Cet article a été publié pour la première fois le 30 novembre 2021 et mis à jour le 23 août 2022
La sécurité d’un site WordPress repose sur un certain nombre de principes à mettre en œuvre parallèlement. Parmi ceux-ci, le chiffrement des données et des connexions entre un navigateur et un serveur constitue l’un des piliers de cette protection. Pour ce faire, il est nécessaire de sécuriser son site WordPress avec HTTPS. Nous allons voir dans cet article comment y parvenir.
Certains des liens figurant dans cet article sont des « liens affiliés ». Cela signifie que si vous cliquez sur le lien et réalisez un achat, je recevrai une commission d’affiliation, sans frais supplémentaires pour vous. Si c’est le cas, merci de soutenir ce blog !
1. Qu’est-ce que le protocole HTTPS ?
Le protocole HTTPS (HyperText Transfer Protocol Secure) est la version sécurisée du protocole HTTP auquel est ajoutée une couche de chiffrement par SSL ou TLS. Ce dernier est important puisqu’il permet de crypter les connexions entre le navigateur d’un.e utilisateur.rice, autrement dit le client, et le serveur sur lequel se trouve votre site.
1.1 Protection des données
De cette manière, les données qui sont transmises entre ces deux entités ne peuvent, en principe, pas être interceptées. En effet, en les chiffrant, il devient particulièrement difficile de les déchiffrer, bien que jamais impossible. Ceci protège donc les données envoyées sur les formulaires de contact ainsi que leur transfert dans le cas d’un achat en ligne, par exemple, mais sécurise également les connexions à votre site.
Par ailleurs, un certificat SSL/TLS reste indispensable pour sécuriser son site WordPress avec HTTPS et surtout pour utiliser ce protocole. Et grâce à lui, les visiteur.euse.s peuvent vérifier l’identité du site consulté et s’assurer qu’il ne s’agit pas d’un site fallacieux usurpant une adresse authentique. Ce certificat doit être délivré par une autorité tierce et de confiance pour que le système ait du sens.
2. Importance de sécuriser son site WordPress avec HTTPS
Sécuriser son site WordPress avec HTTPS permet donc de protéger les données de vos utilisateur.rice.s. De plus, le protocole se révèle pratiquement obligatoire pour les sites e-commerce. En effet, sans lui, vous ne pourrez pas installer l’immense majorité des modes de paiement en ligne les plus courants qui le requièrent.
3. Qu’est-ce qu’un certificat SSL
Même s’il peut sembler mystérieux au premier abord, un certificat SSL WordPress n’est rien d’autre qu’un fichier contenant certaines informations qui est installé sur un serveur web. Sa présence sur le serveur permet de sécuriser son site WordPress avec HTTPS ainsi que les connexions entre le serveur et le navigateur d’un.e utilisateur.rice en les chiffrant. Il offre également la possibilité de vérifier l’identité d’un site pour s’assurer que celui-ci est authentique.
3.1 Chiffrement
Le chiffrement des informations se fait à l’aide d’un algorithme cryptographique basé sur un système utilisant deux clés : une clé publique pour chiffrer les données et une clé secrète pour les déchiffrer. Par ailleurs, le protocole HTTPS est utilisé pour échanger des informations entre les deux entités. Il permet non seulement de sécuriser les connexions, mais également d’empêcher l’interception des données pendant leur transfert.
3.2 Fonctionnement
Lorsque vous tentez d’accéder à un site qui utilise un certificat SSL et le protocole HTTPS, votre navigateur et le serveur web procèdent à une “négociation SSL” (le terme SSL handshake, autrement dit poignée de mains, est utilisé en anglais). Celle-ci dure à peine quelques millisecondes et elle permet au navigateur de vérifier qu’il peut faire confiance au certificat du serveur.
La négociation est réussie si le navigateur peut confirmer que le certificat à été émis par une autorité de certification de confiance en le comparant à une liste des autorités approuvées. Ensuite, la navigation sécurisée et le transfert de données chiffrées peuvent démarrer.
