Tutoriel: passer son site WordPress en HTTPS

Depuis juillet 2018, Google pénalise les sites web qui n’ont pas migré en HTTPS. Et lorsque l’on crée son site web sur WordPress, on est loin de penser que l’on vient d’être promu(e) Webmaster, et pourtant… Vous avez effectivement la charge de faire passer votre site WordPress en HTTPS, tout seul(e). Malheureusement dans ce domaine, l’information sur Internet s’avère souvent un peu trop technique pour beaucoup… Dans cet article, vous trouverez un tutoriel pas-à-pas avec toutes les étapes – de A à Z – pour vous aider à transférer votre URL de HTTP vers HTTPS simplement et efficacement (ce que j’aurais aimé avoir trouvé quand j’ai créé mon site…).

HTTPS: qu’est-ce que c’est et pourquoi le mettre en place?

HTTPS est un protocole de communication, qui permet entre autres choses, de sécuriser votre site web. Et c’est pour cela que les sites en HTTPS affichent un petit cadenas, dans de nombreux navigateurs Internet. En voici une définition:

Pourquoi passer en HTTPS?

• Impact sur le référencement:
  Google pénalise les sites en HTTP, leur référencement en est négativement impacté
• Impact sur le trafic:
  en fonction du navigateur utilisé par vos utilisateurs, une notification plus ou moins décourageante mentionnant que “le site n’est pas sécurisé”, peut s’afficher, quand ils entrent sur un site en HTTP. Évidemment, ça n’est pas idéal, quand on cherche à attirer du trafic…

Bien se préparer à faire le transfert en HTTPS?

01 – Vérifier que le serveur de votre hébergeur est activé pour pouvoir migrer votre site WordPress en HTTPS (certificats SSL etc…)

La première chose à faire avant de pouvoir migrer votre site WordPress en HTTPS, c’est justement de vous assurer que le protocole HTTPS est bien activé sur le serveur de votre hébergeur.

Vous pouvez le vérifier simplement en tapant l’adresse de votre site web, précédée de HTTPS, dans votre navigateur (Chrome, Safari, Firefox etc…):

• si la page web de votre site s’affiche, c’est que le protocole HTTPS est bien ouvert, et vous pouvez donc entreprendre de migrer votre site WordPress vers le HTTPS
• Sinon, il vous faudra d’abord prendre contact avec votre hébergeur pour comprendre comment procéder

Statut des certificats d’authentification SSL chez OVH
Pour le vérifier: dans votre espace, cliquez sur « domaines » dans la barre latérale gauche, puis sélectionnez votre nom de domaine. Il s’affiche dans la fenêtre les « informations générales » et plus à droite, un encart « Configuration ». C’est là que se trouve le statut de votre certificat SSL, il doit être mentionné « oui ». 

02 – Faire une sauvegarde de votre site web

Avant de transférer toutes vos URLs, comme il vaut mieux prévenir que guérir, faites une sauvegarde de votre site. J’ai d’ailleurs préparé pour vous en bonus un tutoriel que vous pouvez télécharger gratuitement.

03 – Désactiver votre plugin de sécurité

Si vous avez déjà installé un plugin de sécurité, désactivez-le quelques instants, le temps de passer votre site WordPress en HTTPS. Sinon, la migration des URLs vers HTTPS risqueraient d’engendrer des problèmes avec le “firewall” de votre plugin.

Pour transférer votre site de HTTP en HTTPS, il existe deux méthodes, dont voici la première:

Migrer en HTTPS avec le plugin Really Simple SSL

La méthode qui semble a priori la plus simple pour passer son site WordPress en HTTPS, et que vous pourrez encore trouver ça et là sur Internet, consiste à installer le plugin Really Simple SSL. Celui-ci est gratuit et  disponible en français. En un tour de main (ou de clic!), il gère toutes les redirections automatiquement de HTTP vers HTTPS. Vous n’avez besoin de ne vous occuper de rien de plus.

Il y a cependant un inconvénient à cette méthode. Une fois la migration en HTTPS effectuée, il est déconseillé de désinstaller ce plugin. Même s’il est léger, cela reste un inconvénient d’avoir à conserver un plugin ad vitam eternam sur son site, pour effectuer ses redirections HTTP vers HTTPS (impact sur la vitesse du site, potentielle faille de sécurité, etc…).

C’est la raison pour laquelle, je vous conseille d’opter pour la méthode suivante qui selon moi, est la seule véritable méthode pour passer en HTTPS efficacement…

Comment passer son site WordPress en HTTPS simplement (sans être webmaster pro…)

01 – Modifier l’URL de votre site WordPress

Dans les “réglages” de WordPress: allez dans la rubrique “Général” et remplacez l’URL par la nouvelle URL: par exemple, https://monsite.com ou https://www.monsite.com (à votre convenance). N’oubliez pas de bien valider avant de quitter la page.

02 – Installer le plugin Search & Replace

Le plugin Search & Replace est gratuit et va vous permettre de remplacer en un clic toutes vos URLs HTTP par des URLs HTTPs dans la base de données de votre site. Une fois installé, vous le trouverez dans les “Outils” de votre barre WordPress, cliquez alors sur l’onglet “Search & Replace”.

