Vous l’aurez peut-être remarqué, www.brunotritsch.fr vient de passer au https, conformément aux recommandations Google et j’ai donc décidé de partager ici avec vous comment je m’y suis pris.

Pourquoi passer votre WordPress au https ?

Cela fait déjà un moment que Google veut nous inciter à passer nos sites au https, et comme nous étions encore très nombreux à ne pas nous être exécutés, la firme de Mountain View a décidé d’indiquer aux internautes à partir du 1er janvier 2017 que le site qu’ils vistent n’est pas sécurisé si celui-ci n’utilise pas le https avec un certificat SSL valide (voir capture d’écran ci-dessous).

Alors bien évidemment, ce n’est pas parce que votre site n’est pas en https qu’il est à bannir et comme beaucoup, je ne vois trop l’intérêt d’un certificat SSL sur un site vitrine, mais avouez tout de même que l’indication de site non sécurisé dans le navigateur de vos visiteurs risque d’en faire fuir plus d’un.

Really Simple SSL
Really Simple SSL
Développeur: Rogier Lankhorst
Prix: Gratuit

Par ailleurs, il faut avouer que la la mise à disposition de certificats SSL gratuits par Let’s Encrypt et les hébergeurs partenaires, ainsi que l’apparition d’extensions comme Really Simple SSL nous facilite grandement la tâche, surtout lorsque le certificat est déjà pré-installé sur votre nom de domaine (voir la liste de hébergeurs qui pré-installent le SSL sur vos noms de domaines).

Je pense donc que la somme des avantages à passer au https dépasse maintenant largement celle des inconvénients, surtout si votre hébergeur vous fait déjà bénéficier d’un certificat SSL gratuit et pré-installé sur votre/vos nom(s) de domaine, alors allons-y gaiement 😉

Pourquoi utilisez Really Simple SSL pour passer son WordPress de http à https ?

Autant je fais partie de ceux qui vous conseilleront d’installer le moins d’extensions possible sur votre WordPress, ce qui ne veut pas dire qu’il ne faut pas en installer, autant lorsque celles-ci vous apportent un certain nombre de bénéfices sans apporter trop d’inconvénients, je n’ai rien contre.

Et c’est justement le cas pour l’extension Really Simple SSL qui va grandement vous faciliter la vie pour le passage du http au https de votre site sous WordPress.

En effet, bien que pas très compliqué, le passage du http au https exige la réalisation d’un certain nombre de tâches et notamment la modification des fichiers .htaccess et wp-config, puis des urls dans votre base de données, or ces deux opérations peuvent s’avérer délicates, surtout pour les non initiés.

Ensuite, vous devrez résoudre les éventuels problèmes de contenu mixte, c’est à dire les pages sur lesquelles on retrouvera une partie du contenu en http et une autre en https, ce qui peut être relativement fastidieux.

Or Really Simple SSL fera toutes ces tâches à votre place, juste le temps de le dire 😉

Voici en résumé ce que cette extension magique va faire pour vous sur votre WordPress :

  • modification des deux urls « Adresse web de WordPress (URL) » et « Adresse web du site (URL) » pour les passer en https
  • redirection du http vers le https
  • correction du contenu non sécurisé en passant automatiquement toutes les urls internes de http à https
  • vérification du contenu mixte

Pré-requis avant de passer son site en https

Comme toute modification sur un site, il est recommandé de prendre un certain nombre de précautions et autres mesures avant d’opérer, comme :

  1. Faire une sauvegarde de votre base de données
  2. Faire une sauvegarde de vos fichiers
  3. Vérifier que votre nom de domaine bénéficie bien d’un certificat valide (voir la vidéo ci-dessous)
  4. Désactiver vos extensions de sécurité (exemple : iTheme Security, Wordfence, All In One Security, …etc… Secupress)
  5. Vérifier que vous avez les bons identifiants et mot de passe administrateur pour accéder à l’administration de votre WordPress, car comme l’adresse du site va changer, votre navigateur ne les aura pas en mémoire
  6. Bien procéder étape par étape, sans aucune précipitation et stopper/vérifier en cas de doute

L’avantage de l’extension Really Simple SSL, c’est que si vous suivez bien une à une toutes les étapes, vous le verrez si aucun certificat SSL valide n’est détecté et il vous suffira donc de désactiver le plugin pour stopper la procédure avant de faire le nécessaire pour solutionner le problème.

