Sécuriser son site WordPress avec HTTPS

par | 30 Nov 2021 | Tutoriels, WordPress

La sécurité d’un site WordPress repose sur un certain nombre de principes à mettre en œuvre parallèlement. Parmi ceux-ci, le chiffrement des données et des connexions entre un navigateur et un serveur constitue l’un des piliers de cette protection. Pour ce faire, il est nécessaire de sécuriser son site WordPress avec HTTPS. Nous allons voir dans cet article comment y parvenir.

 
Certains des liens figurant dans cet article sont des « liens affiliés ». Cela signifie que si vous cliquez sur le lien et réalisez un achat, je recevrai une commission d’affiliation, sans frais supplémentaires pour vous. Si c’est le cas, merci de soutenir ce blog !

 

 

 

1. Qu’est-ce que le protocole HTTPS ?

Le protocole HTTPS (HyperText Transfer Protocol Secure) est la version sécurisée du protocole HTTP auquel est ajoutée une couche de chiffrement par SSL ou TLS. Ce dernier est important puisqu’il permet de crypter les connexions entre le navigateur d’un.e utilisateur.rice, autrement dit le client, et le serveur sur lequel se trouve votre site.

 

Chiffrement des données et vérification d’identité

De cette manière, les données qui sont transmises entre ces deux entités ne peuvent, en principe, pas être interceptées. En effet, en les chiffrant, il devient particulièrement difficile de les déchiffrer, bien que jamais impossible. Ceci protège donc les données envoyées sur les formulaires de contact ainsi que leur transfert dans le cas d’un achat en ligne, par exemple, mais sécurise également les connexions à votre site.

 

Sécuriser son site WordPress https
Le certificat SSL/TLS permet de chiffrer les connexions à un site

 
Par ailleurs, un certificat SSL/TLS reste indispensable pour sécuriser son site WordPress avec HTTPS et surtout pour utiliser ce protocole. Et grâce à lui, les visiteur.euse.s peuvent vérifier l’identité du site consulté et s’assurer qu’il ne s’agit pas d’un site fallacieux usurpant une adresse authentique. Ce certificat doit être délivré par une autorité tierce et de confiance pour que le système ait du sens.

 

2. Importance du chiffrement

Sécuriser son site WordPress avec HTTPS permet donc de protéger les données de vos utilisateur.rice.s. De plus, le protocole se révèle pratiquement obligatoire pour les sites e-commerce. En effet, sans lui, vous ne pourrez pas installer l’immense majorité des modes de paiement en ligne les plus courants qui le requièrent.

 

Avantages

Par ailleurs, lorsque votre site utilise HTTPS, un cadenas s’affiche à côté de l’URL et représente une marque de confiance pour quelqu’un qui consulte le site. À l’inverse, sans HTTPS, une mention “non sécurisé” sera affichée, ce qui peut susciter de la méfiance et ne donne pas une bonne image de votre entreprise.

Enfin, Google déclare prendre en compte ce paramètre pour le référencement. Votre site ne se classera pas forcément mieux en utilisant HTTPS, mais il pourrait être pénalisé s’il ne l’utilise pas.

 

3. Installer un certificat SSL

La première étape pour sécuriser son site WordPress avec HTTPS consiste à installer un certificat SSL/TLS. Plusieurs options s’offrent à vous pour effectuer cette tâche. Il est possible d’obtenir un certificat par votre hébergeur, notamment si vous disposez d’un hébergement mutualisé, ou par un service comme Cloudflare.

Depuis plusieurs années, l’autorité de certification à but non lucratif Let’s Encrypt propose des certificats gratuitement. Ceux-ci devraient se révéler suffisants pour la majorité des cas, en particulier les sites de petites et moyennes entreprises. Pour les grandes entreprises, il reste recommandé d’acheter un certificat qui permet de vérifier l’identité d’un site avec davantage de garanties.

 

Logo Let’s Encrypt
Let’s Encrypt propose des certificats gratuitement

 

3.1 Obtenir un certificat par un hébergeur

Pour obtenir un certificat par votre hébergeur, il est nécessaire de se renseigner sur la procédure à suivre. En effet, tous les hébergeurs ne fonctionnent pas de la même manière. Si vous êtes à la recherche d’un hébergement de qualité, prenez ce critère en compte pour sélectionner l’entreprise qui vous convient.

Dans le cas d’un hébergement avec cPanel, il est généralement possible de sécuriser son site WordPress avec HTTPS en installant un certificat. Il suffit d’accéder à la section sécurité et de sélectionner Let’s Encrypt. Après installation, celui-ci devrait être renouvelé automatiquement tous les trois mois. Si ce n’est pas le cas, il devient alors important de le renouveler manuellement.

 

Installer le certificat Let’s Encrypt depuis cPanel
Installer le certificat Let’s Encrypt depuis cPanel

 

3.2 Obtenir un certificat par Cloudflare

Si votre hébergeur ne propose pas de certificats ou que vous ne souhaitez pas en acheter, il est toujours possible d’en obtenir un gratuitement grâce au service Cloudflare. Pour ce faire, il faudra mettre votre site sur Cloudflare en commençant par créer un compte et y associer votre nom de domaine.

Puis, vous pourrez changer les noms de serveurs associés à votre nom de domaine. Cette modification doit être réalisée dans l’espace du service où vous avez acheté le nom de domaine de votre site. Il peut simplement s’agir de votre hébergeur.