3.3 Évolution de la technologie
Aujourd’hui, on parle encore de certificat SSL pour Secure Sockets Layer, en anglais, alors que cette technologie est obsolète et n’est plus utilisée pour sécuriser son site WordPress avec HTTPS, ni mise à jour depuis très longtemps. Elle présente d’ailleurs des failles de sécurité connues.
Elle a donc été remplacée par le système TLS pour Transport Layer Security, en anglais. C’est pourquoi vous pourrez voir le terme “certificat SSL/TLS” apparaître en de nombreux endroits. Mais n’ayez crainte, plus personne n’utilise SSL, ce n’est qu’un abus de langage.
4. Quelle est l’utilité du certificat SSL WordPress
Le certificat SSL WordPress est indispensable pour protéger les informations des utilisateur.rice.s. Les données sensibles sont chiffrées grâce à lui. Il s’agit notamment des identifiants de connexion, comme les noms d’utilisateur et les mots de passe ; des données bancaires, comme les numéros de carte de crédit ; mais aussi des messages envoyés sur les formulaires de contact. Il est indispensable pour sécuriser son site WordPress avec HTTPS.
4.1 Marque de confiance
Le certificat SSL WordPress offre également des avantages qui ne sont pas directement liés à la sécurité. Par exemple, un site protégé par un certificat obtiendra un petit cadenas à côté de son URL dans la barre d’adresse du visiteur. Cette icône constitue immédiatement une marque de confiance pour ce dernier.
Par ailleurs, les sites non protégés sont aussi signalés dans le navigateur comme étant “non sécurisés”. Si vous n’êtes pas convaincu.e qu’un certificat est nécessaire pour établir la confiance avec vos utilisateur.rice.s, vous conviendrez tout de même que la mention “non sécurisé” ne donne pas une impression positive.
4.2 Meilleur signal pour le référencement et Google
Enfin, depuis plusieurs années déjà, Google prône l’utilisation de certificats SSL et la sécurisation des sites web. L’entreprise a d’ailleurs été plus loin puisqu’elle pénalise les sites n’utilisant pas de certificat. Sécuriser son site WordPress avec HTTPS ne permet pas forcément de mieux se classer dans les résultats de recherche, mais vous courez le risque réel d’être mal ou pas classé.e si vous ne le faites pas.
5. Que sont les autorités de certification
Un certificat SSL WordPress est émis et signé par une autorité de certification. Cette autorité représente un tiers de confiance et doit être reconnue comme tel par les navigateurs. Il existe donc des listes contenant les autorités de confiance dont les certificats sont considérés comme authentiques et sécurisés. Il est donc essentiel de sécuriser son site WordPress avec HTTPS en utilisant un certificat émis par un autorité sérieuse.
5.1 Problèmes de sécurité
Il est arrivé que l’une ou l’autre autorité de certification rencontre des failles de sécurité. Par conséquent, les certificats émis peuvent être falsifiés et ne seront donc plus considérés comme sécurisés. L’autorité est alors retirée de la liste des tiers de confiance.
D’ailleurs, si un certificat est bien présent sur le serveur, mais qu’il n’est pas reconnu par le navigateur, ce dernier affichera un message d’alerte sur la validité du certificat ou l’authenticité de celui-ci. Là non plus, le signal n’est pas positif pour l’image du site visité.
5.2 Let’s Encrypt
Depuis plusieurs années, Let’s Encrypt s’est imposée comme l’autorité de certification la plus importante. Cette organisation à but non lucratif offre des certificats gratuitement dans le but de sécuriser internet, mais surtout de protéger la vie privée des internautes.
Let’s Encrypt propose un seul type de certificat, Domain Validated, sur lequel nous reviendrons plus loin. Le succès de cette organisation réside dans le fait qu’elle est capable d’automatiser la totalité du processus d’émission des certificats.
