Sécurisez et passez votre site de voyage en https

Comment passer son site en https ?

Google recommande depuis plusieurs années maintenant de sécuriser son site, grâce à un certificat SSL/TLS. La plupart des sites web des blogueurs sont hébergés chez un hébergeur classique, comme OVH. Et ce dernier fait partie des hébergeurs qui soutiennent l’autorité de certification Let’s Encrypt, qui délivre gratuitement un certificat SSL/TLS de base. Un certificat payant avec de vraies garanties est généralement requis pour un site e-commerce, mais pour un simple blog ou aucune donnée sensible n’est partagée, cette solution gratuite suffit amplement.  En fait, tous les sites OVH ont par défaut cette possibilité de sécuriser gratuitement son site, passant du protocole http:// vers le https://

On peut le lire sur leur page :

« Le certificat SSL est dorénavant inclus dans toutes les offres Hébergement Web, et activera le protocole « HTTPS », par défaut et gratuitement.« 

Vérifier le statut de son site

Pour savoir si votre site bénéficie déjà de ce certificat, il vous suffit de taper l’adresse de votre site en commençant par https:// au lieu du classique http://

Si vous voyez toujours votre blog, avec le petit cadenas et le nouveau protocole « https » cela signifie que votre hébergeur propose par défaut la certification gratuite, et que vous y avez donc droit .

Nous allons donc voir ici comment faire pour l’activer par défaut, et de manière permanente.

Le temps de la procédure varie en fonction du nombre d’outils que vous utilisez autour du site et de liens qui redirigent vers votre site, mais en 1 heure en principe, vous pourrez avoir terminé le transfert. Si vous avez une grosse audience et que vous utilisez Adsense, renseignez-vous avant pour savoir si GoogleAdsense gère à 100% le https, car nombreux sont ceux qui ont vu leurs revenus chuter jusqu’à -50% suite au changement de protocole.

Pour les autres, le changement aura l’avantage de sécuriser votre site et, à long terme, de le favoriser dans les résultats de recherche.

Vérifier que vous avez bien droit à la certification Let’s Encrypt.

1- se connecter à son compte OVH

2- se rendre dans l’onglet « hébergement »

3-dans la page de l’hébergement, vérifier la mention « Certificat SSL – Oui »

Si vous voyez ici, le « oui » ou « activé » selon votre hébergeur, c’est que la certification Let’s Encrypt est installée par défaut.

La redirection vers votre nouvelle adresse sécurisée

Afin que votre site dans sa globalité et de façon permanente soit lisible à l’adresse https, il va falloir tout rediriger vers cette nouvelle adresse.

Ouvrez File Zila ou votre logiciel FTP habituel et trouvez à la racine de votre blog le fichier .htaccess. Ouvrez-le, et à la fin de ce dernier, entrez les mentions suivantes :

# Redirection vers HTTPS
RewriteCond %{SERVER_PORT} ^80$ [OR]
RewriteCond %{HTTPS} =off
RewriteRule ^(.*)$ https://votresite.com/$1 [R=301,L]

# Redirection du www vers non-www en HTTPS
RewriteCond %{HTTP_HOST} ^www\.monsite\.com [NC]
RewriteRule ^(.*)$ https://votresite.com/$1 [R=301,L]

Si votre site commence avec les ‘www‘, modifiez ce bout de code de la manière suivante :

# Redirection vers HTTPS
RewriteCond %{SERVER_PORT} ^80$ [OR]
RewriteCond %{HTTPS} =off
RewriteRule ^(.*)$ https://www.votresite.com/$1 [R=301,L]

# Redirection du non-www vers www en HTTPS
RewriteCond %{HTTP_HOST} ^monsite.com [NC]
RewriteRule ^(.*)$ https://www.votresite.com/$1 [R=301,L]

Enregistrez puis fermez le fichier.

Voici un outil qui vous permettra de vérifier le bon fonctionnement après modification.

Modifier toutes les url du site

Il va falloir désormais modifier toutes les url de votre site vers le nouveau protocole https. Pour cela, il y a un outil bien pratique et très largement utilisé pour tout ce qui concerne les bases de données, il s’agit du script « search and replace » de interconnect/it .
Rendez-vous sur cette page, inscrivez-vous à la newsletter pour recevoir par mail le lien de téléchargement.

Une fois téléchargé, décompressez le zip et renommez pour plus de simplicité le dossier intérieur en ce que vous voulez (‘toto’, ‘searchandreplace’… ce que vous voulez, ça n’a pas d’importance).

Une fois le dossier dézippé, installez-le via votre outil FTP à la racine du blog, au même niveau que les dossiers  wp-content, wp-admin et wp-include.

Vous aurez donc une arborescence du type :

/votre-dossier-search-and-replace-renommé
/wp-admin
/wp-content
/wp-includes

Maintenant, rendez-vous à l’adresse de votre site, suivi du nom du dossier..

Si vous avez nommé le dossier toto, tapez donc http://www.monsite.com/mondossiersearchandreplace ou http://monsite.com/mondossiersearchandreplace.
Pensez à renommer votre dossier de manière simple, juste histoire de pouvoir taper votre url plus rapidement.

