Vous l’aurez peut-être remarqué, www.brunotritsch.fr vient de passer au https, conformément aux recommandations Google et j’ai donc décidé de partager ici avec vous comment je m’y suis pris.
Article mis à jour le 30 janvier 2020
Table des matières
Pourquoi passer votre WordPress au https ?
Cela fait déjà un moment que Google veut nous inciter à passer nos sites au https, et comme nous étions encore très nombreux à ne pas nous être exécutés, la firme de Mountain View a décidé d’indiquer aux internautes à partir du 1er janvier 2017 que le site qu’ils vistent n’est pas sécurisé si celui-ci n’utilise pas le https avec un certificat SSL valide (voir capture d’écran ci-dessous).
Alors bien évidemment, ce n’est pas parce que votre site n’est pas en https qu’il est à bannir et comme beaucoup, je ne vois trop l’intérêt d’un certificat SSL sur un site vitrine, mais avouez tout de même que l’indication de site non sécurisé dans le navigateur de vos visiteurs risque d’en faire fuir plus d’un.
Par ailleurs, il faut avouer que la la mise à disposition de certificats SSL gratuits par Let’s Encrypt et les hébergeurs partenaires, ainsi que l’apparition d’extensions comme Really Simple SSL nous facilite grandement la tâche, surtout lorsque le certificat est déjà pré-installé sur votre nom de domaine (voir la liste de hébergeurs qui pré-installent le SSL sur vos noms de domaines).
Je pense donc que la somme des avantages à passer au https dépasse maintenant largement celle des inconvénients, surtout si votre hébergeur vous fait déjà bénéficier d’un certificat SSL gratuit et pré-installé sur votre/vos nom(s) de domaine, alors allons-y gaiement 😉
Pourquoi utilisez Really Simple SSL pour passer son WordPress de http à https ?
Autant je fais partie de ceux qui vous conseilleront d’installer le moins d’extensions possible sur votre WordPress, ce qui ne veut pas dire qu’il ne faut pas en installer, autant lorsque celles-ci vous apportent un certain nombre de bénéfices sans apporter trop d’inconvénients, je n’ai rien contre.
Et c’est justement le cas pour l’extension Really Simple SSL qui va grandement vous faciliter la vie pour le passage du http au https de votre site sous WordPress.
En effet, bien que pas très compliqué, le passage du http au https exige la réalisation d’un certain nombre de tâches et notamment la modification des fichiers .htaccess et wp-config, puis des urls dans votre base de données, or ces deux opérations peuvent s’avérer délicates, surtout pour les non initiés.
Passez facilement & rapidement vos sites #WordPress au HTTPS sans toucher au code en suivant ce tuto vidéo Cliquez pour tweeterEnsuite, vous devrez résoudre les éventuels problèmes de contenu mixte, c’est à dire les pages sur lesquelles on retrouvera une partie du contenu en http et une autre en https, ce qui peut être relativement fastidieux.
Or Really Simple SSL fera toutes ces tâches à votre place, juste le temps de le dire 😉
Voici en résumé ce que cette extension magique va faire pour vous sur votre WordPress :
- modification des deux urls « Adresse web de WordPress (URL) » et « Adresse web du site (URL) » pour les passer en https
- redirection du http vers le https
- correction du contenu non sécurisé en passant automatiquement toutes les urls internes de http à https
- vérification du contenu mixte
Pré-requis avant de passer son site en https
Comme toute modification sur un site, il est recommandé de prendre un certain nombre de précautions et autres mesures avant d’opérer, comme :
- Faire une sauvegarde de votre base de données
- Faire une sauvegarde de vos fichiers
- Vérifier que votre nom de domaine bénéficie bien d’un certificat valide (voir la vidéo ci-dessous)
- Désactiver vos extensions de sécurité (exemple : iTheme Security, Wordfence, All In One Security, …etc… Secupress)
- Vérifier que vous avez les bons identifiants et mot de passe administrateur pour accéder à l’administration de votre WordPress, car comme l’adresse du site va changer, votre navigateur ne les aura pas en mémoire
- Bien procéder étape par étape, sans aucune précipitation et stopper/vérifier en cas de doute
L’avantage de l’extension Really Simple SSL, c’est que si vous suivez bien une à une toutes les étapes, vous le verrez si aucun certificat SSL valide n’est détecté et il vous suffira donc de désactiver le plugin pour stopper la procédure avant de faire le nécessaire pour solutionner le problème.
