Passer son site WordPress en mode sécurisé, en https

Passer son site WordPress en mode sécurisé, en https

Le week-end dernier, j’ai passé mon site, Artiref (ici même), en mode sécurisé. C’est-à-dire que la liaison entre mon serveur web (un bête mutualisé OVH) et le navigateur de l’internaute est sécurisée, est cryptée. Cela ne fait rien d’autre que de crypter, avec le protocole SSL, les données transférées entre le serveur et l’ordinateur du visiteur, mais c’est déjà pas mal.

Comme souvent, vous me connaissez, j’ai partagé cette information sur Facebook et plusieurs m’ont demandé d’en faire un petit article pour partager ma procédure. Voilà comment je suis passé d’un site non sécurisé (http) à un site sécurisé (https). Attention, c’est ma procédure, ce n’est peut-être pas celle qu’il vous faut, elle peut être incomplète, je ne suis pas technicien, juste passionné.

Comment savoir si votre site est sécurisé ?

Il suffit de vérifier, en allant sur votre site, si l’adresse commence par https et non http. Inutile de vous dire que le « s » est là pour indiquer que le site est sécurisé.
Un cadenas apparait aussi pour indiquer que la liaison est sécurisée.
Il y a plusieurs niveaux de sécurisation, je ne vais pas entrer dans ces détails.
Un des « pièges » est de sécuriser certains éléments (une page par exemple) et d’en oublier d’autres (une photo), votre site sera alors « semi-sécurisé« .

Pourquoi sécuriser son site ?

C’est avant tout Google qui a modifié les comportements. Google se positionne comme un des garants du web. Nombre de ses services sont sécurisés, comme Gmail, la recherche, Gdrive, etc. D’ailleurs de nombreux services/sites sont sécurisés, à commencer par Facebook, mais aussi Booking, Tripadvisor, etc. Bref la sécurisation est en train de devenir une norme sur le web.
Dès 2014 Google annonçait un « bonus » dans le référencement (classement) pour les sites offrant la sécurisation. Depuis cette annonce, un tiers des sites proposent le https.
Les dernières annonces de Google montrent que les sites non-sécurisés seront prochainement pénalisés en termes de référencement. Le navigateur Chrome (et les autres vont suivre) va prochainement signaler les sites non sécurisés…

Bref, j’ai sécurisé pour:
améliorer la confiance des visiteurs
– ne pas perdre en confiance avec les messages d’alertes de certains navigateurs
– répondre à la demande de Google pour avoir un bonus « SEO »
– répondre à la demande Google pour ne pas être pénalisé
– pour sécuriser mon site (la bonne blague)

 


Écoutez attentivement cette vidéo si vous voulez vraiment en savoir plus sur le https.

Comment sécuriser son site ?

Alors là, c’est la bonne question. La majorité d’entre vous devront passer par un professionnel, votre agence web par exemple. Les bricolo, comme moi, vont pouvoir le faire eux-mêmes. Il m’a fallu 3-4 heures pour le faire, c’est la sauvegarde totale qui m’a pris le plus de temps (je me suis planté).
Mon site tourne grâce à WordPress, un gestionnaire de contenu de référence.
La première chose à avoir est un certificat SSL, la clef de cryptage qui va sécuriser les échanges. Mon site est hébergé sur un serveur mutualisé OVH (quelques dizaines d’euros par an) et OVH offre un certificat à tous ses clients. En fait ce n’est pas eux qui offrent, ils mettent à disposition, c’est Let’s Encrypt qui offre ce certificat. Où que vous soyez, vous devriez pouvoir bénéficier de ce certificat gratuit.
Attention, passer en https, c’est comme si vous changiez de nom de domaine, il y a des précautions à prendre, notamment en terme de référencement et de navigabilité, il faut rediriger les adresses (en gros, c’est comme quand vous déménagez, vous indiquez à la poste votre nouvelle adresse pour qu’ils fassent suivre le courrier. Il faut faire de même et indiquer les nouvelles adresses (nouveau nom de domaine) pour faire suivre les visiteurs…).

Ensuite, voilà ma procédure, que j’ai écrite en glanant des infos à droite et à gauche.
Elle est adaptée pour mon site sous WordPress et sous OVH.