 

Activer le certificat

Ensuite, après avoir vérifié et, le cas échéant, modifié vos enregistrements DNS dans Cloudflare, vous pourrez activer la fonction SSL/TLS. Dans le cas où votre serveur d’origine n’est pas doté d’un certificat SSL, il faudra choisir le mode SSL flexible.

 

Sécuriser son site WordPress https grâce à Cloudflare
Installer un certificat SSL flexible dans Cloudflare

 
Ce certificat ne vous protège pas complètement puisque le chiffrement n’est pas actif entre Cloudflare et votre serveur d’origine. Néanmoins, il vous protège de nombreuses attaques et constitue une bien meilleure option qu’une absence totale de chiffrement. Par ailleurs, si un hébergeur ne propose pas de certificat pour sécuriser son site WordPress avec HTTPS, je vous recommande de migrer le site vers une entreprise alternative à la fin de votre période de facturation.

 

4. Modifier les liens de son site de HTTP vers HTTPS

L’étape suivante consiste à modifier les URL de votre site pour activer le protocole HTTPS. Il est possible d’effectuer ceci soit à l’aide d’une extension soit manuellement. Le but est de transformer toutes les URLs de HTTP vers HTTPS et de rediriger l’ensemble des requêtes HTTP vers HTTPS.

 

4.1 Really Simple SSL, l’extension ultra simple

 

Sécuriser son site WordPress avec https grâce à l’extension Really Simple SSL
L’extension Really Simple SSL dans le catalogue WordPress

 
Après installation, cette extension ne demande presque pas de configuration. Elle se charge de modifier vos liens non sécurisés en HTTPS et de faire les redirections nécessaires. Elle règle également le problème des contenus mixtes. Ces pages présentent à la fois du contenu HTTP et HTTPS ce qui empêche de sécuriser son site WordPress avec HTTPS. Pour qu’un site soit entièrement sécurisé, il ne doit s’y trouver que du contenu HTTPS.

 

4.2 Faire un “rechercher – remplacer”

 

Sécuriser son site WordPress avec https grâce à l’extension Better Search Replace
L’extension Better Search Replace dans le catalogue WordPress

 
Vous pouvez également modifier vos liens HTTP en HTTPS en installant l’extension Better Search Replace et en faisant un “rechercher-remplacer” pour http://votrenomdedomaine.tld vers https://votrenomdedomaine.tld. Ceci vous permet de corriger les erreurs de contenu mixte, mais ne résoudra pas le problème de redirection.

 

5. Effectuer les redirections

Il est aussi très important de rediriger toutes les URL de votre site de HTTP vers HTTPS. Ainsi, lorsque quelqu’un visite votre site, c’est la version HTTPS qui s’affichera automatiquement, même si la personne a saisi l’adresse avec le protocole HTTP.

L’extension mentionnée plus haut, Really Simple SSL, se charge d’effectuer les redirections automatiquement. Après l’avoir installée, vous n’avez donc plus rien à faire. Par ailleurs, certains hébergeurs effectuent aussi les redirections automatiquement lorsque vous installez un certificat SSL.

 

Vérifier les redirections

Pour vérifier si vos URL sont redirigées correctement, il suffit de saisir une URL de votre site en la précédant du protocole HTTP et de vérifier si la redirection est effective. Assurez-vous de réaliser ce test avec plusieurs URL différentes ainsi qu’avec et sans le sous-domaine “www”.

Si les URLs ne sont pas redirigées ou si vous accédez à une version HTTP d’une page, il faudra alors recommencer le processus de redirection. En effet, ces redirections sont essentielles pour sécuriser son site WordPress avec HTTPS.

 

6. Modifier Google Search Console et Google Analytics

La dernière étape pour sécuriser son site WordPress avec HTTPS consistera à ajouter la version HTTPS du site aux services de Google que vous utilisez. Cette étape n’est pas nécessaire si vous avez ajouté votre domaine complet à Search Console et si vous utilisez Google Analytics 4.

Dans les autres cas, si la version HTTP de votre site était enregistrée dans ces services, il faudra y ajouter la version HTTPS dans le cas de Search Console et modifier le protocole dans le cas d’Analytics.

 

Ajouter la version https d’un site à Google Search Console
Ajouter la version https d’un site à Google Search Console

 

Modifier la version https d’un site dans Google Universal Analytics
Modifier la version https d’un site dans Google Universal Analytics

 

7. Conclusion : sécuriser son site WordPress avec HTTPS

Bien qu’il y ait eu de nombreuses réticences pour passer du HTTP au HTTPS entre les années 2014 et 2018, aujourd’hui, sécuriser son site WordPress avec HTTPS s’impose comme une évidence. Il est incontournable d’installer un certificat SSL/TLS sur un nouveau site. C’est aussi, d’ailleurs, le meilleur moment pour l’installer. Si votre site n’est pas encore sécurisé, je vous recommande d’en faire une priorité.

Il arrive de rencontrer quelques problèmes lorsqu’on tente de sécuriser son site WordPress avec HTTPS ? Si c’est votre cas, dites-le moi dans les commentaires !

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Réservez votre audit SEO gratuit et recevez un rapport personnalisé sur la santé de votre site web