Donc si vous suivez bien toutes mes recommandations, il n’y a aucune raison que vous vous retrouviez coincés 😉
Tutoriel vidéo pour passer son WordPress en https avec Really Simple SSL
Allez, c’est parti : connectez-vous à l’admin de votre WordPress, suivez mes recommandations du paragraphe précédent, installez l’extension Really Simple SSL et suivez pas à pas mon tutoriel vidéo pour passer WP au https ci-dessous :
Une fois l’extension installée et activée, pensez à vider le cache si vous utilisez une extension de cache comme WP Rocket, LiteSpeed Cache, …etc… ou autres.
Vérifiez ensuite que Really Simple SSL détecte bien votre certificat SSL : si vous ne voyez pas le bouton « Allez-y, activez SSL », c’est que l’extension n’a pas détecté de certificat SSL valide, auquel cas il ne faut surtout pas cliquer sur ce bouton.
Dans ce cas-là, cliquez plutôt sur le lien « recharger la page en https » et vérifiez à nouveau.
Si c’est OK (certificat SSL bien détecté), alors cliquez sur le bouton « Allez-y, activez SSL », sinon désactivez Really Simple SSL et cherchez ce qui cloche.
Pensez alors à vider une nouvelle fois votre cache et surtout à vérifier que tous vos contenus (pages, articles, fiches produit, types de contenu personnalisés) sont bien en https et surtout qu’elles bénéficient bien du cadenas vert.
Pour vous aider, vous pouvez utiliser ces outils de test : https://www.ssllabs.com/ssltest/index.html et https://www.linksspy.com/seo-tools/free-seo-ssl-scan/new
Il se peut que ce ne soit pas le cas lorsque vous affichez ce qu’on appelle du contenu mixte, c’est à dire à la fois en http et en https (exemple : images externes).
J’ai notamment eu le cas sur une site avec un des boutons d’une extension de partage que j’avais moi-même ajouté.
Pensez enfin à ré-activer les extensions que vous aviez désactivées, notamment celles de sécurité, puis à modifier dans la mesure du possible tous les liens externes pointant vers votre site (présentations d’annuaires, profils sociaux, échanges de liens) pour les passer de http à https.
Liste non exhaustive d’hébergeurs mettant automatiquement à votre disposition le certificat SSL gratuit de Let’s Encrypt
Un certain nombre d’hébergeurs ont décidé de proposer à leurs clients une installation automatique du certificat SSL gratuit de Let’s Encrypt sur leurs noms de domaine, ce qui leur évite d’avoir à faire le nécessaire pour l’enregistrement.
Je vais donc essayer de lister ici un maximum d’hébergeurs concernés, mais sachez que cette liste n’est pas exhaustive (je ne peux malheureusement pas tester/interroger tous les professionnels de l’hébergement), alors je compte sur vous pour la compléter.
Par ailleurs, même si votre hébergeur est listé ici, vérifiez que votre nom de domaine bénéficie bien d’un certificat valide avant de vous lancer, car il peut y avoir des surprises.
Découvrez une liste d’hébergeurs #WordPress vous proposant un certificat SSL gratuit Cliquez pour tweeterPour cela, il vous suffit de tester l’adresse de votre site en https avant même d’avoir installé Really Simple SSL et si votre site s’affiche bien en https, alors c’est que c’est bon, et dans le cas contraire, non.
Attention, cette liste n’est pas un classement d’hébergeurs, leur ordre dans la liste ne présage donc aucunement de leur qualité par rapport aux autres
- Monarobase : certificat SSL installé d’office sur tous les noms de domaines (attention : soyez patients avec les nouveaux noms de domaine, il faut laisser le temps au robot de l’hébergeur de les détecter et de les enregistrer auprès de Let’s Encrypt)
- Infomaniak : idem
- Obambu : idem
- EuroWH : idem
- O2switch : idem, mais il faut tout de même générer un nouveau certificat pour chacun de vos noms de domaine dans votre cPanel (je vais bientôt vous faire un tutoriel dont je mettrai le lien ici, mais vous pouvez également vous abonner à ma newsletter pour être automatiquement tenu au courant)
- PlanetHoster : gestion très facile des certificats SSL via le cPanel (panneau de gestion de l’hébergement) – Bénéficiez de 25% sur votre première facture PlanetHoster avec le code PHA-PowerPlus
- OVH : idem, mais il est fort probable que vous deviez activer vous-même le certificat SSL sur votre hébergement mutualisé OVH et parfois, cela ne fonctionne pas
- Archive-Host : ça doit dépendre du serveur sur lequel se trouve vos sites, car j’ai plusieurs plans chez lui et seuls certains bénéficient de cet avantage
Si votre site n’est pas sous WordPress ou si vous souhaitez découvrir comment faire sans extension, alors je vous recommande cet article d’Olivier Duffez, spécialiste reconnu dans le milieu du référencement.
