Si vous gérez un site Web WordPress, vous voudrez qu’il soit doté de SSL et de HTTPS pour une plus grande sécurité et la confiance des visiteurs. En prime, votre site Web aura un meilleur classement dans les moteurs de recherche. Donc, si vous êtes prêt à ajouter une couche supplémentaire de sécurité et de protection à la fois pour votre site et les utilisateurs qui le visitent, lisez la suite.
Qu’est-ce que HTTPS et SSL ?
HTTPS et SSL pour WordPress vont de pair. En soi, HTTP (le préfixe original de l’URL) signifie « protocole de transfert hypertexte ». L’installation d’un certificat SSL (secure sockets layer) sur votre site Web le sécurise. Lorsque vous avez installé le certificat SSL ou TLS approprié sur votre site Web, le préfixe de l’URL passe de HTTP à HTTPS : hypertext transfer protocol secure.
Penchons-nous un peu plus sur ce que sont HTTPS et SSL et comment ils fonctionnent. Selon le Mozilla Developer Network (MDN) :
HTTPS (HyperText Transfer Protocol Secure) est une version cryptée du protocole HTTP. Il utilise SSL ou TLS
pour crypter toutes les communications entre un client et un serveur. Cette connexion sécurisée permet aux clients d’échanger en toute sécurité des données sensibles avec un serveur, par exemple lors d’activités bancaires ou d’achats en ligne.
Essentiellement, HTTPS signifie que votre site est crypté de bout en bout. Cela signifie que seuls les deux clients à chaque extrémité de la transaction sont en mesure de lire les données. Si un utilisateur ou une entité malveillante venait à intercepter la communication, il n’obtiendrait rien d’autre qu’une suite de caractères aléatoires et déformés.
Passons maintenant à la définition de SSL donnée par le MDN :
Secure Sockets Layer, ou SSL, était l’ancienne technologie de sécurité standard pour créer un lien réseau crypté entre un serveur et un client, garantissant que toutes les données transmises sont privées et sécurisées. La version actuelle de SSL est la version 3.0, publiée par Netscape en 1996, et a été remplacée par le protocole Transport Layer Security
(TLS).
En ce qui concerne la comparaison entre TLS et SSL, TLS est essentiellement la suite de SSL. Comme SSL, TLS établit une connexion cryptée entre un serveur et un client. Les deux protocoles permettent d’améliorer la sécurité de votre site Web WordPress.
Avez-vous besoin de HTTPS et de SSL ?
La réponse courte est oui : vous avez besoin de HTTPS et SSL. En dehors de l’établissement de la confiance avec vos visiteurs, la sécurité du site est l’une des compétences d’un référencement solide. En 2018, Google a commencé à signaler les sites Web sans certificat SSL ou TLS. Cela décourage les utilisateurs de naviguer vers des sites qui ne disposent pas d’un certificat SSL.
Il y a quelques années, les certificats SSL étaient chers – des milliers de dollars, en fait. Les grands sites Web qui généraient des revenus, comme Facebook et Amazon, affichaient l’icône d’un cadenas dans la fenêtre du navigateur de l’utilisateur. C’est parce qu’ils avaient le budget nécessaire pour acheter le certificat. D’un autre côté, le site WordPress de l’utilisateur moyen avait simplement un préfixe HTTP. De nos jours, les certificats SSL sont à la fois nécessaires et abordables.
Bien que WordPress installe désormais automatiquement des certificats SSL sur chaque nouveau site Web, il se peut que vous ayez un domaine plus ancien ou un site établi de longue date qui a besoin d’être sécurisé. Il est possible d’obtenir un certificat SSL gratuit pour votre site WordPress si vous n’en avez pas déjà un. La plupart des hébergeurs proposent également un certificat SSL gratuit ou à prix réduit dans le cadre de leurs formules d’hébergement. Le HTTPS et le SSL pour WordPress étant désormais si accessibles, il n’y a aucune raison de laisser votre site Web vulnérable.
Comment installer SSL pour WordPress
Vous vous demandez comment installer un certificat SSL pour WordPress ? Nous allons vous guider à travers les étapes et vous montrer comment procéder.
Utilisation d’un plugin
Commençons par installer SSL pour WordPress en utilisant un plugin. Pour ce tutoriel, nous utilisons Really Simple SSL. Ce plugin fait automatiquement passer votre site Web WordPress en mode SSL. Donc, si votre URL affiche toujours HTTP plutôt que HTTPS, ce plugin s’occupera du problème et vous aidera à sécuriser votre site.
