Pour tout webmaster, s’assurer que son site Web utilise le protocole HTTPS devrait être une priorité absolue. Une étude récente montre que plus de 42 % des administrateurs de sites sur le Web utilisent WordPress, et beaucoup de ces sites n’ont toujours pas de certificat SSL installé.
- L’importance du SSL
- Protection des données en transit
- Installer WP Cloudflare Super Page Cache
- Détection automatique de SSL avec le plugin
- Mettre à jour l’adresse URL de votre blog
- Ajouter HTTPS dans votre fichier wp-config.php
- Forcer HTTPS dans votre base de données
- Mettre à jour votre URL sur les outils d’analyses
- Conclusion
L’importance du SSL
Au cours des dernières années, le SSL est devenu de plus en plus important. Il est non seulement crucial pour la transmission sécurisée d’informations vers et depuis un site Web, mais aussi en termes de visibilité dans les moteurs de recherche. L’installation du protocole SSL peut réduire les risques de pénalisation par les autorités du site Web et devrait toujours faire partie de la stratégie de sécurité d’un site Web.
Protection des données en transit
Les certificats SSL protègent essentiellement l’intégrité des données en transit entre l’hôte (serveur web et/ou pare-feu) et le client (navigateur web). Ils font office de barrière pour empêcher la visibilité ou la modification des données. Un certificat SSL ne protège toutefois pas les sites web contre le piratage.
Le SSL ne fonctionne que pour protéger les données en transit.
Comment les sites HTTP sont pénalisés
Les autorités des sites Web telles que Google sont connues pour pénaliser les sites non-HTTPS depuis un certain temps déjà. En 2017, Google a modifié son approche du traitement des sites HTTP. Avoir un certificat SSL a été un facteur important pour le référencement et la sécurité, mais maintenant cela montre que le site prend la sécurité plus au sérieux qu’un site non-HTTPS le ferait généralement.
Dans la version 68 du navigateur Chrome de Google, publiée en juillet 2018, il affiche un avertissement « Non sécurisé » pour les sites Web qui ne disposent pas d’un certificat SSL.
Meilleur classement dans les moteurs de recherche
Les sites Web HTTPS ont généralement tendance à être mieux classés sur les moteurs de recherche tels que Google. Depuis 2014, le SSL est un signal de classement pour le SEO et fait partie des caractéristiques du site qui déterminent sa position parmi les moteurs de recherche.
En réalité, ce n’est pas tant les sites HTTPS qui sont mieux classés que les sites HTTP qui sont moins bien positionnés. A l’instar d’un site qui n’est pas responsive, les autorités du web telles que Google sanctionnent ce manquement.
Comment ajouter un certificat SSL à un site WordPress
Pour installer un certificat SSL sur un site WordPress, vous devrez d’abord en acheter un auprès d’une autorité de certification, comme IONOS, ou utiliser un certificat gratuit de Let’s Encrypt.
Certains hébergeurs web fournissent également des certificats SSL à leurs clients. C’est le cas notamment pour PlanetHoster qui intègre Let’s Encrypt. L’avantage de PlanetHoster est que le certificat SSL est pré-activé. Il sera donc inutile d’en générer un à chaque nom de domaine ajouté sur votre offre contrairement à OVH ou O2switch.
Cloudflare : un certificat SSL gratuit et plus encore
Une autre alternative à Let’s Encrypt est d’utilisé Cloudflare. CloudFlare vous permets de bénéficier d’un certificat SSL, mais également de cacher vos DNS, active une protection contre les attaques DDoS, mais aussi minifier votre HTML, CSS et JS.
Comment installer SSL/HTTPS dans WordPress
Avant d’installer SSL/HTTPS sur votre site WordPress, vous devez avoir généré un certificat SSL valide téléchargé sur votre serveur ou CDN. Vous pouvez contacter votre hébergeur ou votre CDN pour demander de l’aide pour cette étape.
Vous trouverez ci-dessous les étapes de l’installation de SSL/HTTPS sur un site WordPress. Vous pouvez soit le faire manuellement, soit utiliser un plugin pour vous aider. Si vous choisissez d’ajouter un SSL à WordPress manuellement, vous devrez modifier certains fichiers et résoudre certains problèmes.
Installer SSL/HTTPS avec Cloudflare
Si vous avez opté pour Cloudflare, il est recommandé d’utiliser le plugin WP Cloudflare Super Page Cache. Ce n’est pas le plugin officiel développé par Cloudflare, mais il a le mérite d’être plus simple à configurer.