Si vous avez trouvé une faute d’orthographe ou une coquille, vous pouvez m’en informer en sélectionnant le texte en question et en appuyant sur Ctrl + Entrée. Je vous en remercie par avance.
Bonjour et merci pour votre tuto,
vous m’aviez aidé pour une redirection il y a peu (et réglé je vous remercie)et je me permet de vous recontacter pour ce tuto, j’ai un petit soucis,j’ai ce message une fois l’opération effectuée:
votre .htaccess ne contient pas la redirection really simple ssl vers https et n’a pas pu être ecrit, donc une redirection javascript est actuellement ajoutée.A des fins seo il est préférable d’utiliser des redirections .htaccess .Rendez le fichier inscriptible et visitez la page de réglages pour l’ecrire à nouveau ou copiez les lignes de codes de la page de réglages.Hors je n’y arrive pas ,j’édite le fichier htaccess mais aparemment cela ne change rien, est il bloqué en écriture ? Comment le rendre « inscriptible » ?
Merci d’avance
Bonsoir Sam,
Utilisez-vous une extension de sécurité comme iTheme Security par exemple ? Si oui, désactivez-la, ainsi que Really Simple SSl, attendez quelques secondes après avoir vidé votre cache et réactiver d’abord Really Simple SSL, puis votres extension de sécurité si tout a bien fonctionné.
Sinon, il faut éditer vos droits sur le fichier .htaccess via FTP en faisant un clic droit sur ce fichier.
Cordialement,
Bruno
Bonsoir Bruno,
Je ne pense pas utiliser de thème de sécurité, et ne sais pas comment vider le cache…
J’utilise le thème divi
Je sais éditer le fichier htaccess mais je n’arrive pas à l’enregistrer, lorsque je retourne sous fillezilla les lignes ajoutées et conseillées par really simple ssl ont disparues, comme si je ne pouvais modifier ce fichier…
Qu’entendez vous par « éditer des droits » ?
Merci
Bonjour,
Je vous invite à relire ma précédente réponse, car je n’y parle pas de « thème » de sécurité, et pour cause, ça n’existe pas … mais d’extension.
Quant à Divi, comme n’importe quel thème, n’influe pas sur les droits concernant le fichier .htaccess.
Si vous êtes sur de ne pas avoir d’extension de sécurité active sur votre site, via FTP faites un clic droit sur le fichier .htaccess et sélectionnez « Droits d’accès au fichier… » et modifiez-les pour rendre votre fichier inscriptible le temps de la modification et une fois que celle-ci est faite, remettez les droits initiaux.
Bonjour Bruno et merci pour votre aide,
cependant cela ne fonctionne pas, j’ai tenté plusieurs modifs dans le htaccess sans succes (en modifiant les droits d’acces).
Peut etre qu’une de mes extensions bloque ?
Ou je n’arrive pas à enregistrer mon htaccess comme il faut ..
Voulez vous ma liste d’extensions actives ?
Je viens de passer mon site en https, un rapport ?
Merci
En effet, comme je vous le suggère depuis le début, vous devez avoir une extension de sécurité qui vous empêche de modifier vos droits et le contenu de votre fichier .htaccess.
Il vous suffit donc de désactiver cette extension de sécurité le temps que vous modifiez votre fichier .htaccess.
Bonjour Bruno
Mon message d’hier n’a pas du partir..
Donc voici mes extensions, je ne pense pas en avoir en sécurité:
Askimet,Duplicator,Header and f scripts,Hello Dolly,Jetpack (je l’ai désactivé au cas ou cela n’a rien changé),Redirections,simple 301 redirections,TinyMCEadvenced,Woocommerce,Woocommerce E-transaction payement plugin,Yoast séo.
Sinon au niveau du htaccess il est dans le dossier www. et à chaque fois que je l’édite et que je quitte filezilla m’indique toujours qu’il est resté ouvert…
Je suis novice et j’ai du faire une mauvaise manip quelque part ?
Merci d’avance
Bonjour Sam,
Le principal est bien que votre site soit en HTTPS et qu’il fonctionne.
Quant à votre problème de fichier .htaccess que vous n’arrivez pas à modifier, il y a bien trop d’inconnues et il va m’être difficile de pouvoir vous aider à l’aveugle.
Si vous souhaitez que j’y regarde de plus près, il me faudra vos accès, mais j’aime autant vous prévenir que je ne pourrai pas le faire gratuitement.
Cordialement,
Bruno
Bonjour Bruno ,
Comment faire pour intégrer la page du plugin comme sur ton article ? C’est plutôt esthétique !