  • Sauvegarder la base de données SQL en passant par phpmyadmin
  • Sauvegarder les fichiers du site en passant par un client FTP
  • En profiter pour mettre à jour WordPress dans sa dernière version. Faire de même avec les extensions et toutes les mises à jour disponibles.
  • Activer Https dans l’interface OVH (à priori pas besoin, c’est activé par défaut)
  • Rediriger tout le trafic de http vers https en l’indiquant dans le fichier .htaccess (par ftp)
  • Modifier toutes les redirections existantes pour les faire pointer vers https
  • Modifier l’URL du site et de la racine dans les paramètres WordPress
  • Modifier tous les liens internes http://www.artiref par https://www.artiref
  • Modifier Google Analytics
  • Modifier Google Search Console (anciennement Google Webmaster Tools)
  • Vérifier Robots.txt et sitemap.xml
  • Vérifier que l’admin WordPress est bien en https
  • Vérifier les plug-in et les extensions
  • Modifier les liens externes « puissants » pointant vers mon site (Facebook, Twitter, Scoop.it, LinkedIn, quelques footer à droite et à gauche)
  • Vérifier que l’intégralité du site est sécurisée

Voici ma ligne de code pour la redirection totale vers https

RewriteEngine OnRewriteCond %{SERVER_PORT} 80 RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
J’avais déjà des redirections pour gérer avec www et sans www.

Voici les requêtes SQL effectuées pour modifier tous les liens internes

# Changer l’URL du site
UPDATE wp_options
SET option_value = replace(option_value, ‘http://www.artiref.com’, ‘https://www.artiref.com’)
WHERE option_name = ‘home’ OR option_name = ‘siteurl’;

# Changer l’URL des GUID
UPDATE wp_posts
SET guid = REPLACE (guid, ‘http://www.artiref.com’, ‘https://www.artiref.com’);

# Changer l’URL des médias dans les articles et pages
UPDATE wp_posts
SET post_content = REPLACE (post_content, ‘http://www.artiref.com’, ‘https://www.artiref.com’);

# Changer l’URL des données meta
UPDATE wp_postmeta
SET meta_value = REPLACE (meta_value, ‘http://www.artiref.com’,’https://www.artiref.com’);

Voilà, votre site est sécurisé, il apparaitra comme tel d’ici quelques jours dans les pages de résultats de Google et immédiatement sur votre navigateur.

Télécharger cette procédure au format PDF

5 Comments

  1. 26 juillet 2017 at 12 h 17 min

    La prochaine étape sera de laisser Wordpress pour un logiciel récent et bien mieux codé, Wordpress est une vrai deux chevaux. Son seul avantage sa simplicité, mais c'est un codage méga lourd non adapté en 2017 .... et Google le souligne souvent, comme il le faisait pour le https, un site mal codé et lent sera aussi pénalisé
    https://developers.google.com/speed/pagespeed/insights/?hl=fr&url=https%3A%2F%2Fwww.artiref.com&tab=desktop

    1. 26 juillet 2017 at 12 h 43 min

      C'est certainement vrai, en attendant, c'est WP qui a permis aux millions de blog de se monter et aux millions de rédacteurs de partager avec le monde. Avant de passer à un autre CMS (artiref était sous Joomla initialement), je vais attendre de voir le sort réservé aux sites internet dans le futur .... c'est pas dit que le site internet ait toujours sa (autant de) place... mais ca c'est une autre question

  2. Rémi
    12 septembre 2017 at 13 h 52 min

    Bonjour,
    Vous soulignez l'importance d'appliquer votre certificat SSL à tout le site et non pas que la page d'accueil et pourtant c'est ce qu'on retrouve actuellement sur le votre.

    Par exemple, cette page-ci n'est pas sécurisée alors que votre page d'accueil l'est, je vous conseille d'installer un plugin Wordpress (il y en a plein qui le font très bien) ou d'aller directement dans votre .htaccess pour forcer les redirections vers le HTTPS.

    1. 14 septembre 2017 at 8 h 46 min

      Bonjour Remi,
      Vous avez l’œil ...
      Je ne sais pas ce qui s'est passé, vous êtes plusieurs à m'avoir signalé cela, mais je ne l'ai pas constaté et l'intégralité des pages de mon site sont bien sécurisés ..
      Encore un mystère de l'informatique ...
      Merci de signalement en tout cas et bonne journée
      Thomas

  3. Anthony
    24 septembre 2018 at 15 h 19 min

    Super article, j'ai suivi tout ton programme merci ;) j'ai un site sécu maintenant !!!