En juillet 2018, Google Chrome a commencé à marquer tous les sites non HTTPS comme « non sécurisés », qu’ils collectent ou non des données. Depuis lors, le HTTPS est devenu plus critique que jamais !

Dans l’article d’aujourd’hui, nous allons plonger profondément dans une migration HTTP vers HTTPS et partager des conseils pratiques pour espérer rendre la transition pour votre site WordPress aussi douce que possible. Pour les propriétaires de sites WordPress, il est toujours bon d’être proactif.

En raison des nouveaux protocoles web, des avantages en matière de SEO et des données de référencement encore plus précises, il n’y a jamais eu de meilleur moment pour migrer votre site WordPress vers HTTPS. Découvrez le pourquoi et le comment ci-dessous.

Qu’est-ce que le HTTPS ?

HTTPS (Hypertext Transfer Protocol Secure) est un mécanisme qui permet à votre navigateur ou à votre application web de se connecter à un site web en toute sécurité. Le protocole HTTPS est l’une des mesures permettant d’assurer la sécurité de votre navigation.

Cela inclut la connexion à votre site bancaire, la saisie des informations de votre carte de crédit, et même la connexion à l’administration de votre site WordPress. HTTPS sur votre site web WordPress exige que vous ayez un certificat SSL pour le cryptage. Cela garantit qu’aucune donnée n’est jamais transmise en texte clair.

Selon Builtwith, en mars 2022, 73,08 % des 10.000 premiers sites web utilisent HTTPS. Ce chiffre est en hausse par rapport aux 49,8 % enregistrés en février 2018 :

Utilisation du HTTPS par le top des sites Web
Utilisation du HTTPS par le top des sites Web

En mai 2022, MozCast rapporte que plus de 98,9 % des requêtes de recherche sont effectuées en HTTPS, contre 26 % en janvier 2016. Cela suggère que de nombreux sites sont en train de migrer de HTTP vers HTTPS.

Même Google fait pression pour obtenir cette marque de cryptage à 100 % sur l’ensemble de ses produits et services. En mai 2022, environ 95 % du trafic vers Google passe par HTTPS, contre 48 % en décembre 2013.

Requêtes HTTPS MozCast
Requêtes HTTPS MozCast

Selon les données de télémétrie de Firefox et les statistiques de Let’s Encrypt, plus de 78 % des chargements de pages sont désormais en HTTPS.

Pourquoi devriez-vous vous intéresser à HTTPS ?

Il y a plusieurs raisons pour lesquelles les propriétaires de sites web WordPress devraient se soucier du HTTPS et penser à migrer de HTTP à HTTPS maintenant plutôt que plus tard.

1. Sécurité

Bien sûr, la plus grande raison pour HTTPS est la sécurité supplémentaire. En migrant de HTTP vers HTTPS, vous servez désormais votre site web via une connexion SSL/TLS cryptée. Cela signifie que les données et les informations ne sont plus transmises en texte clair. Pour les sites de commerce électronique qui traitent des informations sur les cartes bancaires, c’est indispensable. La loi ne l’exige pas techniquement, mais il est de votre responsabilité en tant qu’entreprise de protéger les données de vos clients.

Cela s’applique également à vos pages de connexion ou blogs WordPress. Si vous exécutez des sites WordPress multi-auteurs sur HTTP, chaque fois qu’une personne se connecte, cette information est transmise au serveur en texte clair. HTTPS est essentiel pour maintenir une connexion sécurisée entre le site web et le navigateur. De cette façon, vous pouvez mieux empêcher les pirates d’accéder à votre site web.

2. SEO

Google a officiellement déclaré que HTTPS est un facteur de classement. Bien qu’il ne s’agisse que d’un petit facteur de classement, la plupart d’entre vous prendraient probablement tout avantage que vous pouvez obtenir dans les SERP pour battre vos concurrents.

En raison de la pression exercée par Google pour que tout le monde redirige le HTTP vers le HTTPS, vous pouvez parier que le poids de ce facteur de classement va très probablement augmenter à l’avenir. Une étude de Semrush a révélé que 98 % du contenu Featured Snippet le plus performant sur Google utilise HTTPS.

3. Confiance et crédibilité

Selon des études récentes, la plupart des internautes s’inquiètent de la manière dont leurs données sont interceptées ou utilisées à mauvais escient en ligne.

HTTPS peut aider votre entreprise en établissant ce que nous appelons la confiance SSL. En voyant cette icône de cadenas à côté de votre URL, les clients auront l’esprit plus tranquille en sachant que leurs données sont plus sécurisées.

