La procédure permettant de sécuriser son site WordPress en HTTPS est relativement simple. Cependant, il peut être nécessaire de s’attarder un peu sur le sujet. Le HTTPS (HyperText Transfer Protocol Secure) est la version crypté du HTTP qui est le principal protocole utilisé pour transférer des données sur le Web.
De ce fait, le HTTPS protège la communication entre votre navigateur et votre serveur contre l’interception de données. En effet, cela permet de garantir la confidentialité et la sécurité des données transitant sur le Web.
Pourquoi passer votre site WordPress en HTTPS ?
Depuis quelques années déjà, Google privilégie les sites en HTTPS lors du référencement sur son moteur de recherche. Depuis, tous les sites en HTTP sont notés comme non sécurisé sur tous les navigateurs Web. De ce fait, cela conduit à un mauvais référencement. Mais également à donner une mauvaise impression de votre entreprise à cause de cet avis « non sécurisé. » Car de plus en plus d’internautes refusent de payer sur un site qui n’a pas un certificat SSL.
De plus, si vous désirez mettre en place une boutique en ligne, le SSL devient obligatoire. En effet, une majorité des sociétés de paiement vous demanderont de disposer d’un site en HTTPS avant de pouvoir accepter leurs moyens de paiement. C’est le cas par exemple pour Stripe ou Paypal.
Choix de votre certificat SSL
Il existe à ce jour, de nombreux sites qui proposent des certificats SSL payants tels que Trustico ou Comodo par exemple. Il peut être de ce fait très difficile de choisir le certificat répondant à vos besoins. En effet, il existe différents types de certificat qui sont les suivants:
- Validation du domaine : Il s’agit du certificat SSL le plus simple et le plus rapide à déployer sur votre site dans la mesure où ce dernier n’a besoin que d’une vérification au niveau du domaine.
- Vérification de l’entreprise : Pour souscrire à ce type de certificat , il sera nécessaire d’authentifier votre entreprise auprès de la société vous le fournissant.
- Validation Étendue : Un examen approfondie de votre entreprise est effectuée avant de vous délivrer le certificat.
Vous pouvez aussi opter pour le certificat SSL Let’s Encrypt. Ce certificat est disponible sur toutes les formules d’hébergement Web proposées par LWS.
Comment activer son certificat SSL
La procédure peut être différente selon le type de formule que vous disposez ( Formule mutualisé, Formule cPanel ou VPS sous ISPConfig).
Activer HTTPS sur une formule mutualisée
Sur une formule mutualisée, vous avez la possibilité d’activer le SSL en vous rendant sur votre espace client, cliquez sur « Domaine et hébergement » puis sur « Admin« . Cliquez ensuite sur le bouton « SSL » se trouvant dans la rubrique « Outils Web, script« .
Sélectionnez « Activer » et « Let’s Encrypt » Cliquez ensuite sur le bouton « Valider« .
Activer HTTPS sur une formule cPanel
Sur une formule cPanel, vous avez la possibilité d’activer le certificat SSL en vous rendant sur votre interface cPanel et en cliquant sur « Let’s Encrypt SSL » se trouvant dans la rubrique « Sécurité« .
Cliquez sur l’onglet « Issue » se trouvant derrière le nom de domaine pour lequel vous désirez activer le SSL.
Choisissez ensuite entre :
- http-01 : Si vous avez lié votre domaine à votre cPanel en modifiant la Zone DNS
- dns-01 : Si vous avez modifié les serveurs DNS pour lier votre nom de domaine à votre cPanel.
Cliquez sur « Issue » pour activer le certificat SSL.
Comment passer votre site WordPress du HTTP au HTTPS ?
Afin de pouvoir basculer votre site WordPress en HTTPS, il est impératif d’installer dans un premier temps, votre certificat SSL. Vous pouvez ensuite vérifier que le certificat soit bien installé en vous rendant sur https://votredomaine.com (remplacez votredomaine.com par votre nom de domaine).
Si cela fonctionne, il vous faudra dans un second temps, modifier tous les liens de votre site pour les liens en HTTPS. Avant d’effectuer cette action, il est préférable de sauvegarder votre base de données.
Afin de modifier les liens, connectez-vous à votre Tableau de bord WordPress, cliquez sur « Réglages » puis sur « Général« . Modifiez les liens de votre site de HTTP à HTTPS dans les champs suivants :
- Adresse Web de WordPress
- Adresse Web du site
Afin de forcer le SSL lors de l’accès à votre Tableau de bord WordPress, assurez-vous que la variable FORCE_SSL_ADMIN soit bien sur « true » sur votre fichier wp-config.php. La ligne est la suivante :
define ( 'FORCE_SSL_ADMIN' , true);
Vous pouvez aussi, si vous le désirez, utiliser un plugin tel que Really Simple SSL ou WP Force https afin de passer votre site en HTTPS.
Il est cependant possible que malgré tout cela, votre site ne soit pas totalement sécurisé. Dans ce cas, vous devriez voir à la place du cadenas, un point d’exclamation et la mention disant que votre site n’est pas entièrement sécurisé. Cela signifie que certaines partie de votre site sont toujours en HTTP et non en HTTPS. Cela peut être des liens externes, des liens vers des images ou un plugin posant problème. Dans ce cas, vous pouvez ajouter la directive suivante dans votre fichier .htaccess :
Header always set Content-Security-Policy "upgrade-insecure-requests;"
Cette directive est un moyen de résoudre le problème de mixed-content au niveau de votre site internet.
HTTPS, en conclusion
Vous êtes désormais en mesure de passer votre site WordPress en HTTPS sur votre formule d‘hébergement web LWS. La mise en place d’un certificat SSL est importante. En effet, il s’agit d’un des paramètres pris en compte pour le classement de votre site dans les principaux moteurs de recherche. Mais également pour assurer la sécurité des données de vos clients et la confiance qu’ils peuvent avoir envers votre site web