Passer un site web Wordpress en HTTPS
Selon les récentes communications de Google, les sites encryptés grâce au protocole https seront mieux référencés que les sites en http dans les résultats du moteur de recherche. En revanche, le poids du https est encore mineur à ce jour par rapport à d'autres critères (site responsive, pertinence du contenu, etc.) mais il s'agit bien d'une tendance à long terme. Que ce soit pour votre stratégie SEO, pour votre image ou pour la confidentialité des données échangées, ce tutoriel wordpress va tout vous expliquer.
Quelle différence entre http et https ?
Un site classique en http communique des informations "en clair" avec l'internaute. Concrètement quand vous accédez à un site, vous envoyez une requête http et le site vous envoie une réponse. Un site en http vous envoie des informations non cryptées et donc non sécurisées.
A contrario, un site en https encrypte les données échangées entre le navigateur de l'internaute et le serveur qui héberge le site. Attention toutefois : le protocole https ne sécurise pas les données hébergées sur le site car la sécurité ne concerne que les données transférées.
Un site en https a deux avantages en plus de la protection des données :
- il rasure l'internaute qui se sent en confiance. De fait, votre site est plus crédible.
- il améliore votre SEO. Le protocole HTTPS prendra de plus en plus d'importance dans le futur.
Suivez les étapes suivantes pour mettre en place votre protocole https :
Générer un certificat SSL
Si vous hébergez votre site chez OVH, c'est votre jour de chance ! En vous connectant à votre interface de gestion, vous verrez que vous disposez gratuitement d'un certificat SSL vous permettant de mettre votre site en HTTPS. Si celui-ci n'est pas généré alors appuyez sur le bouton "regénérer le certificat SSL". S'il est déjà activé vous n'avez rien à faire :
Si vous n'êtes pas chez OVH pour votre hébergement (Gandi, GoDaddy, 1&1, etc.) alors vous allez devoir fouiller un peu. Si votre prestataire ne vous donne pas de SSL gratuitement, il va falloir en acheter un chez eux.
Passer l'administration de Wordpress en HTTPS
L'étape la plus simple consite à forcer le HTTPS pour votre console d'administration (www.monsite.com/wp-admin). Pour cela suivez les étapes suivantes :
-
- Ouvrez le fichier config.php à la racine de votre site en utilisant FileZilla ou un autre outil de transfer de fichiers (FTP)
- Ajoutez la ligne define('FORCE_SSL_ADMIN', true); à la suite des paramètres de configuration :
Changer l'URL du site dans Wordpress
Si vous travaillez sur un site existant la procédure est simple allez dans Réglages > Général puis ajouter un "s" après le http dans les deux champs contenant l'URL :
Il est possible que vous ayez à vous reconnecter après cette manipulation. Si vous travaillez sur un nouveau site, indiquez l'URL complète comprenant https:// à chaque fois que l'adresse du site est demandée.
Modifier le fichier .htaccess
La dernière étape est de modifier votre fichier .htaccess qui se trouve à la racine de votre site afin que le http redirige vers le https systématiquement pour toutes les URL du site :
- Connectez-vous à votre serveur de fichiers avec FileZilla
- Faites un clic droit sur le fichier .htaccess dans le dossier racine puis "Afficher / Editer"
- Ajouter les lignes suivantes au fichier :
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.monsite.com/$1 [R=301,L]
Rendu final du fichier .htaccess :
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.monsite.com/$1 [R=301,L]
</IfModule>
# END WordPress
Supprimer les contenus mixtes de Wordpress
Votre site n'affiche pas le https en vert ? Cela vient probablement du fait que vous avez des contenus mixtes (http et https) dans votre site. Vous devez transformer tous les liens http qui appellent des images en https. C'est souvent le cas pour le logo ou les images du pied de page. Passer en revue tous les liens de votre site peut s'avérer chronophage. C'est pour cela qu'il est préférable de mettre votre site en https le plus tôt possible.
Le tour est joué ! Votre site est maintenant en HTTPS. Pensez à indiquer à Google que votre site a changé de domaine dans le Google Webmaster Tools pour qu'il n'y ait pas de confusion entre l'ancienne et la nouvelle URL.