Comment passer son site en https ?

Depuis plusieurs années, Google recommande de sécuriser son site grâce à un certificat SSL/TLS. La plupart des blogs sont hébergés chez des fournisseurs classiques, comme OVH.

OVH fait partie des hébergeurs qui soutiennent l’autorité de certification Let’s Encrypt, laquelle délivre gratuitement un certificat SSL/TLS de base.

Un certificat payant, offrant de vraies garanties, est généralement nécessaire pour un site e-commerce. Mais pour un simple blog, où aucune donnée sensible n’est partagée, la solution gratuite est largement suffisante.

En fait, tous les sites OVH ont par défaut la possibilité de sécuriser gratuitement leur site, en passant du protocole http:// au https://.

Comme indiqué sur leur site :

« Le certificat SSL est dorénavant inclus dans toutes les offres Hébergement Web, et activera le protocole « HTTPS », par défaut et gratuitement. »

Vérifier le statut de son site

Pour savoir si votre site bénéficie déjà d’un certificat SSL/TLS, tapez simplement son adresse en commençant par https:// au lieu du classique http://.

Si votre blog s’affiche correctement, avec le petit cadenas et le protocole https, cela signifie que votre hébergeur propose par défaut la certification gratuite et que vous y avez droit.

Nous allons voir ici comment l’activer par défaut et de manière permanente.

Le temps nécessaire pour effectuer la procédure dépend du nombre d’outils que vous utilisez autour du site et des éventuels liens qui redirigent vers votre blog. En général, vous pouvez terminer le transfert en environ une heure.

Si vous avez une grosse audience et que vous utilisez Google AdSense, renseignez-vous avant pour vérifier si vos annonces sont pleinement compatibles avec le protocole HTTPS. Beaucoup de blogueurs ont constaté une baisse de revenus pouvant aller jusqu’à -50 % suite au changement de protocole.

Pour les autres, le passage à HTTPS présente plusieurs avantages : sécurisation de votre site et, sur le long terme, un meilleur positionnement dans les résultats de recherche.

Vérifier que vous avez bien droit à la certification Let’s Encrypt

  1. Connectez-vous à votre compte OVH.
  2. Rendez-vous dans l’onglet « Hébergement ».
  3. Sur la page de votre hébergement, vérifiez la mention « Certificat SSL – Oui ».

Si cette mention apparaît, votre site bénéficie déjà d’un certificat SSL et peut être sécurisé en HTTPS.

Si vous voyez « Oui » ou « Activé » (selon votre hébergeur), cela signifie que la certification Let’s Encrypt est déjà installée par défaut sur votre site.

La redirection vers votre nouvelle adresse sécurisée

Pour que votre site soit accessible en HTTPS de façon permanente, il faut rediriger toutes les requêtes vers la nouvelle adresse.

Pour ce faire :

  • Ouvrez FileZilla ou votre logiciel FTP habituel.
  • À la racine de votre blog, localisez le fichier .htaccess.
  • Ouvrez-le et, à la fin du fichier, ajoutez les lignes suivantes :

# Redirection vers HTTPS
RewriteCond %{SERVER_PORT} ^80$ [OR]
RewriteCond %{HTTPS} =off
RewriteRule ^(.*)$ https://votresite.com/$1 [R=301,L]

# Redirection du www vers non-www en HTTPS
RewriteCond %{HTTP_HOST} ^www\.monsite\.com [NC]
RewriteRule ^(.*)$ https://votresite.com/$1 [R=301,L]

Si votre site commence avec les ‘www‘, modifiez ce bout de code de la manière suivante :

# Redirection vers HTTPS
RewriteCond %{SERVER_PORT} ^80$ [OR]
RewriteCond %{HTTPS} =off
RewriteRule ^(.*)$ https://www.votresite.com/$1 [R=301,L]

# Redirection du non-www vers www en HTTPS
RewriteCond %{HTTP_HOST} ^monsite.com [NC]
RewriteRule ^(.*)$ https://www.votresite.com/$1 [R=301,L]

Enregistrez puis fermez le fichier.

Voici un outil pratique pour vérifier que votre site fonctionne correctement après avoir effectué les modifications.