6. Quel type de certificat choisir
Le certificat SSL WordPress se présente sous différentes formes. Selon le type, il contient plus ou moins d’informations sur le site qu’il protège. Grâce à ces dernières, un navigateur peut vérifier l’identité d’un site au moment de la “négociation SSL”, en plus de vérifier si l’autorité de certification qui a émis le certificat est digne de confiance.
Ceci est important pour les entreprises puisqu’elles peuvent ainsi éviter que leur identité ne soit usurpée par un site malveillant, par exemple. Pour les e-commerces notamment, c’est essentiel. Néanmoins, les certificats ne sont pas tous égaux et, en particulier, ceux proposés gratuitement ne présentent pas les mêmes garanties que les autres pour sécuriser son site WordPress avec HTTPS.
6.1 Certificat EV (Extended Validation)
Le certificat Extended Validation ou EV constitue le plus haut niveau de certification possible. C’est aussi celui qui coûte le plus cher, jusqu’à plusieurs centaines d’euros par an. Mais il n’est absolument pas nécessaire pour toutes les entreprises. Cependant, son prix est justifié par les nombreuses vérifications qui sont faites par l’autorité de certification avant de fournir le certificat.
L’entreprise doit prouver qu’elle est bien propriétaire du nom de domaine pour lequel le certificat est émis, mais aussi et surtout, elle doit prouver son identité légale. Tout ceci est vérifié par des équipes d’humains, d’où le prix élevé pour réaliser le processus. Par ailleurs, un nombre restreint d’autorités de certification sont habilitées à émettre ce type de certificats.
6.2 Certificat OV (Organisation Validation)
Ensuite, vient le certificat de type OV pour Organisation Validation, en anglais. Pour l’obtenir, une entreprise devra également prouver son identité légale et qu’elle est effectivement propriétaire du nom de domaine.
La différence avec les certificats EV réside dans le fait qu’ils peuvent être émis par un plus grand nombre d’autorités de certification. Cependant, les vérifications pour ce type de certificat sont également nombreuses.
6.3 Certificat DV (Domain Validated)
Le certificat DV ou Domain Validated, en anglais, est certainement le plus répandu sur internet. En effet, les vérifications à fournir pour l’obtenir sont beaucoup moins nombreuses puisqu’il suffit au propriétaire d’un site de prouver que le nom de domaine lui appartient.
C’est pourquoi ces certificats sont les plus courants, mais aussi les moins fiables puisqu’ils ont fait l’objet d’un nombre de vérifications minimal de la part de l’autorité de certification. Néanmoins, ils sont suffisants dans l’immense majorité des cas, et c’est ce type de certificat SSL WordPress que je vous recommande d’utiliser pour sécuriser votre site.
7. Comment obtenir un certificat SSL WordPress
Pour la majorité des propriétaires de sites, l’obtention d’un certificat SSL WordPress se fera par le biais de leur hébergeur. En effet, comme il doit être installé sur le serveur et pas sur le site, il revient le plus souvent à l’entreprise d’hébergement de proposer son installation.
Aujourd’hui, vu l’importance qu’ont pris les certificats SSL, presque tous les hébergeurs offrent ce service grâce à une installation facile qui permet de sécuriser son site WordPress avec HTTPS en cliquant sur quelques boutons. Vous devriez trouver une section “SSL/TLS” ou “certificats” dans l’interface de votre compte d’hébergement.
7.1 cPanel
Les utilisateur.rice.s de cPanel pourront cliquer sur l’icône “Let’s Encrypt”, si ce service est mis à disposition par l’hébergeur. Il suffira alors de suivre les étapes et de sélectionner le nom de domaine adéquat avant d’installer le certificat SSL WordPress.
Le processus est automatisé par Let’s Encrypt et le certificat doit être renouvelé tous les 90 jours. Cette étape est également automatisée et tant que le système ne rencontre pas de problème, vous n’aurez rien d’autre à faire.
7.2 Cloudflare
Par ailleurs, si votre hébergeur ne propose pas de certificat SSL WordPress ou que celui-ci dépasse votre budget, vous pourrez vous tourner vers Cloudflare. Il suffira d’y créer un compte et d’y ajouter un site en modifiant vos noms de serveur à l’endroit où est enregistré le nom de domaine.