4. Données de référence

Cette raison s’adresse à tous les spécialistes du marketing. Si vous utilisez Google Analytics, vous êtes probablement familier avec les données de référence. Beaucoup de gens ne réalisent pas que les données de renvoi HTTPS vers HTTP sont bloquées dans Google Analytics. Qu’advient-il alors de ces données ? La plupart d’entre elles sont simplement regroupées dans la section « trafic direct ». Le référent est toujours transmis si quelqu’un passe de HTTP à HTTPS.

Ceci est également important car si votre trafic de référence a soudainement chuté, mais que le trafic direct a augmenté, cela pourrait signifier que l’un de vos plus grands référents a récemment migré vers HTTPS. L’inverse est également vrai.

5. Avertissements de Chrome

Depuis 2018, les versions de Chrome 68 et supérieures marquent tous les sites non HTTPS comme « non sécurisés », même s’ils ne collectent pas de données :

Connexion non sécurisée sur Chrome
Connexion non sécurisée sur Chrome

En 2021, le navigateur a commencé à passer par défaut en HTTPS pour les URL incomplètes. Par exemple, si un utilisateur tape « domaine.com », Chrome utilisera automatiquement « https://domaine.com » Si le HTTPS échoue parce qu’il n’y a pas de SSL/TLS, il reviendra au HTTP.

Chrome détient plus de 77 % de la part de marché des navigateurs, ce qui aura un impact sur bon nombre de vos visiteurs. Vous pouvez également vérifier quels navigateurs vos visiteurs utilisent dans Google Analytics sous Audience > Technologie > Navigateur et système d’exploitation:

Vérification des navigateurs dans Google Analytics
Vérification des navigateurs dans Google Analytics

Google indique clairement aux visiteurs que votre site web WordPress pourrait ne pas fonctionner sur une connexion sécurisée. Voici quelques conseils de Google sur la façon d’éviter cet avertissement.

Firefox a également suivi le mouvement avec la sortie de Firefox 51 en 2017, affichant un cadenas gris avec une ligne rouge pour les sites non sécurisés qui collectent des mots de passe. Bien sûr, si vous migrez l’ensemble de votre site vers le HTTPS, vous n’avez pas à vous en préoccuper :

Connexion non privée
Connexion non privée

Vous pourriez également commencer à recevoir les avertissements suivants de la Google Search Console si vous n’avez pas encore migré vers HTTPS :

À : propriétaire de http://www.domaine.com

Les URL suivantes comprennent des champs de saisie pour des mots de passe ou des détails de carte de crédit qui déclencheront le nouvel avertissement de Chrome. Examinez ces exemples pour voir où ces avertissements apparaîtront, et vous pourrez prendre des mesures pour aider à protéger les données des utilisateurs. Cette liste n’est pas exhaustive.

http://www.domaine.com

Le nouvel avertissement est la première étape d’un plan à long terme visant à marquer toutes les pages servies par le protocole HTTP non crypté comme « non sécurisées »

6. Performances

Dernier point, mais non le moindre, nous avons les performances. Grâce à un protocole appelé HTTP/2, ceux qui exécutent des sites correctement optimisés sur HTTPS peuvent souvent constater des améliorations de vitesse.

HTTP/2 nécessite HTTPS en raison de la prise en charge par le navigateur. L’amélioration des performances est due à diverses raisons, telles que la capacité de HTTP/2 à prendre en charge un meilleur multiplexage, le parallélisme, la compression HPACK avec codage Huffman, l’extension ALPN et le server push. Il y avait auparavant une surcharge TLS sur HTTPS, mais elle est beaucoup moins importante maintenant.

TLS 1.3 est également sorti, ce qui accélère encore plus les connexions HTTPS ! Kinsta supporte TLS 1.3 sur tous nos serveurs et notre CDN Kinsta.

Il est également important de noter que les optimisations des performances web telles que le sharding et la concaténation de domaines peuvent nuire à vos performances. Elles sont désormais obsolètes et, pour la plupart, ne devraient plus être utilisées.

Tout ce qui se trouve sur le web devrait être crypté par défaut. – Jeff Atwood, cofondateur de Stack Overflow

Guide de migration de HTTP à HTTPS

Il est temps de passer à la partie amusante : la migration de votre site WordPress de HTTP à HTTPS. Passons d’abord en revue les exigences de base, ainsi que certaines choses dont il faut être conscient.