Modifier toutes les url du site

Il va maintenant falloir modifier toutes les URL de votre site pour qu’elles utilisent le nouveau protocole HTTPS.

Pour cela, un outil très pratique et largement utilisé pour travailler sur les bases de données est le script Search and Replace développé par Interconnect/IT.

Rendez-vous sur la page officielle, inscrivez-vous à la newsletter et vous recevrez par e-mail le lien de téléchargement.

Une fois le fichier téléchargé, décompressez le ZIP et, pour plus de simplicité, renommez le dossier intérieur comme vous le souhaitez (par exemple toto ou searchandreplace). Le nom n’a pas d’importance.

Ensuite, installez le dossier via votre FTP à la racine de votre blog, au même niveau que les dossiers wp-content, wp-admin et wp-includes.

Vous obtiendrez ainsi une arborescence de ce type :

/votre-dossier-search-and-replace-renommé
/wp-admin
/wp-content
/wp-includes

Maintenant, rendez-vous à l’adresse de votre site, suivi du nom du dossier.. Tapez : http://www.monsite.com/mondossiersearchandreplace ou http://monsite.com/mondossiersearchandreplace.

Pensez à renommer votre dossier de manière simple, afin de pouvoir taper l’URL plus rapidement dans votre navigateur.

Lorsque vous accédez à la page du script, celle-ci est très intuitive :

  • Dans la case « Replace », saisissez votre ancienne adresse (par exemple http://www.monanciensite.com).
  • Dans la case « With », entrez votre nouvelle adresse sécurisée (par exemple https://www.monnouveausite.com).
  • Dans la section « Database », renseignez le nom de la base de données, l’utilisateur, le mot de passe et le host. Tous ces éléments vous ont été fournis par e-mail lors de l’achat de votre hébergement.
  • Laissez cochée la case « All tables » pour que la modification s’applique à l’ensemble de la base.

Une fois toutes ces informations saisies, lancez d’abord un « dry run ». Cela permet de tester l’opération et de vérifier le résultat table par table, sans apporter de modifications définitives à votre base de données.

Une fois le test effectué et les changements vérifiés, vous pouvez lancer le « live run », qui modifiera définitivement toutes vos URL.

Ensuite, retournez sur la page du script et cliquez sur « Delete » : cela supprimera automatiquement le dossier Search and Replace de la racine de votre blog.

Vérifier ses url sur son site wordpress

Vous pouvez maintenant vérifier dans votre backoffice que le changement a bien été pris en compte : allez dans Réglages > Général. Les champs « Adresse web de WordPress (URL) » et « Adresse Web du site (URL) » devraient désormais afficher le protocole https.

Ensuite, rendez-vous dans Réglages > Permaliens et réenregistrez vos permaliens pour finaliser la mise à jour.

Régler les problèmes de mixed content

Normalement, tout devrait être correct. Dans le cas contraire, en parcourant votre site, vous pourriez voir un petit point d’exclamation dans la barre d’adresse à la place du cadenas vert. Cela indique que la page contient du « mixed content », c’est-à-dire des fichiers appelés avec une adresse en http:// au lieu de https://.

Il s’agit souvent d’adresses codées en dur dans vos pages, ou d’appels à des fichiers utilisant encore le protocole HTTP, comme un script JavaScript ou un fichier CSS. Il vous faudra rajouter un « s » à ces adresses pour les rendre sécurisées.

Les navigateurs bloquent généralement l’accès à ces ressources pour les visiteurs. Par exemple, si vous chargez une vidéo ou une image via un lien en http, celle-ci risque de ne pas s’afficher.

Pensez à vérifier en particulier :

  • vos fichiers header.php et footer.php,
  • et tous les appels à des fichiers depuis votre page builder, si vous en utilisez un dans votre thème.

Forcer le https dans l’admin du site

Via votre outil FTP, ouvrez le fichier wp-config.php situé à la racine de votre blog.

Ajoutez ensuite la ligne suivante dans le fichier. Comme il y a déjà plusieurs lignes commençant par define, placez cette nouvelle ligne juste en dessous des autres :

define(‘FORCE_SSL_ADMIN’, true);

Cela forcera l’utilisation du HTTPS dans l’interface d’administration de WordPress.