03 – Remplacer les URLs: l’étape-clé pour passer votre site WordPress en HTTPS

Entrez le type d’URL que vous voulez remplacer (HTTP) par le nouveau type d’URL (HTTPS), typiquement:

Sélectionnez bien toutes les bases de données et vous pouvez aussi recopier les paramètres tels que configurés ci-dessous, avant de valider en cliquant sur le bouton “Do Search & Replace” en bas de la fenêtre

Une fois les URLs modifiées dans la base de données, déconnectez-vous de WordPress, éventuellement videz l’historique de votre navigateur, et reconnectez-vous. En principe votre site web est maintenant passé en HTTPS.

04 – Désinstaller le plugin Search & Replace

Maintenant que la migration de HTTP vers HTTPS est effectuée, vous n’avez plus besoin de ce plugin et vous pouvez le désinstaller.

05 – Vérifier qu’il n’y a pas de « contenu mixte » (“mixed content”)

En chargeant votre site dans votre navigateur Internet, vous devriez donc maintenant observer un petit cadenas fermé (souvent vert), symbolisant que le site est sécurisé. Vérifier que toutes les URLs HTTP ont bien été remplacées par HTTPS, par exemple en utilisant un outil comme le site Why no padlock. Il suffit simplement d’entrer votre URL en HTTPS dans l’outil, et celui-ci vérifie que toutes les redirections sont correctes. Si vous n’avez pas de message d’anomalies, alors vous avez réussi à passer votre site WordPress en HTTPS!

 Dans le cas contraire, ou si après la migration HTTP vers HTTPS, vous n’observez toujours pas le petit cadenas fermé (vert), c’est probablement que certaines URLs de votre site n’ont pas pu être redirigées correctement (souvent des images, quand cela arrive). Ce problème est couramment appelé problème de « contenu mixte » (“mixed content” HTTP et HTTPS). Dans ce cas, l’outil Why not padlock vous livre directement la liste de tous les fichiers de « contenu mixte ». Il ne vous reste plus qu’à gérer ces problèmes de « contenu mixte »:

Comment gérer les problèmes de « contenu mixte »

Méthode 1: Lever les problèmes de contenu mixte (“mixed content”) avec un plugin

Si vous observez un problème d’URLs mal redirigées (dit « contenu mixte »), vous pouvez idéalement le gérer vous-même en “forçant » les redirections (voir point suivant). Ou vous pouvez préférer installer le plugin SSL Insecure Content Fixer. Il est disponible en français, et il est conçu pour lever les problèmes dit de « contenu mixte » ou plutôt de contenu « non sécurisé ». Il s’utilise après avoir fait passer son site WordPress en HTTPS (comme vous venez de le faire).

Alternativement, voici comment faire plus idéalement les redirections de HTTP vers HTTPS vous-même:

Méthode 2: Comment modifier le fichier .htaccess directement dans WordPress, pour forcer les redirections HTTPS

Ne vous effrayez pas du terme “forcer les redirections” si vous n’êtes pas familier avec. Il ne s’agit en fait que d’une redirection, qui de plus selon les recommandations de Google ne nuira en rien à votre référencement. Et cette redirection se fera facilement en utilisant le plugin Yoast (oui celui du SEO…!). Dans Yoast, donc,  ouvrez l’onglet “outils” et cliquez sur le lien “éditeur de fichier”. La page qui s’ouvre vous offre un accès direct au fichier .htaccess de votre site WordPress.

 Le code à ajouter, que vous trouverez ci-dessous, est à ajouter tout en haut de votre fichier .htaccess, juste après la remarque « # BEGIN WordPress ». Ce code fonctionne quelque soit les conditions (site en www ou non, etc…) et même si votre site n’est pas encore référencé dans Google parce que, par exemple, vous débutez dans le blogging.

Pour ajouter le code, faites un copier-coller du code à insérer (Ctrl C/Ctrl V sur PC ou Cmd C/Cmd V sur Mac) car tous les espaces et symboles doivent être recopiés avec une parfaite exactitude pour que le code soit correct.

Code à ajouter dans votre fichier .htaccess pour faire vos redirections vers HTTPS:

Après avoir fait ces modifications, déconnectez-vous de WordPress, videz votre historique et reconnectez-vous. Votre site devrait maintenant complètement être passé en HTTPS. Vous pouvez alors à nouveau vérifier dans l’outil « Why not padlock » que toutes les redirections sont maintenant correctement implémentées (comme vu au point 04 de la section précédente).

Étapes à suivre après la migration en HTTPS

Comme votre URL a changé, il va falloir en informer les moteurs de recherche, un peu comme quand on déménage et qu’on doit informer toutes les instances de son changement d’adresse.

Conclusion

Passer son site WordPress en HTTPS est l’une des premières étapes à franchir lorsque l’on crée son blog. Et c’est malheureusement une étape technique qui peut donner l’impression d’être jeté(e) directement dans le grand bain. Si vous suivez pas-à-pas toutes les étapes de ce tutoriel, vous devriez arriver à effectuer cette migration sans encombre. Et ne vous inquiétez pas, ce qui reste à faire ensuite sur votre site pour le “finaliser” sera beaucoup moins impression. D’ailleurs dites-moi dans les commentaires, quel est votre plus grand obstacle dans la création de votre site web?

Mise en ligne de l’article: septembre 2019

ARTICLES DE CETTE CATÉGORIE