  • Vous aurez besoin d’un certificat SSL. Nous y reviendrons plus en détail ci-dessous.
  • Vérifiez que votre hôte WordPress et votre fournisseur de CDN prennent en charge HTTP/2. Kinsta prend en charge HTTP/2 pour tous ses clients. Ce n’est pas obligatoire, mais vous le souhaitez pour les performances.
  • Vous voudrez réserver un bon bloc de temps pour rediriger HTTP vers HTTPS. La migration n’est pas quelque chose qui se fait en 5 minutes.
  • Vérifiez que tous les services et scripts externes que vous utilisez disposent d’une version HTTPS.
  • Il est important de savoir que vous perdrez le nombre de partages sociaux sur tous vos articles et pages, sauf si vous utilisez une extension qui prend en charge la récupération des partages. Ceci est dû au fait que vos comptes de partage sont basés sur une API regardant la version HTTP, et que vous n’avez aucun contrôle sur les réseaux sociaux tiers.
  • En fonction de la taille de votre site, il se peut que Google mette un certain temps à parcourir à nouveau toutes vos nouvelles pages et tous vos nouveaux articles HTTPS. Pendant cette période, vous pourriez constater des variations dans le trafic ou les classements.
  • N’oubliez pas les citations locales.

Nous vous recommandons de désactiver votre intégration CDN et de désactiver toute extension de mise en cache avant de commencer, car cela peut compliquer les choses.

1. Choisir un certificat SSL

La toute première chose que vous devrez faire est d’acheter un certificat SSL si vous n’en avez pas. Il existe trois principaux types de certificats parmi lesquels vous pouvez choisir :

  • Validation du domaine : Domaine ou sous-domaine unique (validation de l’e-mail ou du DNS), émis en quelques minutes. Ces certificats peuvent généralement être achetés pour un prix aussi bas que 9 $ par an.
  • Validation de l’entreprise/de l’organisation : Un seul domaine ou sous-domaine nécessite une vérification de l’entreprise qui fournit un niveau de sécurité/confiance plus élevé, émis dans un délai de 1 à 3 jours.
  • Validation étendue : Un seul domaine ou sous-domaine nécessite une vérification de l’entreprise qui fournit un niveau de sécurité/confiance plus élevé, délivré dans les 2 à 7 jours.

Chez Kinsta, nous fournissons des SSL Cloudflare gratuits pour tous les sites via notre intégration Cloudflare. Nos SSL Cloudflare sont automatiquement émis après la configuration d’un domaine dans MyKinsta, et ils sont même dotés d’une prise en charge des domaines wildcards !

Google recommande d’utiliser un certificat à clé de 2048 bits ou plus. Vous pouvez acheter des certificats auprès de Comodo, DigiCert, GeoTrust, Thawte, Rapid SSL ou Trustwave. Il existe également des alternatives moins chères telles que GoGetSSL, Namecheap et GoDaddy.

Let’s Encrypt

Let’s Encrypt offre également un moyen d’obtenir des certificats SSL gratuits. Vérifiez auprès de votre hébergeur WordPress et de votre fournisseur CDN s’ils disposent d’une intégration Let’s Encrypt. Vous pouvez également suivre le guide Certbot sur la façon de les installer manuellement. Les certificats Let’s Encrypt expirent tous les 90 jours, il est donc essentiel de mettre en place un système automatisé.

2. Installation d’un certificat SSL personnalisé

Si vous avez acheté un certificat SSL, vous devez installer le certificat SSL sur votre site WordPress. On vous demande de fournir le type de serveur lors de la configuration du certificat avec le vendeur. Si vous êtes un client Kinsta, nos serveurs web sont Nginx. Si cette option n’est pas disponible, alors Autre fonctionnera également.

Le fournisseur SSL aura besoin d’un code CSR pour créer/signer le fichier de certificat. Pour générer un code CSR et une clé RSA, veuillez remplir le formulaire suivant : https://www.ssl.com/online-csr-and-key-generator/.

Nous vous recommandons de remplir tous les champs, mais au minimum, vous devez remplir les champs suivants (comme indiqué dans la capture d’écran ci-dessous) :

  • Nom commun (nom de domaine)
  • Adresse e-mail
  • Organisation
  • Ville / Localité
  • État / Comté / Région
  • Pays

Remarque : Pour le champ du nom commun, si vous générez un certificat wildcard, vous devrez saisir votre nom de domaine comme *.domaine.com.

Formulaire de génération de CSR
Formulaire de génération de CSR

Le formulaire va générer votre fichier de clé privée et le CSR. Veillez à les sauvegarder tous les deux, car le certificat sera inutilisable sans eux :

CSR et clé privée
CSR et clé privée

Ensuite, téléchargez votre CSR auprès de votre fournisseur SSL pour régénérer votre certificat SSL (.cert).