Donc si vous suivez bien toutes mes recommandations, il n’y a aucune raison que vous vous retrouviez coincés 😉

Tutoriel vidéo pour passer son WordPress en https avec Really Simple SSL

Allez, c’est parti : connectez-vous à l’admin de votre WordPress, suivez mes recommandations du paragraphe précédent, installez l’extension Really Simple SSL et suivez pas à pas mon tutoriel vidéo pour passer WP au https ci-dessous :

Une fois l’extension installée et activée, pensez à vider le cache si vous utilisez une extension de cache comme WP Rocket, LiteSpeed Cache, …etc… ou autres.

Vérifiez ensuite que Really Simple SSL détecte bien votre certificat SSL : si vous ne voyez pas le bouton « Allez-y, activez SSL », c’est que l’extension n’a pas détecté de certificat SSL valide, auquel cas il ne faut surtout pas cliquer sur ce bouton.

Dans ce cas-là, cliquez plutôt sur le lien « recharger la page en https » et vérifiez à nouveau.

Si c’est OK (certificat SSL bien détecté), alors cliquez sur le bouton « Allez-y, activez SSL », sinon désactivez Really Simple SSL et cherchez ce qui cloche.

Pensez alors à vider une nouvelle fois votre cache et surtout à vérifier que tous vos contenus (pages, articles, fiches produit, types de contenu personnalisés) sont bien en https et surtout qu’elles bénéficient bien du cadenas vert.

Pour vous aider, vous pouvez utiliser ces outils de test : https://www.ssllabs.com/ssltest/index.html et https://www.linksspy.com/seo-tools/free-seo-ssl-scan/new

Il se peut que ce ne soit pas le cas lorsque vous affichez ce qu’on appelle du contenu mixte, c’est à dire à la fois en http et en https (exemple : images externes).

J’ai notamment eu le cas sur une site avec un des boutons d’une extension de partage que j’avais moi-même ajouté.

Pensez enfin à ré-activer les extensions que vous aviez désactivées, notamment celles de sécurité, puis à modifier dans la mesure du possible tous les liens externes pointant vers votre site (présentations d’annuaires, profils sociaux, échanges de liens) pour les passer de http à https.

En cas de besoin, n’hésitez surtout pas à faire appel à mes services, car sachez que cela vous coûtera moins cher de faire appel à un consultant WordPress comme moi en préventif plutôt qu’en curatif.

Liste non exhaustive d’hébergeurs mettant automatiquement à votre disposition le certificat SSL gratuit de Let’s Encrypt

Un certain nombre d’hébergeurs ont décidé de proposer à leurs clients une installation automatique du certificat SSL gratuit de Let’s Encrypt sur leurs noms de domaine, ce qui leur évite d’avoir à faire le nécessaire pour l’enregistrement.

Je vais donc essayer de lister ici un maximum d’hébergeurs concernés, mais sachez que cette liste n’est pas exhaustive (je ne peux malheureusement pas tester/interroger tous les professionnels de l’hébergement), alors je compte sur vous pour la compléter.

Par ailleurs, même si votre hébergeur est lité ici, vérifiez que votre nom de domaine bénéficie bien d’un certificat valide avant de vous lancer, car il peut y avoir des surprises.

Pour cela, il vous suffit de tester l’adresse de votre site en https avant même d’avoir installé Really Simple SSL et si votre site s’affiche bien en https, alors c’est que c’est bon, et dans le cas contraire, non.

  1. Monarobase : certificat SSL installé d’office sur tous les noms de domaines (attention : soyez patients avec les nouveaux noms de domaine, il faut laisser le temps au robot de l’hébergeur de les détecter et de les enregistrer auprès de Let’s Encrypt)
  2. Obambu : idem
  3. EuroWH : idem
  4. o2switch : idem, mais il faut tout de même générer un nouveau certificat pour chacun de vos noms de domaine dans votre cPanel (je vais bientôt vous faire un tutoriel dont je mettrai le lien ici, mais vous pouvez également vous abonner à ma newsletter pour être automatiquement tenu au courant)
  5. OVH : idem, mais il est fort probable que vous deviez activer vous-même le certificat SSL sur votre hébergement mutualisé OVH
  6. Archive-Host : ça doit dépendre du serveur sur lequel se trouve vos sites, car j’ai plusieurs plans chez lui et seuls certains bénéficient de cet avantage

Si votre site n’est pas sous WordPress ou si vous souhaitez découvrir comment faire sans extension, alors je vous recommande cet article d’Olivier Duffez, spécialiste reconnu dans le milieu du référencement.

Si vous avez trouvé une faute d’orthographe, vous pouvez m’en informer en sélectionnant le texte en question et en appuyant sur Ctrl + Entrée. Je vous en remercie par avance.