Vous allez tomber sur la page du script, qui est facile à comprendre : (voir l’image ci-dessous)

  • dans la case replace, on met son ancienne adresse : (ou http://www.monsite.com)
  • dans la case with: on met sa nouvelle adresse sécurisée (ou https://www.monsite.com)
  • dans la section « database« , on renseigne le nom, l’utilisateur, le mot de passe et le host de notre base de donnée. (tous ces éléments sont fournis par mail lors de l’achat de l’hébergement)
  • Laissez cochée la case « all tables« 

Une fois ces infos rentrées, on lance un dry run pour tester et voir le résultat, par table..

Une fois qu’on a testé et vérifié les changements, on lance le « live run » qui va modifier définitivement toutes vos url. Ensuite, retournez sur cette page et cliquez sur « delete » : ça va supprimer automatiquement le dossier search and replace de la racine de votre blog.

Vérifier ses url sur son site wordpress

Vous pouvez désormais vérifier directement dans votre backoffice le changement, en cliquant sur Réglages /Général : normalement les cases Adresse web de wordpress (URL) et Adresse Web du site (URL) ont à présent le protocole https.

Aller ensuite dans Réglages / Permaliens et réenregistrez vos permaliens.

Régler les problèmes de mixed content

Normalement, le cas contraire serait étonnant, en vous baladant sur votre site, vous devriez tomber sur des pages avec un petit point d’exclamation dans la barre de recherche à la place du cadenas vert : ceci indique que la page contient du mixed content, c’est-à-dire des appels à des fichiers contenant toujours une adresse du type http://.

C’est généralement des adresses tapées en dur dans le code de la page qu’il faudra manuellement modifier, ou des appels à des fichiers avec le protocole http comme l’appel à un script javascript ou un fichier css. Rajoutez un « s » à toutes les adresses non sécurisées.

Les navigateurs en général bloquent l’accès à ces ressources pour le visiteur : par exemple, si vous chargez une vidéo ou une image et que vous l’insérez avec un lien du type « http« , le visiteur risque de voir un vide sur la page à la place de la vidéo. Vérifiez en particulier vos fichiers header.php et footer.php, et les appels à des fichiers dans votre page builder si vous en utilisez un dans votre thème.

Forcer le https dans l’admin du site

Via votre outil FTP, ouvrez le fichier wp-config, à la racine du blog, et rajoutez ces lignes dans le fichier. Il y a plusieurs lignes commençant par « define » dans le fichier, placez donc cette ligne en dessous des autres.

define(‘FORCE_SSL_ADMIN’, true);

Le fichier Robot.txt

À la racine de votre blog, via votre logiciel FTP, si votre fichier robot.txt contient des url en http://, modifiez-les par un https://

Mettre à jour votre Google Analytics

Vous utilisez certainement Google Analytics et ses données. Sur la page d’accueil, ouvrez l’onglet Administration (tout en bas à gauche),

Si vous avez plusieurs sites, dans le volet de gauche « compte » sélectionnez votre site :

Dans le volet du milieu qui s’ouvre, « propriété », cliquez sur le premier onglet « paramètres de la propriété« 

Dans la page qui s’ouvre, trouvez l’onglet « URL par défaut« 

et dans le petit menu déroulant grisé, sélectionnez « https:// »

Dans le volet de droite « Paramètre de la vue » de la fenêtre précédente, faites de même, trouvez l’onglet « URL par défaut » et sélectionnez « https://« 

Vérifier son certificat SSL

Rendez-vous sur l’adresse suivante pour vérifier la fiabilité de votre certificat

Des plugins wordpress pour vous aider

Pour vous aider dans la démarche, vous pouvez vous appuyer sur des plugins plus ou moins fiables et utiles. Rendez-vous sur cette page pour trouver l’extension qu’il vous faut.

Google Search Console

Concernant Google Search Console, l’option « changement d’adresse » ne marche pas, puisque Google considère le http: et le https: comme deux url différentes.

Il est donc recommandé de recréer les propriétés pour votre nouvelle adresse avec toutes ses variantes.

Suivez les recommandations de Google depuis l’adresse suivante 

Vous avez déjà en principe deux adresses pour un site et il faudra donc créer deux nouvelles propriétés : on se retrouve donc avec 4 adresses pour le même site. (http://monsite.com  – http://www.monsite.com -https://monsite.com et https://www.monsite.com )

Les autres modifications

Songez à modifier les adresses reliées à votre ancienne url dans vos plugins. Par exemple, « Google analytics dashboard  » ne prendra pas en compte votre nouvelle adresse. Vous pouvez désactiver, voire supprimer le plugin et le réactiver pour qu’il prenne bien en compte votre url par défaut (avec le https://) . Comme la propriété est nouvelle, toutes vos données redémarreront à 0. Idem pour les plugins de partage, tous les liens redirigeant vers votre site sur vos pages twitter, facebook, instagram, youtube etc..

Si vous êtes inscrit dans des annuaires, vérifiez que la nouvelle adresse est bien prise en compte, sinon demandez à modifier l’adresse.

En fait, vérifiez simplement tous les sites ou vous avez des liens vers votre site.

Sur AdSense, il n’y a rien à faire.

Voilà, si tout s’est bien passé, vous avez votre site en https !!

Laissez un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.