Le fichier Robot.txt

À la racine de votre blog, via votre logiciel FTP, ouvrez le fichier robots.txt.

Si certaines URL utilisent encore le protocole http://, modifiez-les pour qu’elles soient en https:// afin que tous les moteurs de recherche pointent vers les versions sécurisées de vos pages.

Mettre à jour votre Google Analytics

Vous utilisez probablement Google Analytics pour suivre les données de votre site. Sur la page d’accueil, ouvrez l’onglet Administration situé tout en bas à gauche.

Si vous gérez plusieurs sites, sélectionnez votre site dans le volet de gauche, sous « Compte ».

Dans le volet central, sous « Propriété », cliquez sur le premier onglet « Paramètres de la propriété ».

Sur la page qui s’ouvre, repérez l’onglet « URL par défaut ».

Dans le petit menu déroulant grisé, sélectionnez https://.

Ensuite, dans le volet de droite de la fenêtre précédente, sous « Paramètres de la vue », faites de même : repérez l’onglet « URL par défaut » et choisissez https://.

Vérifier son certificat SSL

Rendez-vous sur l’adresse suivante pour vérifier la fiabilité de votre certificat

Des plugins wordpress pour vous aider

Pour vous accompagner dans cette démarche, vous pouvez utiliser des plugins, plus ou moins fiables selon leurs fonctionnalités.

Rendez-vous sur cette page pour trouver l’extension adaptée à vos besoins.

Google Search Console

Concernant Google Search Console, l’option « changement d’adresse » ne marche pas, puisque Google considère le http: et le https: comme deux url différentes.

Il est donc recommandé de recréer les propriétés pour votre nouvelle adresse avec toutes ses variantes.

Suivez les recommandations de Google depuis l’adresse suivante 

Vous avez déjà en principe deux adresses pour un site et il faudra donc créer deux nouvelles propriétés : on se retrouve donc avec 4 adresses pour le même site. (http://monsite.com  – http://www.monsite.com -https://monsite.com et https://www.monsite.com )

Pour Google Search Console, l’option « Changement d’adresse » ne fonctionne pas, car Google considère les versions http:// et https:// comme deux sites distincts.

Il est donc recommandé de recréer les propriétés pour votre nouvelle adresse, en incluant toutes ses variantes.

Suivez les recommandations officielles de Google à cette adresse : Support google

En principe, vous aviez déjà deux adresses pour votre site. Avec la version sécurisée, vous devrez donc créer deux nouvelles propriétés, ce qui vous donnera au total quatre adresses pour le même site :

  • http://monsite.com
  • http://www.monsite.com
  • https://monsite.com
  • https://www.monsite.com

Les autres modifications

Pensez à mettre à jour les adresses liées à votre ancienne URL dans vos plugins. Par exemple, le plugin Google Analytics Dashboard ne prendra pas automatiquement en compte votre nouvelle adresse. Vous pouvez désactiver, puis réactiver le plugin pour qu’il reconnaisse votre URL par défaut avec le https://. Attention : comme il s’agit d’une nouvelle propriété, toutes vos données repartiront à zéro.

Il en va de même pour les plugins de partage : tous les liens pointant vers votre site depuis vos pages Twitter, Facebook, Instagram, YouTube, etc., doivent être vérifiés.

Si votre site est inscrit dans des annuaires, assurez-vous que la nouvelle adresse est bien prise en compte, et demandez une modification si nécessaire.

En résumé, vérifiez tous les sites et services où des liens renvoient vers votre site.

Pour Google AdSense, aucune modification n’est nécessaire.

Si vous avez suivi toutes ces étapes correctement, votre site est désormais sécurisé en HTTPS !

Articles similaires

Les visas pour l'Asie du sud est
Les billets d’avion et les hébergements
Les visas pour l'Asie du sud est
Les billets d’avion et les hébergements
Ressources pour les voyageursurs
Ressources utiles pour les voyageurs
Ressources pour les voyageursurs
Ressources utiles pour les voyageurs
Créer un itinéraire Google map Off-line
Créer un itinéraire Google map et l’utiliser Off-line
Créer un itinéraire Google map Off-line
Créer un itinéraire Google map et l’utiliser Off-line

Laissez un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.