Vous devrez ensuite vous rendre chez votre hébergeur WordPress et lui remettre le certificat et la clé privée. Si vous êtes un client de Kinsta, vous pouvez vous connecter au tableau de bord et cliquer sur un site. Ensuite, allez dans l’onglet Domaines et sélectionnez votre domaine, puis cliquez sur le bouton SSL personnalisé :

Ajouter un SSL personnalisé
Ajouter un SSL personnalisé

Vous pourrez alors ajouter votre clé privée et votre certificat juste là :

Ajouter une clé privée
Ajouter une clé privée

Lorsque vous avez terminé, sélectionnez Ajouter le certificat pour enregistrer vos modifications.

3. Vérifier votre certificat SSL

Maintenant que votre certificat SSL est installé, vous devez le vérifier pour vous assurer que tout est correctement configuré. Une façon simple et rapide de le faire est d’utiliser l’outil gratuit de vérification SSL de Qualys SSL Labs. Si tout est correct, vous devriez obtenir une note de lettre A au test, comme indiqué ci-dessous :

Vérifier la note du certificat SSL
Vérifier la note du certificat SSL

Consultez notre tutoriel plus approfondi sur la façon d’effectuer une vérification SSL.

4. Rediriger HTTP vers HTTPS

Après avoir vérifié votre certificat SSL, vous devez ensuite rediriger de façon permanente tout le trafic HTTP vers HTTPS. Il existe plusieurs options pour rediriger le trafic HTTP vers HTTPS dans WordPress.

Si vous êtes un client Kinsta, utiliser notre outil Forcer HTTPS est la méthode la plus simple. Il vous permet de rediriger automatiquement le trafic HTTP vers HTTPS en quelques clics au niveau du serveur. Vous pouvez également le faire manuellement dans la configuration de votre serveur web ou avec une extension WordPress gratuite.

Remarque : Nos exemples incluent tous une directive de redirection 301, qui est la manière correcte de l’implémenter en ce qui concerne le référencement. L’utilisation d’un autre type de redirection pourrait nuire à vos classements. Il est également essentiel d’être conscient que les redirections 301 peuvent ne pas transmettre 100 % du jus de lien, même si Google peut dire qu’elles le font. Consultez cet article de Cyrus chez Moz concernant les migrations HTTPS et les redirections 301.

Option 1 : Rediriger HTTP vers HTTPS sur MyKinsta

Si vous êtes un utilisateur de Kinsta, vous pouvez facilement rediriger HTTP vers HTTPS en utilisant MyKinsta. C’est une excellente option car elle élimine le besoin d’installer une extension sur votre site.

Pour commencer, connectez-vous au tableau de bord MyKinsta, parcourez votre site, puis cliquez sur Outils.

Ensuite, sélectionnez le bouton Activer sous Forcer HTTPS :

Outil Forcer HTTPS
Outil Forcer HTTPS

Vous pouvez utiliser votre domaine principal comme destination ou un domaine alternatif demandé. Ensuite, cliquez sur Forcer HTTPS:

Options de forçage HTTPS
Options de forçage HTTPS

Si vous avez configuré des règles HTTPS personnalisées ou utilisé des proxies tiers, vous risquez de rencontrer des problèmes lorsque vous forcez HTTPS. Si vous rencontrez des erreurs, vous pouvez désactiver le forçage HTTPS, puis contacter le support Kinsta pour obtenir de l’aide.

Option 2 : Rediriger HTTP vers HTTPS dans Nginx

Si votre serveur web utilise Nginx, vous pouvez facilement rediriger HTTP vers HTTPS en ajoutant le code suivant à votre fichier de configuration Nginx :

server {

listen 80;

server_name domain.com www.domain.com;

return 301 https://domain.com$request_uri;

}

C’est la méthode recommandée pour rediriger WordPress fonctionnant sur Nginx.

Rediriger HTTP vers HTTPS dans Apache

Si votre serveur web fonctionne sous Apache, vous pouvez rediriger tout votre trafic HTTP vers HTTPS en ajoutant le code suivant à votre fichier .htaccess:

RewriteEngine On

RewriteCond %{HTTPS} off

RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Il s’agit de la méthode recommandée pour rediriger WordPress fonctionnant sous Apache.

Aucun des serveurs de Kinsta n’utilise Apache.

Option 3 : Rediriger le HTTP vers le HTTPS avec le plugin Really Simple SSL

La troisième option que vous avez pour rediriger de HTTP à HTTPS est d’utiliser l’extension WordPress gratuite Really Simple SSL:

Extension Really Simple SSL
Extension Really Simple SSL

Nous ne recommandons pas cette méthode comme solution permanente car les plugins tiers peuvent introduire une autre couche de problèmes et de questions de compatibilité. C’est une bonne solution temporaire, mais vous devez mettre à jour vos liens HTTP codés en dur, comme nous allons vous le montrer à l’étape suivante.