Allons-y.
1. Accédez à la page du plugin Really Simple SSL et cliquez sur Télécharger. Enregistrez le fichier .zip du plugin sur votre ordinateur.
2. Ouvrez un nouvel onglet de navigateur, connectez-vous à votre tableau de bord WordPress, et cliquez sur Plugins.
3. Dans votre écran Plugins, cliquez sur Add New.
4. Sur la page Ajouter des plugins, cliquez sur Télécharger le plugin.
5. Ensuite, téléchargez le fichier .zip associé à votre plugin. Choisissez votre fichier, puis cliquez sur Installer maintenant.
6. WordPress affichera une page qui montre la progression du téléchargement. Une fois le plugin téléchargé, cliquez simplement sur Activer le plugin.
Ajustements possibles du plugin
7. Comme vous pouvez le constater, un certificat SSL est déjà détecté sur le site sur lequel je travaille. Mais si nous n’avions pas déjà SSL, les prochaines étapes à couvrir seraient les suivantes :
- Changer toute référence à http:// dans les fichiers .css et .js en https://
- Suppression de tous les scripts, feuilles de style ou images provenant d’un domaine sans SSL
- Connectez-vous à nouveau (car une fois que vous aurez activé le plugin, WordPress vous déconnectera)
Lorsque vous êtes prêt, cliquez sur Activer SSL pour finaliser l’installation. Ce plugin changera votre URL par défaut en HTTPS.
8. Maintenant, SSL est activé. La fenêtre du plugin m’indique les mesures à prendre pour sécuriser davantage le site Web. Really Simple SSL fournit des articles et des ressources pour m’aider à ajuster mes paramètres de sécurité à un niveau optimal. Je peux les parcourir un par un pour optimiser ma sécurité.
Utilisez-vous Divi sur votre site WordPress ? Certains utilisateurs de Divi rencontrent des problèmes de contenu mixte lorsqu’ils installent Really Simple SSL. Si c’est le cas, le cache de Divi doit être vidé pour résoudre le problème. Pour en savoir plus sur la façon de résoudre ce problème , cliquez ici.
Vérifiez les paramètres du plugin SSL
Il est maintenant temps de naviguer vers votre page principale Plugins et de vérifier les paramètres de votre plugin SSL. Cliquez simplement sur Paramètres pour commencer. Vous verrez la même liste de ressources que précédemment. Faites simplement défiler la page vers le bas pour voir où vous pouvez basculer les paramètres.
Les paramètres par défaut du plugin devraient être adéquats, mais vous pouvez toujours faire des ajustements. Principalement, vous voulez vous assurer que le fixateur de contenu mixte est coché. Le plus souvent, cette option est déjà sélectionnée. Si ce n’est pas le cas, cochez-la et enregistrez la page.
Veillez à lire toute documentation jointe avant de modifier vos paramètres.
Voilà, c’est fait ! Vous avez installé SSL pour WordPress via le plugin.
Installation manuelle
Maintenant, voyons comment installer SSL pour WordPress manuellement. Nous allons commencer par ouvrir un nouvel onglet du navigateur et naviguer vers SSL For Free (ZeroSSL).
1. Sur la page d’accueil, entrez l’URL de votre site dans la barre de texte et cliquez sur Create Free SSL Certificate.
2. Vous serez invité à créer un compte. Une fois que vous l’avez fait, le site vous redirigera vers la page d’accueil de ZeroSSL. De là, cliquez sur Nouveau certificat.
3. Sur la page suivante, vous pouvez saisir votre domaine dans la zone de texte, puis cliquez sur Étape suivante.
4. Vous pouvez choisir de créer un certificat gratuit de 90 jours ou un certificat d’un an (payant). Si vous choisissez un certificat d’une durée de 90 jours, vous devrez en générer un autre tous les 90 jours. Une fois que vous avez choisi l’option qui vous convient, cliquez sur Étape suivante.
5. Ensuite, vous pouvez demander au programme de générer automatiquement une demande de signature de certificat (CSR) si vous le souhaitez. Vous pouvez également remplir manuellement vos informations. L’objectif est de vérifier votre identité et le fait que vous êtes bien le propriétaire du domaine pour lequel vous générez le SSL. Vous serez ensuite invité à sélectionner le plan que vous souhaitez.