Au préalable, connectez-vous sur votre compte Cloudflare et rendez vous sur la page API Token. Enfin récupérez votre Global Key API.
Installer WP Cloudflare Super Page Cache
Depuis votre tableau de bord, allez dans Extensions puis cliquez sur Ajouter. Saisissez » WP Cloudflare Super Page Cache » développé par Optimole.
Une fois le plugin installé et activé, cliquez sur Settings pour le paramétrer.
Vous pouvez ensuite régler les autres paramètres dans les différents onglets, pour la mise en cache de votre contenu, le préchargement des pages …
Installer SSL/HTTPS avec Let’s Encrypt et autres
Télécharger un plugin Really Simple SSL
L’un des plugins les plus utilisés pour passer de HTTP à HTTPS est le plugin Really Simple SSL développé par Rogier Lankhorst et Mark Wolters. Ce plugin détecte automatiquement les nouveaux paramètres du site Web, et le configure pour qu’il fonctionne en HTTPS. Vous pouvez télécharger ce plugin depuis le dépôt officiel de WordPress ou via votre tableau de port.
Détection automatique de SSL avec le plugin
Le plugin devrait détecter automatiquement le certificat SSL installé et configurer WordPress pour qu’il utilise HTTPS avec celui-ci. Vous devrez d’abord exécuter le plugin dans votre tableau de bord d’administration, puis naviguer vers Réglages > SSL.
Dans un premier temps vous allez tout simplement cliquer sur le bouton Activer SSL comme sur la capture d’écran suivante. Si le certificat SSL est activé, il sera détecté.
Si votre SSL a été détecté, vous devriez pouvoir à présent accéder aux réglages. Il est recommandé de procéder aux réglages suivants :
Le correcteur de contenu mixte permet de corriger les contenus qui sont restés en HTTP sur votre blog, tels que des liens ou des médias. Il les basculera en HTTPS.
La redirection 301 WordPress est une redirection permanente en PHP, qui permet de rediriger tout le trafic HTTP vers HTTPS.
La redirection .htaccess 301 a la même vocation que celle en PHP mais elle s’exécute auprès du serveur
Valider les réglages en cliquant sur Enregistrer.
Mettre à jour l’adresse URL de votre blog
Il est possible que Really Simple SSL est déjà effectué cette opération. Si ce n’est pas le cas, depuis le Tableau de bord, cliquez sur Réglages > Général.
Modifiez ensuite l’adresse WordPress puis celles du site (généralement la même) en modifiant le protocole http > https, comme sur la capture ci-dessous.
Il est probable que WordPress vous déconnecte à ce moment précis. Il suffit de vous reconnecter avec vos identifiants.
Ajouter HTTPS dans votre fichier wp-config.php
Pour parfaire votre configuration vous pouvez ajouter la constante ci-dessous pour forcer l’utilisation du protocole HTTPS dans le Tableau de bord ainsi que la sa connexion. Ce code est à ajouter manuellement dans votre votre fichier wp-config.php qui se situe à la racine du site.
// Force le protocole HTTPS dans le tableau de bord define('FORCE_SSL_ADMIN', true); define(‘FORCE_SSL_LOGIN’, true);
Forcer HTTPS dans votre base de données
Afin d’éviter les erreurs de contenu mixte, vous pouvez simplement modifier toutes les URL de votre base de données qui apparaissent encore sous HTTP.
Vous pouvez également utiliser un plugin qui recherche et remplace les URL pour vous, tel que Better Search Replace développé par Delicious Brain. Installez et activez le plugin et depuis le Tableau de bord cliquez sur Outils > Better Search Replace. Remplissez les champs Rechercher et Remplacer par comme ci-dessous, puis cliquez sur Lancer un rechercher/remplacer.
Mettre à jour votre URL sur les outils d’analyses
Que vous utilisiez Google Analytics ou bien encore Yandex Metrica, il faudra mettre à jour l’URL de votre site en modifiant le protocole de HTTP vers HTTPS.
Conclusion
SSL protège les informations en transit, ce qui offre un gage de sécurité et de confidentialité à ses utilisateurs. Les données envoyées sont cryptées entre les visiteurs et les serveurs web. Cependant, avoir un site Web HTTPS ne signifie pas que le site est protégé contre les attaques et les infections. Il ne s’agit essentiellement que d’une pièce du puzzle de la sécurité des sites web. Il y a d’autres réglages à mettre en œuvre pour protéger de manière efficace votre WordPress contre les tentatives de hacking.