Vous devrez sélectionner le mode SSL Flexible qui permet de chiffrer le trafic entre Cloudflare et vos utilisateur.rice.s. Notez que si votre serveur d’origine n’est pas doté d’un certificat, le trafic entre celui-ci et Cloudflare ne sera pas chiffré. Néanmoins, cette option reste bien meilleure que de ne pas du tout utiliser de chiffrement.
8. Modifier les liens de son site de HTTP vers HTTPS
L’étape suivante consiste à modifier les URL de votre site pour activer le protocole HTTPS. Il est possible d’effectuer ceci soit à l’aide d’une extension soit manuellement. Le but est de transformer toutes les URLs de HTTP vers HTTPS et de rediriger l’ensemble des requêtes HTTP vers HTTPS.
8.1 Really Simple SSL, l’extension ultra simple
Après installation, cette extension ne demande presque pas de configuration. Elle se charge de modifier vos liens non sécurisés en HTTPS et de faire les redirections nécessaires. Elle règle également le problème des contenus mixtes. Ces pages présentent à la fois du contenu HTTP et HTTPS ce qui empêche de sécuriser son site WordPress avec HTTPS. Pour qu’un site soit entièrement sécurisé, il ne doit s’y trouver que du contenu HTTPS.
8.2 Faire un “rechercher – remplacer”
Vous pouvez également modifier vos liens HTTP en HTTPS en installant l’extension Better Search Replace et en faisant un “rechercher-remplacer” pour http://votrenomdedomaine.tld
vers https://votrenomdedomaine.tld
. Ceci vous permet de corriger les erreurs de contenu mixte, mais ne résoudra pas le problème de redirection.
9. Effectuer les redirections
Il est aussi très important de rediriger toutes les URL de votre site de HTTP vers HTTPS. Ainsi, lorsque quelqu’un visite votre site, c’est la version HTTPS qui s’affichera automatiquement, même si la personne a saisi l’adresse avec le protocole HTTP.
L’extension mentionnée plus haut, Really Simple SSL, se charge d’effectuer les redirections automatiquement. Après l’avoir installée, vous n’avez donc plus rien à faire. Par ailleurs, certains hébergeurs effectuent aussi les redirections automatiquement lorsque vous installez un certificat SSL WordPress.
9.1 Vérifier les redirections
Pour vérifier si vos URL sont redirigées correctement, il suffit de saisir une URL de votre site en la précédant du protocole HTTP et de vérifier si la redirection est effective. Assurez-vous de réaliser ce test avec plusieurs URL différentes ainsi qu’avec et sans le sous-domaine “www”.
Si les URLs ne sont pas redirigées ou si vous accédez à une version HTTP d’une page, il faudra alors recommencer le processus de redirection. En effet, ces redirections sont essentielles pour sécuriser son site WordPress avec HTTPS.
10. Modifier Google Search Console et Google Analytics
La dernière étape pour sécuriser son site WordPress avec HTTPS consistera à ajouter la version HTTPS du site aux services de Google que vous utilisez. Cette étape n’est pas nécessaire si vous avez ajouté votre domaine complet à Search Console et si vous utilisez Google Analytics 4.
Dans les autres cas, si la version HTTP de votre site était enregistrée dans ces services, il faudra y ajouter la version HTTPS dans le cas de Search Console et modifier le protocole dans le cas d’Analytics.
11. Conclusion : sécuriser son site WordPress avec HTTPS
Bien qu’il y ait eu de nombreuses réticences pour passer du HTTP au HTTPS entre les années 2014 et 2018, aujourd’hui, sécuriser son site WordPress avec HTTPS s’impose comme une évidence. Il est incontournable d’installer un certificat SSL WordPress sur un nouveau site. C’est aussi, d’ailleurs, le meilleur moment pour l’installer. Si votre site n’est pas encore sécurisé, je vous recommande d’en faire une priorité.