Comment passer un site WordPress en HTTPS ?

|
Catégorisé dans Actualités
Passer WordPress en HTTPS

Un site en HTTPS inspire confiance et protège les données échangées. Passer votre site WordPress en HTTPS améliore la sécurité, la conformité et le référencement sur Google. C’est une étape incontournable pour toute entreprise.

Vérifier si son site est disponible en HTTPS

Avant de modifier quoi que ce soit, il faut savoir si votre site peut déjà être chargé en HTTPS. Beaucoup d’hébergeurs proposent désormais par défaut un certificat SSL gratuit, même si vous n’avez rien activé.

La première vérification consiste à taper votre adresse en ajoutant simplement https:// devant. Si la page s’affiche avec un cadenas dans la barre d’adresse, c’est bon signe. Mais attention, cela ne veut pas dire que le certificat est bien configuré. On peut parfois avoir une alerte du navigateur indiquant que le certificat n’est pas valide.

Un test rapide est de cliquer sur le cadenas affiché dans la barre d’adresse. Vous verrez si le certificat est reconnu par une autorité de certification et s’il est encore valide.

Vous pouvez aussi utiliser des outils en ligne comme SSL Labs pour vérifier la configuration complète. Ces outils vous indiquent la force du chiffrement, la validité et les éventuelles erreurs.

Pourquoi cette vérification est-elle indispensable ?

Parce qu’elle évite de mettre en place des redirections ou des réglages dans WordPress si le certificat n’est pas actif. Vous saurez immédiatement si vous devez commander un certificat SSL ou si celui inclus avec votre hébergeur est déjà suffisant.

Certaines situations particulières méritent votre attention. Par exemple, un site peut être accessible à la fois en HTTP et en HTTPS, ce qui crée du contenu dupliqué pour Google.Et oui, même en passant par un freelance ou une agence de communication pour la création de votre site, cette erreur peut arriver.

Si vous voyez que les deux versions fonctionnent, il faudra configurer correctement les redirections pour forcer l’utilisation du HTTPS. C’est une question de sécurité des données et d’optimisation essentielle pour le SEO sur Google et autres moteurs de recherche ou même IA.

Un autre point à vérifier est la compatibilité de vos extensions WordPress. Certaines anciennes extensions (bon, ça devient rarissime hein) peuvent générer des ressources en HTTP qui déclencheront des avertissements de sécurité. La migration HTTPS ne se résume donc pas uniquement à installer un certificat, elle implique aussi de s’assurer que tout le contenu (images, scripts, CSS) est chargé en HTTPS.

Un test simple consiste à ouvrir la console de votre navigateur (touche F12 sur Chrome par exemple) et recharger la page en HTTPS. Vous verrez immédiatement si des ressources bloquées apparaissent. C’est une étape que beaucoup négligent et qui peut faire fuir vos visiteurs si le fameux message « site non sécurisé » s’affiche.

Commander un certificat SSL

Une fois la disponibilité vérifiée, il faut choisir le certificat SSL adapté. Trois grandes options existent : Let’s Encrypt, les certificats payants et les certificats inclus avec l’hébergement.

Let’s Encrypt

Let’s Encrypt est devenu la référence pour les certificats gratuits. La plupart des hébergeurs proposent aujourd’hui son activation en un clic depuis le tableau de bord. Il offre un chiffrement suffisant pour la majorité des sites WordPress. En fait, nous le recommandons pour la très grande majorité des créations de site web, qu’ils soient vitrines ou e-commerces.

Son avantage principal est la gratuité et le renouvellement automatique tous les 90 jours. C’est une solution adaptée pour les blogs, les sites vitrines et les petites entreprises.

Google reconnaît parfaitement ces certificats et ils sont aussi fiables que les certificats payants en termes de chiffrement.

La seule limite concerne la validation étendue. Si vous voulez afficher le nom de votre entreprise dans la barre d’adresse (ce que l’on appelait autrefois la “barre verte”), il faudra un certificat payant.

Certificats payants

Les certificats SSL payants sont proposés par des acteurs comme DigiCert, Comodo ou GlobalSign. Ils offrent une validation plus poussée et des garanties financières en cas de faille de sécurité.

Ils sont utiles si vous gérez un site e-commerce avec de nombreux paiements en ligne ou si votre entreprise souhaite inspirer un niveau de confiance maximal. Certains certificats payants incluent aussi une assistance technique, ce qui peut être utile si vous ne voulez pas gérer la configuration vous-même.

Le prix varie selon la durée et le niveau de validation : DV (Domain Validation), OV (Organization Validation) et EV (Extended Validation). Pour un site WordPress classique, un certificat OV est généralement suffisant.