Implémentez l’en-tête HSTS (facultatif)

HSTS (HTTP Strict Transport Security) est un en-tête de sécurité que vous ajoutez à votre serveur web et qui oblige le navigateur à utiliser des connexions sécurisées lorsqu’un site fonctionne en HTTPS. Cela peut aider à prévenir les attaques de type « man-in-the-middle » (MitM) et le détournement de cookies. Vous pouvez utiliser les redirections 301 ci-dessus avec l’en-tête HSTS. Consultez notre article détaillé sur la façon d’ajouter le HSTS.

5. Vérifiez s’il y a trop de redirections

Après avoir ajouté une redirection de HTTP à HTTPS, vous devez vérifier que vous n’avez pas trop de redirections. Ce problème est assez courant et peut affecter la vitesse de votre site WordPress. Vous pouvez utiliser l’outil Redirect mapper de Patrick Sexton pour voir rapidement combien de redirections vous avez sur votre site.

Vous verrez ci-dessous un exemple de redirections qui ont été configurées de manière incorrecte. Ceci est facilement repérable en utilisant le mappeur de redirections :

Redirections mal configurées
Redirections mal configurées

Vous pouvez voir qu’il y a des redirections HTTPS en double sur les versions www et non-www.

Vous trouverez ci-dessous un exemple de redirections configurées correctement :

Redirections configurées correctement
Redirections configurées correctement

Comme vous pouvez le voir, il n’y a qu’une seule redirection. Vous pouvez consulter notre article approfondi sur les redirections WordPress et les meilleures pratiques pour des performances plus rapides.

6. Mettre à jour les liens HTTP codés en dur

Maintenant que vous avez des redirections, il est temps de corriger toutes ces URL HTTP codées en dur. En général, il n’est pas recommandé de coder les URL en dur. Cependant, avec le temps, vous le ferez très probablement (nous le faisons tous). Vous trouverez ci-dessous quelques options pour mettre à jour vos liens HTTP en HTTPS.

Option 1 : Outil de recherche et de remplacement de Kinsta

Si vous êtes un client Kinsta, nous avons un outil de recherche et de remplacement facile à utiliser dans notre tableau de bord MyKinsta :

Outil de recherche et de remplacement de Kinsta
Outil de recherche et de remplacement de Kinsta

Voici les étapes simples pour mettre à jour les URL de HTTP à HTTPS :

  1. Saisissez dans le champ de recherche la valeur que vous voulez rechercher dans la base de données, qui dans ce cas est notre domaine HTTP : http://kinstalife.com.
  2. Saisissez dans le champ de remplacement la nouvelle valeur qui doit être utilisée pour remplacer la valeur que vous recherchez. Dans ce cas, il s’agit de notre domaine HTTPS, https://kinstalife.com.
  3. Cliquez sur le bouton Remplacer pour lancer le processus de recherche et de remplacement.
Options de recherche et de remplacement
Options de recherche et de remplacement

Consultez notre tutoriel sur la recherche et le remplacement, ou cliquez sur le guide vidéo ci-dessous pour plus de détails.

Option 2 : Plugin Better Search Replace

Un autre outil facile que vous pouvez utiliser est une extension gratuite appelée Better Search Replace par l’équipe WordPress de Delicious Brains:

Extension Better Search Replace
Extension Better Search Replace

L’utilisation de cette extension est gratuite. Une fois installée et activée sur votre site, vous pouvez naviguer vers Outils > Better Search Replace pour commencer à l’utiliser.

Option 3 : Script PHP interconnect/it Search Replace DB

Une troisième option pour exécuter une recherche et un remplacement WordPress est d’utiliser un script PHP gratuit de interconnect/it appelé Search Replace DB. Il s’agit de l’un de nos outils préférés pour toute migration de HTTP à HTTPS.

Important ! L’utilisation de ce script pourrait briser votre site web WordPress si vous ne savez pas ce que vous faites. Si vous n’êtes pas à l’aise pour le faire, consultez d’abord un développeur ou votre hébergeur.

Pour utiliser le script, téléchargez simplement le fichier zip, extrayez le dossier appelé search-replace-db-master, et renommez-le en quelque chose d’autre. Dans notre exemple, nous l’avons renommé en update-db-1551. Ensuite, téléversez-le dans le répertoire public de votre serveur web via FTP, SFTP ou SCP. Il s’agit généralement du même répertoire que celui qui contient votre dossier /wp-content.