Vérification du domaine et installation manuelle du SSL pour WordPress
6. Il vous sera maintenant demandé de vérifier votre domaine. Vous pouvez le faire de trois manières différentes :
- Par la vérification par e-mail
- En ajoutant un nouvel enregistrement CNAME sur votre serveur hôte
- Par téléchargement de fichier HTTP
En fonction de l’option choisie, suivez les instructions fournies sur le site.
7. Une fois que votre domaine est vérifié, le site génère votre certificat SSL. Vous pouvez télécharger votre certificat, puis cliquer sur Étape suivante.
8. Vous devez maintenant télécharger le certificat SSL dans votre panneau d’administration. Ce processus peut être un peu différent selon l’hôte que vous utilisez. Pour obtenir des instructions étape par étape, recherchez votre hébergeur dans cette liste de ZeroSSL, qui vous aidera à finaliser votre installation SSL pour WordPress.
Pour les besoins de cet article, je vais vous montrer à quoi cela ressemble via mon panneau de contrôle Bluehost.
9. Tout d’abord, accédez à votre cPanel et faites défiler la page jusqu’à la section SECURITE. Cliquez sur SSL/TLS.
10. Cliquez sur « Générer, afficher, télécharger ou supprimer des certificats SSL »
11. Vous verrez maintenant une liste des certificats actuellement sur votre serveur. Faites défiler vers le bas jusqu’à la section intitulée « Télécharger un nouveau certificat »
12. Maintenant, vous avez deux options. Vous pouvez soit :
-
- Dézipper votre certificat SSL que vous avez téléchargé depuis ZeroSSL
, puis télécharger le fichier .crt.
- Ou, vous pouvez ouvrir le fichier .crt dans un éditeur de texte basique. Copiez le texte complet du certificat, puis revenez à votre cPanel et collez-le dans la zone de texte intitulée « Upload a New Certificate » Cela inclut le texte d’en-tête et de pied de page qui indique le début et la fin du certificat.
13. Cliquez sur Upload Certificate. Après cela, vous voudrez revérifier que l’installation a réussi. Vous pouvez vérifier votre certificat sur votre tableau de bord ZeroSSL. Vous pouvez également essayer de naviguer vers votre URL avec le préfixe https:// pour voir si cela fonctionne pour vous.
C’est tout !
Questions fréquemment posées sur SSL et HTTPS
Maintenant, jetons un coup d’œil à quelques questions fréquemment posées concernant le HTTPS et le SSL pour WordPress.
Comment puis-je savoir si mon site a un certificat SSL ?
Ouvrez une nouvelle fenêtre de navigateur et naviguez vers votre site web. Regardez à gauche du préfixe de votre URL. La fenêtre de votre navigateur doit afficher une icône de verrouillage à côté de l’URL. Vous pouvez également cliquer dans la zone de texte et vous devriez voir HTTPS s’afficher.
SSL et HTTPS vont-ils ralentir mon site ?
SSL et HTTPS peuvent rendre votre site légèrement plus lent. Cependant, si les visiteurs de votre site Web rencontrent l’écran d’erreur de Google qui les empêche d’accéder à votre site Web HTTP en premier lieu, c’est plus un problème. Soit vous sacrifiez un peu de vitesse pour avoir un site Web sécurisé auquel les utilisateurs font confiance, soit vous devez faire face à un taux de rebond élevé pour un site non sécurisé.
J’ai installé le certificat SSL, mais mon site indique toujours qu’il n’est pas sécurisé. Que dois-je faire maintenant ?
Vérifiez que l’installation s’est bien déroulée. Vous pouvez le faire dans WordPress en naviguant sur la page des paramètres de votre plugin, ou en vérifiant votre installation manuelle via votre tableau de bord ZeroSSL. Il se peut que vous deviez modifier certains paramètres ou que vous deviez effectuer un dépannage.
Si vous constatez des erreurs SSL continues sur votre site, vous devrez peut-être :
-
- Forcer les redirections HTTP vers HTTPS
- Corriger les erreurs de contenu mixte (images cassées)
- Recherche d’erreurs dans les plugins et les thèmes existants
- Corriger une boucle de redirection
- Vérifiez votre certificat SSL, qui peut afficher un avertissement de certificat invalide (dans ce cas, vous pouvez le renouveler)
Pour vérifier les erreurs SSL, vous pouvez cliquer avec le bouton droit de la souris sur votre site Web et sélectionner Inspecter dans le menu déroulant. Les erreurs sont mises en évidence en rouge. Vous pouvez signaler les erreurs à l’auteur d’un plugin ou d’un thème, à votre hébergeur ou à votre équipe d’assistance technique, selon l’endroit et la manière dont votre site est hébergé et configuré.
