-admin. Si tout a fonctionné correctement, vous devriez avoir une connexion sécurisée maintenant. Continuez alors.
Mettre à jour l’adresse du site
Après avoir fait passer le backend de WordPress en HTTPS, il est temps de faire de même pour le reste de votre site. Vous pouvez le faire en mettant à jour l’adresse de votre site sous Paramètres > Général.
Ajoutez https:// au début de l’adresse WordPress et de l’adresse du site. Mettez ensuite à jour vos paramètres en enregistrant. Sachez que vous devrez peut-être vous reconnecter par la suite.
Modifier les liens dans votre contenu et vos modèles
Il est maintenant temps de mettre à jour tous les liens dans votre contenu et votre base de données qui incluent l’ancien protocole HTTP. Un plugin comme Velvet Blues ou le script de recherche et de remplacement peuvent vous y aider. Mais attention ! S’ils ne sont pas manipulés correctement, ils peuvent également bousiller votre site. Heureusement que vous avez fait cette sauvegarde plus tôt, n’est-ce pas ?
Si vous avez des liens vers des ressources et des actifs externes dans vos modèles de thème et vos fichiers de fonction avec des liens HTTP absolus, il est important de les corriger également. Choses à considérer :
- Images, vidéos, audio hébergées sur votre site
- Polices web
- Iframes
- Fichiers JavaScript et CSS ou actifs référencés dans ces fichiers
- Liens internes
Si possible, changez vos liens en // au lieu de https://. Ils créeront alors eux-mêmes des liens relatifs !
Mettre en place des redirections 301 dans .htaccess
L’étape suivante pour passer votre site en HTTPS consiste à mettre en place une redirection qui envoie automatiquement les visiteurs vers la version sécurisée. Pour cela, nous allons utiliser .htaccess. C’est le nom d’un fichier système important sur votre serveur (généralement dans le répertoire racine de WordPress).
Il contient généralement des paramètres pour l’utilisation de jolis permaliens, donc votre installation en a probablement déjà un. Pour le trouver, assurez-vous d’autoriser votre client FTP à afficher les fichiers cachés, car .htaccess est invisible par défaut. Si vous n’en avez pas, créez simplement un fichier texte brut, renommez-le en .htaccess et téléchargez-le dans le répertoire racine de WordPress.
Après cela, ajoutez-y les lignes suivantes :
<IfModule mod_rewrite.c>RewriteEngine OnRewriteCond %{HTTPS} offRewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} </IfModule>
C’est tout. À partir de maintenant, les visiteurs (y compris les robots de Google) devraient automatiquement atterrir sur la version HTTPS de votre site WordPress. Assurez-vous qu’aucune page n’est disponible dans les deux versions. Cela peut entraîner des problèmes de contenu dupliqué. Pas bon pour le référencement.
Tester et mettre en ligne
Ok, maintenant que nous avons terminé les principales étapes, il est temps de tester si tout fonctionne correctement. Pour cela, rendez-vous sur Test SSL. Insérez votre nom de domaine et cliquez sur Submit. Cela vous donnera un score global de la façon dont vous avez implémenté SSL sur votre site et des détails pour trouver les problèmes potentiels afin de les corriger.
Après cela, crawlez votre site avec un outil comme SSL Check. De cette façon, vous pouvez attraper tous les liens restants que vous avez oubliés. Si tout va bien, il est temps de mettre en ligne.
Bien joué ! Il ne vous reste plus qu’à mettre à jour certaines périphéries.
Mettre à jour l’environnement de votre site
Si cela a bien fonctionné, il est maintenant temps de faire les dernières étapes pour terminer le transfert vers le HTTPS :
- Mettre à jour votre sitemap – Idéalement, votre plugin de référencement le fait automatiquement. Cependant, cela ne fonctionne pas toujours de cette façon. Avec Yoast SEO, vous devrez peut-être désactiver le plugin une fois pour qu’il mette à jour le sitemap. N’oubliez pas de l’inclure dans votre fichier robots.txt et de mettre à jour tous les autres liens codés en dur que vous pourriez y avoir.
- Ajouter le site à vos outils de webmaster – Allez dans chaque outil de webmaster que vous utilisez et ajoutez la version HTTPS de votre site en tant que nouvelle propriété. Pendant que vous êtes là, téléchargez le nouveau sitemap. Vous pourriez également envisager de faire un fetch and crawl et de soumettre tout fichier de désaveu qui est déjà actif pour l’ancienne version de votre site.