Ensuite, naviguez vers votre dossier secret dans votre navigateur, par exemple https://domain.com/update-db-1551 :

Script de recherche et de remplacement d'interconnect
Script de recherche et de remplacement d’interconnect

Le script tentera automatiquement de trouver et de remplir le champ de la base de données, mais vous devez vérifier que les détails sont corrects et qu’il s’agit bien de la base de données sur laquelle vous souhaitez effectuer une opération de recherche/remplacement. Vous pouvez d’abord cliquer sur Dry Run pour voir ce qu’il va mettre à jour/remplacer. Puis, lorsque vous êtes prêt, cliquez sur Live Run, qui effectuera les mises à jour de la base de données et la recherche et le remplacement de WordPress.

Un exemple de migration HTTPS serait de remplacer « http://yourdomain.com » par « https://yourdomain.com ».

Options de recherche et de remplacement
Options de recherche et de remplacement

Pour des raisons de sécurité, il est également crucial que vous supprimiez ce script une fois que vous avez terminé. Vous pouvez cliquer sur le bouton « Supprimer » Si vous ne le faites pas, cela pourrait laisser votre site web ouvert aux attaques.

Il est également recommandé de procéder à une double vérification sur votre serveur web et de confirmer que le dossier/script a été complètement supprimé. Remarque : Ce script mettra à jour toutes vos entrées dans votre base de données, y compris l’URL de votre site WordPress, les liens codés en dur sur les pages et les articles, etc.

Si vous avez codé en dur vos zones d’accueil, de site ou de contenu WP dans votre fichier wp-config.php, assurez-vous de les mettre à jour en HTTPS :

define('WP_HOME', 'https://yourdomain.com');

define('WP_SITEURL', 'https://yourdomain.com');

define( 'WP_CONTENT_URL', 'https://yourdomain.com/wp-content' );

Si vous disposez d’un CDN et que vous utilisez un CNAME, tel que cdn.domain.com, vous voudrez probablement exécuter le script ci-dessus une deuxième fois pour rechercher toutes les URL codées en dur de http://cdn.domain.com et les remplacer par https://cdn.domain.com.

Option 4 : Rechercher et remplacer avec WP-CLI

Vous pouvez également mettre à jour vos liens en utilisant WP-CLI pour les personnes et les développeurs plus avertis qui n’aiment pas quitter la ligne de commande. Nous vous recommandons de consulter cette recherche avancée et de remplacer le guide WP-CLI.

7. Mise à jour des scripts personnalisés et des bibliothèques externes

Maintenant que vous avez mis à jour vos anciennes URL codées en dur, vous voudrez vérifier tous les scripts personnalisés ou les bibliothèques externes que vous pourriez avoir ajoutés à votre en-tête, pied de page, etc. Cela pourrait inclure Google jQuery, Font Awesome, CrazyEgg, AdRoll, Facebook, Hotjar, etc.

Pour Google jQuery, vous devez simplement le mettre à jour pour qu’il pointe vers la version HTTPS :

<script src="https://ajax.googleapis.com/ajax/libs/jquery/3.1.0/jquery.min.js"></script>

Chaque fournisseur et service devrait avoir une version HTTPS vers laquelle vous pouvez passer.

8. Migrer le CDN de HTTP à HTTPS

Ensuite, si vous utilisez un CDN, vous voudrez également le faire migrer vers HTTPS. Sinon, vous rencontrerez des problèmes d’avertissement de contenu mixte sur votre site WordPress. Si vous utilisez le CDN de Kinsta, vous pouvez sauter cette étape car tout fonctionne à partir de notre CDN alimenté par Cloudflare sur HTTPS par défaut.

Alternatives au CDN Cloudflare

Il existe de nombreuses options si vous recherchez une alternative au CDN Cloudflare. L’une des plus populaires est KeyCDN.

Ce CDN haute performance accélère la livraison du contenu de votre site web aux visiteurs en le mettant en cache sur des serveurs dans le monde entier. Il assure également la sécurité et la protection contre les attaques DDoS et autres menaces.

Deux autres options sont Amazon CloudFront, qui fait partie d’Amazon Web Services (AWS), et Sucuri, qui aide à optimiser les performances et la vitesse du site web. Il est livré avec un large éventail de fonctions de sécurité.

Voici quelques liens et tutoriels utiles sur l’installation et la configuration de SSL pour différents fournisseurs CDN tiers.

Remarque : certains ont même une intégration Let’s Encrypt, ce qui signifie que le SSL est gratuit. Si vous rencontrez des problèmes, vous pouvez toujours vous adresser à votre fournisseur de CDN pour qu’il vous aide à effectuer votre migration de HTTP à HTTPS.

Une fois le CDN mis à jour, vous devrez vous assurer de le mettre à jour dans le plugin WordPress que vous utilisez pour l’intégration. Dans l’exemple ci-dessous, nous utilisons CDN Enabler:

Changer le CDN en HTTPS
Changer le CDN en HTTPS

Nous basculons l’URL de HTTP à HTTPS, puis nous activons l’option CDN HTTPS en bas. Lorsque vous avez terminé, sélectionnez le bouton Enregistrer les modifications.