Merci 🙂
Bonjour Bruno,
J’ai résolu mon soucis sur wp forum grâce à wolfeo, j’ai édité le fichier. Htacces mais dans yoast seo et cela a fonctionné.
Merci pour tout !
Bonjour Jérémy,
Si tu veux savoir comment je fais pour l’encart de présentation de l’extension avec le lien vers sa page sur wordpress.org, alors j’utilise tout simplement une extension 😉
Merci pour ton retour Bruno et puis-je avoir son nom :p ?
Salut Jérémy,
Mieux encore : mon dernier article publié vendredi soir présente cette extension et comprend même un tutoriel vidéo sur son paramétrage et un autre sur son utilisation.
Tu le trouveras en cliquant sur https://brunotritsch.fr/extension-affichage-principaux-details-plugin-wordpress/
Bruno, un grand merci pour l’astuce du plugin , j’avais du contenu non sécurisé et en 1 clic tout est devenu parfait …. le pti cadenas vert sur toutes les pages, super 🙂
Pour info sur o2switch le certificat de let’s encrypt est renouvelé automatiquement tous les 3 mois, mais au départ il faut l’ajouter manuellement pour chaque domaine hébergé.
Bonjour Pat,
Concernant O2switch, je dirai plutôt qu’il faut activer manuellement le certificat sur chaque nom de domaine, mais nul besoin de faire les démarches nécessaires auprès de Let’s Encrypt et c’est la raison pour laquelle j’ai ajouté cet hébergeur à la liste non exhaustive de ceux qui proposent un certificat SSL gratuit.
Par ailleurs, pour être également chez d’autres hébergeurs qui activent systématiquement le certificat sur tous les noms de domaines, je peux te dire que cela pose un problème quelque part puisque tes sites sont disponibles à la fois en http et en https, ce qui n’est franchement pas idéal.
Un grand merci pour ce tuto, des mois que je reculais pour passer mon site en https, maintenant c’est fait !
Bonjour,
En utilisant Really simple SSL, il n’y a donc aucune redirection à écrire dans le htaccess ?
Merci.
Bonjour Manu,
En effet, Really Simple SSL s’occupe de tout 😉
Bonjour
Tout d’abord merci pour votre article.
Je viens de passer mon site suivant en https via l’extension que vous proposez.
J’ai par contre toujours un soucis de contenu mixte.
Comment savoir d’où vient ce soucis?
MErci
Merci Bruno, super d’avoir partagé tout ça ça m’a beaucoup aidé 🙂
Bonjour Gassner,
Je ne sais pas trop comment vous avez construit votre site, mais étant donné que la racine redirige vers /fr/international/ et qu’il y a un autre site à l’adresse maxi-race.net/fr/, je dirais que votre problème vient de là, d’autant que le site maxi-race.net/fr/ n’a aucun problème de contenu mixte.
Bonjour
je vais tester cette extension.
Question : est elle encore nécessaire lorsque le site est passé en Https.
Si non, puis je tout simplement la désactiver et ensuite la supprimer.
Si oui, pour quelle raison faut la laisser active.
Je suis pour un strict minimum de plugs dans mon CMS.
Cordialement
Bonne journée
Bonjour Barberis,
1 = oui
2 = non
3 = parce que sinon votre site sera à nouveau en HTTP
4 = j’ai installé cette extension sur tous mes sites précédemment créés en HTTP et cela ne pose aucun problème. Rassurez-vous, elle est régulièrement mise à jour.
Si vous ne souhaitez pas conserver cette extension, alors le mieux est de ne pas l’installer et de choisir la méthode manuelle.
Vous trouverez un très bon tutoriel pour passer votre site manuellement en HTTPS sur le site de mes collègues de WP Marmite : https://wpmarmite.com/wordpress-https/ 😉
Cordialement,
Bruno
Bonjour Monsieur Tritsch,
Quel dommage je n’ai pas lu cet article plus tôt…
J’ai suivi un tutorial super compliqué d’un autre site, avec script sur la base de données et tout, qui a marché certes, mais il en manquait la moitié en explication et j’ai dû bidouiller… Alors que cette procédure parait si simple ici… Comme je dois passer le site d’une amie en https, je suivra cette procédure !
Merci beaucoup à vous.
Bien cordialement.
Bonjour,
utilisant ce plugin, j’aimerais afficher une image extérieure au site, qui n’est pas en https,
et qui de fait ne peut pas s’afficher puisque le plugin force le https, auriez-vous une idée de comment faire?
Merci
Bonjour,
Si l’adresse de l’image n’est pas en https, alors vous ne pourrez pas faire grand-chose.
Par ailleurs, mieux vaut éviter d’afficher des images hébergées ailleurs.
Cordialement,
Bruno