Si vous n’êtes pas un développeur, il est préférable de ne pas essayer de modifier vos plugins ou vos thèmes. Il est trop facile de casser quelque chose dont vous n’êtes pas conscient ou qui affecte votre site à grande échelle.
Selon l’outil que vous avez choisi, vous devriez pouvoir bénéficier d’une certaine assistance. Vous pouvez poser des questions dans les forums ouverts, suivre les guides de dépannage ou contacter votre hébergeur pour obtenir de l’aide. Si vous utilisez Divi, nous avons une équipe de chat en direct qui peut également vous aider. Dans la plupart des cas, vous pourrez obtenir l’aide de quelqu’un qui connaît bien le problème que vous rencontrez.
Comment puis-je corriger les erreurs de contenu mixte ?
Les erreurs de contenu mixte surviennent lorsque vous avez installé le protocole SSL pour WordPress, mais que votre site Web considère toujours une partie du contenu comme non sécurisée. Vous pouvez remarquer que des images manquent, par exemple. Pour résoudre ce problème, vous pouvez configurer votre site WordPress pour qu’il affiche un contenu mixte.
Vous pouvez corriger les erreurs de contenu mixte en installant et en activant le plugin SSL Insecure Content Fixer. Si vous continuez à obtenir des erreurs de contenu mixte, il est possible que quelque chose ne soit pas correct dans votre base de données. Vous devrez prendre quelques mesures supplémentaires pour résoudre ce problème, notamment installer et exécuter le plugin Better Search and Replace. Nous avons écrit un article pour vous guider dans la correction des erreurs de contenu mixte ici.
Comment puis-je forcer le HTTPS ?
Pour forcer le HTTPS, vous devrez peut-être configurer des redirections automatiques de HTTP à HTTPS. Le fait de forcer les redirections automatiques empêchera les utilisateurs d’ouvrir la version HTTP de votre site Web, qui existe toujours techniquement.
Voici un tutoriel de Name.com qui vous guide à travers le processus via cPanel. Vous pouvez également corriger ce problème directement dans le fichier .htacess via votre client FTP. Ce tutoriel de Dreamhost vous guidera à travers les étapes pour forcer votre site à se charger de manière sécurisée.
Combien coûtent les certificats SSL ?
Le prix des certificats SSL est très variable, allant de la gratuité à environ 1000 $ par an. En moyenne, ils ont tendance à être beaucoup moins chers. Le prix dépend du service que vous choisissez et du niveau d’assistance dont vous avez besoin.
Y a-t-il une différence entre les certificats SSL gratuits et payants ?
Pas en termes de fonctionnalités. Les certificats SSL gratuits et payants offrent le même niveau de sécurité aux utilisateurs finaux. Toutefois, un certificat SSL payant est susceptible de bénéficier d’une assistance technique supplémentaire et d’une validation plus approfondie. Si vous êtes à l’aise avec le bricolage de votre SSL, l’utilisation d’un certificat gratuit peut vous convenir. Mais si vous pensez avoir besoin d’une assistance technique permanente et que vous ne voulez pas avoir à réinstaller un nouveau certificat gratuit à chaque fois que votre certificat actuel expire, un certificat SSL payant est peut-être une meilleure option.
Dois-je renouveler mon certificat SSL ?
Le renouvellement des certificats SSL dépend de votre hébergeur. Si vous utilisez un hébergeur qui inclut un certificat SSL dans votre plan d’hébergement, celui-ci peut être configuré pour être renouvelé automatiquement (et de nos jours, beaucoup sont configurés de cette façon pour que les utilisateurs n’aient jamais à y toucher). Si vous utilisez l’option de certificat SSL de 90 jours ou d’un an de ZeroSSL, vous devrez renouveler manuellement votre certificat SSL à intervalles réguliers.
Conclusion
Maintenant que vous savez comment installer et dépanner votre certificat SSL, il est temps de sécuriser votre site WordPress. HTTPS et SSL pour WordPress sont d’une importance capitale pour le succès de votre site Web et le niveau de confiance des utilisateurs (et de Google). Si vous voulez que votre site soit viable non seulement maintenant, mais aussi à l’avenir, assurez-vous de le verrouiller avec HTTPS et SSL.
Avez-vous rencontré des problèmes avec SSL pour WordPress ? Comment les avez-vous résolus ? Laissez-nous un commentaire ci-dessous et faites-nous savoir.