9. Vérifiez si votre site web reçoit des avertissements de contenu mixte

Ensuite, vous voudrez vérifier votre site WordPress pour vous assurer que vous ne recevez pas d’avertissements de contenu mixte. Ces avertissements apparaissent lors du chargement de scripts ou de contenu HTTPS et HTTP. Vous ne pouvez pas charger les deux.

Lorsque vous migrez vers HTTPS, tout doit être exécuté en HTTPS. Wired a documenté leur transition de HTTP à HTTPS et un accroc qu’ils ont rencontré :

l’un des plus grands défis de la migration vers HTTPS est de préparer tout notre contenu à être diffusé via des connexions sécurisées. Si une page est chargée en HTTPS, toutes les autres ressources (comme les images et les fichiers Javascript) doivent également être chargés en HTTPS. Nous constatons un volume élevé de rapports sur ces problèmes de « contenu mixte », ou des événements dans lesquels une ressource HTTP non sécurisée est chargée dans le contexte d’une page HTTPS sécurisée. Pour bien faire notre déploiement, nous devons nous assurer que nous avons moins de problèmes de contenu mixte, c’est-à-dire que nous diffusons la plus grande partie possible du contenu de WIRED.com de manière sécurisée.

Vous trouverez ci-dessous quelques exemples de ce qui se passe dans les navigateurs si vous ne corrigez pas ces avertissements.

Exemple d’avertissement de contenu mixte pour Chrome

Voici un exemple de ce qui se passe dans Chrome lorsqu’un avertissement de contenu mixte se déclenche :

Avertissement de contenu mixte dans Chrome
Avertissement de contenu mixte dans Chrome

Exemple d’avertissement de contenu mixte pour Firefox

Voici un exemple de ce qui se passe dans Firefox lorsqu’un avertissement de contenu mixte se déclenche :

Avertissement de contenu mixte de Firefox
Avertissement de contenu mixte de Firefox

Exemple d’avertissement de contenu mixte pour Internet Explorer

Voici un exemple de ce qui se passe dans Internet Explorer lorsqu’un avertissement de contenu mixte se déclenche :

Avertissement de contenu mixte IE
Avertissement de contenu mixte IE

Comme vous pouvez le voir, IE est probablement l’un des pires car il interrompt le rendu de la page jusqu’à ce que la popup soit cliquée.

Il existe un excellent petit outil gratuit appelé SSL Check de JitBit, que vous pouvez exécuter pour analyser rapidement votre site web ou votre URL à la recherche de contenu non sécurisé. L’outil explorera votre site WordPress HTTPS et recherchera les images, scripts et fichiers CSS non sécurisés qui déclencheront un message d’avertissement dans les navigateurs. Le nombre de pages explorées est limité à 200 par site web.

Vous pouvez également utiliser Chrome DevTools pour vérifier rapidement n’importe quelle page en consultant le panneau des requêtes réseau. Le panneau de sécurité est également très utile. Vous pouvez immédiatement voir toutes les origines non sécurisées, puis cliquer dans les requêtes pour voir d’où elles proviennent :

Vérifier HTTPS dans Chrome Devtools
Vérifier HTTPS dans Chrome Devtools

Il existe également un logiciel pour ordinateur de bureau appelé HTTPS Checker que vous pouvez installer pour analyser votre site :

Logiciel HTTPS checker
Logiciel HTTPS checker

Après des modifications importantes, il peut vous aider à vérifier les avertissements et le contenu « non sécurisé ». Il est disponible sur Windows, Mac et Ubuntu. Le plan gratuit vous permet de vérifier jusqu’à 100 pages.

10. Mettez à jour le profil de Google Search Console

Maintenant que votre site WordPress est opérationnel sur HTTPS (en espérant qu’il n’y ait pas d’avertissements), il est temps de se plonger dans l’aspect marketing. Certains de ces éléments sont très importants, alors ne les sautez pas !

Vous voudrez d’abord créer un nouveau profil Google Search Console pour la version HTTPS.

Ajouter la propriété HTTPS dans la GSC
Ajouter la propriété HTTPS dans la GSC

Après avoir créé la nouvelle version HTTPS, vous voudrez soumettre à nouveau vos fichiers sitemap. Les nouvelles versions HTTPS :

Fichier sitemap HTTPS
Fichier sitemap HTTPS

Vous devrez soumettre à nouveau ce fichier si vous avez un fichier de désaveu provenant de mauvais backlinks ou d’une pénalité. Vous pourriez nuire de façon permanente à votre site si vous ne le faites pas maintenant.