- Mettre à jour votre CDN – Si vous utilisez un réseau de diffusion de contenu (l’une des façons d’accélérer votre site WordPress), vous devez également le passer à SSL. Beaucoup d’entre eux ont cette fonctionnalité intégrée et votre CDN devrait avoir une documentation à ce sujet. Sinon, demandez à leur support de vous aider.
- Faites le changement dans votre analytique – Si votre analytique a besoin d’une URL par défaut, assurez-vous de la mettre à jour avec le nouveau préfixe. Pour Google Analytics, vous trouvez l’option sous Admin > Property Settings > Default URL. Notez également quand vous avez effectué le passage au HTTPS pour comprendre les changements de trafic.
- Préserver les comptages de partages sociaux – Si vous affichez des compteurs de partages sociaux sur votre site, vous devrez peut-être effectuer quelques modifications pour les maintenir à jour. N’oubliez pas de mettre à jour les liens vers votre site dans vos profils sociaux ! Et faites de même dans vos modèles d’e-mails.
C’est tout ! Vous avez réussi à faire passer votre site web en HTTPS. Félicitations, ce n’était pas une mince affaire. Si tout s’est bien passé, il ne reste plus qu’à se féliciter et à fêter ça. Si vous rencontrez des problèmes, nous avons quelques conseils de dépannage pour la suite.
Pourquoi devriez-vous déplacer votre site Web vers HTTPS?
À l’heure actuelle, seulement 0,1 % de tous les sites Web utilisent SSL. Par conséquent, il ne semble pas que la technologie soit essentielle pour gérer une présence réussie sur le Web. Cependant, il existe tout de même des raisons convaincantes de faire partie de la minorité.
Votre site traite des informations sensibles
Tout d’abord, si vous avez une boutique en ligne qui traite des informations de carte de crédit ou des données sensibles similaires, le passage de votre site en HTTPS est une nécessité absolue. Les clients veulent faire confiance à votre site et ils doivent pouvoir le faire. Il est de votre responsabilité de faire en sorte que cela se produise.
Par exemple, si quelqu’un utilise un spot wifi public pour accéder à un site non sécurisé, d’autres personnes sont en mesure de voler leurs détails de paiement. S’ils utilisent ces informations pour voler votre client, quelle est la probabilité, selon vous, que cette personne revienne sur votre site ? Pas très.
Sans HTTPS, il est également possible de modifier les données que vos visiteurs reçoivent. Ainsi, un tiers pourrait ajouter des publicités, des logiciels malveillants ou d’autres choses que vous ne voulez absolument pas que les autres voient sur votre présence sur le Web.
Cependant, même si vous ne traitez « que » des informations de connexion normales, ce n’est pas une mauvaise idée d’offrir une couche de sécurité supplémentaire et de les garder en sécurité. Vos utilisateurs l’apprécieront certainement.
HTTPS est un signe de fiabilité et d’authenticité
En parlant des visiteurs : en raison de la poussée générale pour l’adaptation HTTPS sur le web, le cryptage est devenu quelque chose que les consommateurs attendent de plus en plus. En fait, à l’heure actuelle, 28,9 % d’entre eux regardent la barre d’adresse verte dans leur navigateur, un chiffre qui va probablement augmenter avec le temps.
Pourquoi s’en préoccupent-ils ? Parce que le petit cadenas ne signifie pas seulement que leur trafic est protégé, mais aussi que le site web est authentique et qu’il est celui qu’il prétend être, et non un quelconque faux. Après tout, la même étude montre que 77% des utilisateurs finaux sont préoccupés par l’interception et l’utilisation abusive de leurs données.
Donc, s’ils ont le choix entre votre site sans HTTPS et un concurrent qui l’a mis en place, il y a de bonnes chances qu’ils se décident contre vous. D’autant plus que les principaux navigateurs (Chrome, Firefox) marquent maintenant les sites, qui ont des formulaires sur des pages sans HTTPS, comme non sécurisés.
À l’avenir, ils pourraient généralement vous avertir de tout site qui n’a pas de cryptage en place. Et vous ne voulez vraiment pas faire partie de ceux-là.
Avantages pour le référencement
Non seulement les consommateurs attendent de vous que vous passiez au HTTPS, mais les moteurs de recherche aussi. Google a officiellement annoncé en 2014 que le fait d’avoir un certificat SSL en place est désormais un facteur de classement. Qui plus est – bien que faible pour le moment, l’importance de HTTPS augmentera au fil du temps.