Certificat inclus avec l’hébergement

Beaucoup d’hébergeurs intègrent désormais un certificat SSL de base dans leurs offres. C’est souvent un Let’s Encrypt déjà configuré. Chez OVH, PlanetHoster, Ionos ou encore O2Switch, vous pouvez l’activer directement depuis le panneau de gestion.

Avant de payer pour un certificat, il est donc conseillé de vérifier ce que propose déjà votre hébergeur. Dans +80 % des cas, le certificat inclus répond aux besoins d’un site WordPress PME. Vous évitez ainsi des frais supplémentaires inutiles.

Configurer le certificat SSL

configurer le certificat SSL correctement

Avoir un certificat ne suffit pas, il faut le configurer correctement. L’objectif est que toutes les versions de votre domaine pointent vers la version HTTPS.

Un site peut exister en plusieurs variantes :

  • http://monsite.fr
  • http://www.monsite.fr
  • https://monsite.fr
  • https://www.monsite.fr

 

Sans configuration, ces quatre adresses peuvent être accessibles. Cela pose un problème de sécurité et de SEO. Il faut donc rediriger toutes les variantes vers une seule version.

La plupart des hébergeurs permettent de choisir une version principale (avec ou sans “www”). Ce choix doit rester cohérent avec ce que vous utilisez dans WordPress. Vous pouvez le régler dans Réglages > Général en modifiant l’URL du site et l’URL de WordPress.

Ensuite, pour éviter les erreurs de contenu mixte, il faut s’assurer que toutes les ressources sont chargées en HTTPS. Pour cela, on peut utiliser une extension comme Really Simple SSL. Cette extension met à jour automatiquement les liens internes et force WordPress à utiliser le protocole sécurisé.

Une autre étape consiste à vérifier vos fichiers de configuration. Si vous êtes sur Apache, cela passe par la configuration du fichier .htaccess. Sur Nginx, c’est directement dans le fichier de configuration du serveur. Cette étape garantit que les visiteurs ne peuvent pas accéder à la version HTTP.

Enfin, n’oubliez pas de mettre à jour vos outils externes : Google Analytics, Search Console, et vos campagnes Google Ads. Sinon, vous risquez de perdre le suivi de vos statistiques.

Modifier le fichier .htaccess

Le fichier .htaccess est au cœur de la redirection HTTPS pour les sites hébergés sur Apache.

Voici un exemple de configuration basique :

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteCond %{HTTPS} off

RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

</IfModule>

 

Ce code force automatiquement la redirection de toutes les pages HTTP vers HTTPS.

Pourquoi utiliser une redirection 301 ?
Parce qu’elle informe Google que le changement est permanent. Cela permet de conserver votre référencement et d’éviter la duplication de contenu. Une redirection 302 indiquerait une redirection temporaire, ce qui n’est pas approprié ici.

N’oubliez pas que le .htaccess est un fichier sensible. Une erreur de syntaxe peut rendre votre site inaccessible. Avant toute modification, faites une sauvegarde. Si vous utilisez un plugin de cache comme WP Rocket, pensez à le vider après chaque changement pour éviter de voir d’anciennes versions en HTTP.

modification appels serveur et URLs en HTTPS

Vérifier et renouveler le certificat

Un certificat SSL n’est pas éternel. Sa durée de validité varie entre 90 jours pour Let’s Encrypt et 1 à 2 ans pour un certificat payant.

Il est indispensable de vérifier régulièrement la date d’expiration. La plupart des hébergeurs renouvellent automatiquement le certificat, mais ce n’est pas toujours garanti. Une expiration entraîne un message d’alerte rouge pour vos visiteurs, ce qui peut ruiner la confiance en quelques secondes.

Vous pouvez vérifier la date d’expiration directement en cliquant sur le cadenas de votre navigateur. Des outils comme SSL Checker permettent aussi de programmer des alertes par mail.

Si vous utilisez Let’s Encrypt, assurez-vous que le renouvellement automatique est activé sur votre hébergeur. En cas de problème, vous devrez régénérer manuellement le certificat via l’interface de gestion.

Enfin, pensez à revérifier après chaque renouvellement que le site est toujours bien accessible en HTTPS et que les redirections fonctionnent. Un simple oubli peut casser la chaîne de confiance et bloquer vos visiteurs.

La migration en HTTPS n’est donc pas un geste ponctuel, mais une gestion continue. Elle garantit la sécurité, la conformité et une meilleure image auprès de vos clients comme de Google.

 

Vous vous sentez un peu perdu avec tout ça ? Pas envie de rater une étape décisive ?
Parlons-en !
Chez Bulle & Co’ nous on vous prépare un site sécurisé en HTTPS plus vite qu’une assiette de knacks / frites !

En bref :

l'essentiel pour un WordPress en HTTPS

Laissez un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Accueil » Blog » Actualités » Comment passer un site WordPress en HTTPS ?