Rendez-vous sur l’outil de désaveu de Google et cliquez sur votre profil HTTP original. Téléchargez le fichier de désaveu s’il existe. Revenez ensuite à l’outil et soumettez votre fichier de désaveu sous la version HTTPS.

Remarque : après avoir effectué toutes ces opérations, vous pouvez supprimer le profil HTTP en toute sécurité dans Google Search Console.

11. Bing Webmaster Tools

Bing Webmaster Tools est un peu différent de Google Search Console :

Bing Webmaster Tools HTTPS
Bing Webmaster Tools HTTPS

Vous n’avez pas besoin de créer un nouveau profil HTTPS. Au lieu de cela, vous pouvez simplement soumettre votre sitemap HTTPS nouvellement créé.

12. Google Analytics

Ensuite, vous devez mettre à jour votre propriété et votre vue Google Analytics. Cela n’affectera pas vos données d’analyse : cela vous aidera simplement lorsque vous relierez votre site à Google Search Console, etc.

Pour mettre à jour votre propriété, cliquez dans les réglages de la propriété de votre domaine et, sous l’URL par défaut, changez-la pour la version HTTPS:// :

Mettre à jour la propriété de Google Analytics en HTTPS
Mettre à jour la propriété de Google Analytics en HTTPS

Pour mettre à jour votre vue, cliquez sur les réglages de vue de votre domaine. Sous l’URL du site web, changez-la pour la version HTTPS:// :

Mettre à jour la vue de Google Analytics en HTTPS
Mettre à jour la vue de Google Analytics en HTTPS
Relier Google Analytics à la SGC
Relier Google Analytics à la SGC

Vous voudrez également relier votre profil Google Search Console nouvellement créé à l’étape 8 avec votre compte Google Analytics. Pour cela, cliquez dans les réglages de propriété de votre domaine, puis sélectionnez Ajuster Search Console :

Vous pouvez ensuite lier votre nouveau profil GSC HTTPS. En les reliant, vous permettez aux données des requêtes de recherche de circuler dans votre compte Google Analytics.

13. Chaîne YouTube

Si vous avez une chaîne YouTube, vous voudrez ré-associer votre site web avec votre nouvelle version HTTPS dans Google Search Console. Sinon, vous obtiendrez des erreurs avec des annotations et d’autres messages indiquant que le lien HTTPS n’est pas valide.

Dans votre tableau de bord YouTube, cliquez sur votre chaîne, puis sur Avancé. Ensuite, changez votre domaine pour la nouvelle version HTTPS et cliquez sur Ajouter. Il se peut que vous deviez supprimer l’ancien domaine, puis le réinscrire. Vous devrez ensuite l’approuver en allant dans Google Search Console, en naviguant dans vos messages pour ce site et en sélectionnant Approuver.

14. Divers

C’est à peu près tout pour ce qui est de votre migration de HTTP à HTTPS ! Voici quelques autres éléments divers que vous voudrez mettre à jour également. Certains d’entre eux peuvent s’appliquer ou non en fonction de ce que vous utilisez.

  • Veillez à vérifier que votre robots.txt est accessible et fonctionne.
  • Assurez-vous que toute balise canonique pointe vers la version HTTPS (cela devrait déjà avoir été fait si vous avez suivi l’étape 4 ci-dessus).
  • Si vous utilisez une extension de commentaires telle que Disqus, vous devez faire migrer vos commentaires Disqus de HTTP à HTTPS.
  • Mettez à jour vos URL dans votre logiciel de marketing par e-mail
  • Mettez à jour les URL des annonces PPC : AdWords, Bing Ads, AdRoll, Facebook Ads, etc.
  • Mettez à jour les liens vers les réseaux sociaux (Page Facebook, Bio Twitter, Pinterest, Google+, etc.)

Résumé

HTTPS n’est pas seulement un facteur de classement Google. C’est un protocole de sécurité essentiel qui permet de protéger votre site Web et vos visiteurs contre les attaques.

Si vous avez tardé à passer au HTTPS, nous espérons que cet article vous a finalement incité à franchir le pas. Êtes-vous prêt à franchir le pas ? Si vous avez besoin d’aide en cours de route, notre équipe d’experts est plus qu’heureuse de vous assister.

Vous avez des questions sur la migration de HTTP à HTTPS ? Faites-nous en part dans la section des commentaires ci-dessous !

Salman Ravoof

Salman Ravoof is a self-taught web developer, writer, creator, and a huge admirer of Free and Open Source Software (FOSS). Besides tech, he's excited by science, philosophy, photography, arts, cats, and food. Learn more about him on his website, and connect with Salman on Twitter.