En plus de cela, les données de référencement de HTTPS vers HTTP sont bloquées dans Google Analytics. Donc, si vous avez un site Web fonctionnant avec l’ancien protocole et que vous obtenez beaucoup de renvois de sites fonctionnant en HTTPS, vous ne le verrez pas correctement dans votre analyse Web. Ainsi, vous risquez de ne pas être au courant des plateformes qui vous envoient beaucoup de trafic et de perdre l’occasion d’amplifier vos canaux de marketing.
Temps de chargement plus rapides
Pour rester dans le domaine du référencement, le HTTPS est aussi nettement plus rapide. Vous ne nous croyez pas ? Essayez-le ici (utilisez une fenêtre privée pour empêcher la mise en cache des images). Lorsque nous avons effectué le test, le HTTPS était 83 % plus rapide !
Pas mal, non ? D’autant plus que la vitesse de chargement des pages est également un facteur de classement.
Non seulement cela, mais les visiteurs s’en soucient. En fait, une grande partie d’entre eux quitteront votre site s’il ne se charge pas en trois secondes. Pour cela et pour d’autres raisons, consultez notre guide sur la façon d’accélérer WordPress.
Conseils de dépannage HTTPS
Malheureusement, le passage de votre site à HTTPS n’est pas tout le soleil et les arcs-en-ciel. Certaines choses peuvent survenir et il faut s’en occuper.
Avertissements de contenu mixte
Les problèmes les plus courants qui surviennent après avoir déplacé votre site Web vers le HTTPS sont les avertissements de contenu mixte. Cela se produit lorsque le navigateur trouve des liens non sécurisés sur une page autrement sécurisée. Il s’agit généralement d’une question de mise à jour des liens vers les bibliothèques jQuery, les polices personnalisées ou similaires vers leur version HTTPS.
Vous devriez généralement prendre soin de cela en analysant votre site avant de le publier. Cependant, si vous trouvez un avertissement comme celui-ci, assurez-vous de vérifier ce qui en est la cause.
En dehors des outils susmentionnés, vous pouvez également utiliser Why No Padlock ? pour les pages uniques. Ensuite, corrigez ce qui pose problème.
Diminution du classement dans les moteurs de recherche
Passer de HTTP à HTTPS peut influencer votre classement de manière négative. Quoi ? ! N’avons-nous pas dit plus tôt que c’est bon pour le référencement ? Pourquoi vos classements baisseraient-ils alors ?
Avant de revenir en arrière et de mettre HTTPS au rebut, écoutez-nous d’abord. Si votre référencement est affecté négativement, ce n’est généralement que temporaire.
Vous voyez, Google traite les URL https:// et https:// comme deux entités différentes. Même si vous mettez en place des redirections 301 (comme nous l’avons fait ci-dessus), celles-ci ne transfèrent que 90-99% du jus de lien. C’est pourquoi vos classements pourraient baisser au début.
Cependant, après le creux initial, ils devraient en fait augmenter au fil du temps. Comme mentionné, Google considère l’utilisation de SSL comme un facteur de classement positif, donc si vous passez votre site Web à HTTPS, vous le rendez en fait plus attrayant à leurs yeux. Cela vous sera bénéfique à long terme.
En un mot…
Garder votre site et son trafic sécurisés est l’une des questions les plus importantes pour tout propriétaire de site Web. Savoir qu’ils peuvent vous faire confiance avec leurs données sensibles compte pour les consommateurs. À une époque où les vols de données se multiplient, c’est un atout considérable et HTTPS et SSL sont les outils pour y parvenir.
En plus de signaler la fiabilité aux consommateurs, lorsque vous passez votre site Web à HTTPS, cela vous permet également de bénéficier d’une vitesse accrue et d’un meilleur référencement. De plus, avec un service gratuit comme Let’s Encrypt, le coût n’est plus un facteur dissuasif.
Ci-avant, vous avez appris comment obtenir un certificat SSL gratuit et le mettre en œuvre sur votre site WordPress. Nous avons parcouru les étapes nécessaires pour faire passer l’ensemble de votre site sur le cousin sécurisé de HTTP et nous avons également parlé des autres considérations à prendre en compte lors de ce changement.
Si vous avez bien suivi, vous êtes maintenant en mesure d’ajouter HTTPS et SSL à votre site WordPress. Sachez que c’est un excellent investissement pour l’avenir et là où le web se déplace. Vos visiteurs, vos utilisateurs, et votre site vous remercieront.