Depuis le 24 juillet 2018, Google Chrome marque tous les sites non-HTTPS comme « Non sécurisé ». Peu importe qu’ils recueillent des données ou non. C’est pourquoi le HTTPS est plus important que jamais !

Dans l’article d’aujourd’hui, nous allons plonger profondément dans une migration HTTP vers HTTPS et partager des conseils applicables afin de rendre la transition de votre site WordPress aussi fluide que possible. Comme certains d’entre vous le savent peut-être, Google a travaillé dur pour atteindre son objectif de faire passer tout le monde sur un site web plus sûr. Pour les propriétaires de sites WordPress, il est toujours bon d’être proactif. Grâce aux nouveaux protocoles, aux avantages du référencement et à des données de référence encore plus précises, il n’y a jamais eu de meilleur moment pour migrer vers HTTPS. Découvrez tout sur le pourquoi et le comment ci-dessous.

 

 

Qu’est ce que le HTTPS ?

HTTPS (Hyper Text Transfer Protocol Secure) est un mécanisme qui permet à votre navigateur ou application web de se connecter de manière sécurisée avec un site web. HTTPS est l’une des mesures pour vous aider à naviguer en toute sécurité. Cela inclut des choses comme la connexion à votre site web bancaire, la capture des informations de carte de crédit, et même la connexion à à l’administration de votre site WordPress. HTTPS sur votre site web WordPress exige que vous ayez un certificat SSL pour le cryptage. Ceci permet de s’assurer qu’aucune donnée n’est jamais transmise en texte clair.

Selon Builtwith, à partir de février 2018, 49.8% des top 10,000 sites web utilisent HTTPS. Il s’agit d’une hausse par rapport à 5,68 % en septembre 2015..

Utilisation du HTTPS sur les principaux sites web

Utilisation du HTTPS sur les principaux sites web

À partir de février 2018, MozCast signale que plus de 77 % des requêtes de recherche se font par HTTPS, en hausse par rapport à 26 % en janvier 2016. Cela signifie qu’il y a beaucoup de sites qui migrent de HTTP vers HTTPS.

Requêtes HTTPS MozCast

Requêtes HTTPS MozCast

Même Google lui-même fait pression pour que la marque de cryptage à 100 % soit appliquée à tous ses produits et services. En janvier 2018, environ 91% du trafic vers Google se fait via HTTPS. C’est en hausse par rapport à 48% en décembre 2013.

trafic HTTPS de Google

Trafic HTTPS de Google

Et selon les données de télémétrie de Firefox et les statistiques de Let’s Encrypt, plus de 66% des chargements de pages sont maintenant en HTTPS.

Pourquoi devriez-vous vous intéresser à HTTPS ?

Il y a en fait un certain nombre de raisons pour lesquelles les propriétaires de sites web WordPress devraient se soucier de HTTPS et penser à migrer de HTTP vers HTTPS maintenant plutôt que plus tard.

1. Securité

Bien sûr, la plus grande raison pour HTTPS est la sécurité supplémentaire. En migrant de HTTP vers HTTPS, vous servez maintenant votre site web via une connexion SSL/TLS cryptée. Cela signifie que les données et les informations ne sont plus transmises en texte clair. Pour les sites de commerce électronique qui traitent l’information sur les cartes de crédit, c’est obligatoire. Ce n’est pas techniquement requis par la loi, mais il est de votre responsabilité en tant qu’entreprise de protéger les données personnelles de vos clients.

En plus du commerce électronique, cela peut même s’appliquer à vos pages de connexion WordPress sur les blogs. Surtout pour ceux d’entre vous qui exploitent des sites web WordPress à auteurs multiples, si vous utilisez HTTP, chaque fois qu’une personne se connecte, cette information est transmise au serveur en texte clair. HTTPS est absolument vital pour maintenir une connexion sécurisée entre un site web et un navigateur. De cette façon, vous pouvez mieux empêcher les pirates et/ou un intermédiaire d’accéder à votre site web.

2. SEO

Google a officiellement déclaré que le HTTPS est un facteur de classement. Bien qu’il ne s’agisse que d’un petit facteur de classement, la plupart d’entre vous prendraient probablement n’importe quel avantage que vous pouvez pour être dans les SERPs et battre vos concurrents. Et en raison de la pression de Google pour que tout le monde migre vers HTTPS, vous pouvez parier que le poids de ce facteur de classement augmentera très probablement à l’avenir. Voici un excellent article sur l’impact de TLS/SSL sur les classements.

Et il suffit de regarder certaines des autres données entourant le SEO et le HTTPS ! Matthew Barby a fait une analyse de 1 million d’URLs et a constaté que plus de 33% de toutes les pages se classant 1, 2 ou 3 dans Google utilisent HTTPS.

Utilisation du HTTPS vs classement Google

Utilisation du HTTPS vs classement Google

3. Confiance et crédibilité

Selon une étude de GlobalSign, 28.9% des visiteurs recherchent la barre d’adresse verte dans leur navigateur. Et 77 % d’entre eux craignent que leurs données soient interceptées ou mal utilisées en ligne.

Barre d'adresse HTTPS

HTTPS peut aider votre entreprise en construisant ce que nous appelons la confiance SSL. En voyant ce cadenas vert, les clients auront instantanément plus de tranquillité d’esprit en sachant que leurs données sont plus sûres.

4. Données de références

Cette raison est pour tous les spécialistes du marketing. Si vous utilisez Google Analytics, vous êtes probablement familier avec les données de référence. Ce que beaucoup de gens ne réalisent pas, c’est que les données de référence HTTPS vers HTTP sont bloquées dans Google Analytics. Qu’advient-il des données ? Eh bien, la plus grande partie est simplement regroupée avec la section « trafic direct ». Si quelqu’un passe de HTTP à HTTPS, le référant est toujours passé.

Ceci est également important parce que si votre trafic de référence a soudainement chuté mais que le trafic direct a augmenté, cela pourrait signifier qu’un de vos plus gros référents a récemment migré vers HTTPS. L’inverse est également vrai. Jetez un coup d’œil à ce guide plus détaillé de Moz sur le trafic direct.

5. Avertissements de Chrome

Depuis le 24 juillet 2018, les versions de Chrome 68 et plus récentes marquent tous les sites non-HTTPS comme « Non Sécurisés ». Peu importe qu’ils recueillent des données ou non. C’est pourquoi HTTPS est plus important que jamais !

Chrome 68 not secure

Mention non sécurisé sur Chrome 68

Et avec Chrome 70 à venir en octobre 2018, tous les sites non-HTTPS seront marqués comme « non sécurisés » avec un grand avertissement rouge (sur les pages où les utilisateurs saisissent les données).  Ceci est particulièrement important si votre site web reçoit la majorité de son trafic de Chrome. Vous pouvez regarder dans Google Analytics sous la section Audience dans Navigateur & OS afin de voir le pourcentage de trafic que votre site WordPress reçoit de Google Chrome.

Avertissement rouge non sécurisé Chrome

Avertissement rouge non sécurisé Chrome (Image source: Google)

Chrome détient plus de 56% de part de marché des navigateurs, donc cela va avoir un impact sur un grand nombre de vos visiteurs. Vous pouvez également vérifier quels navigateurs vos visiteurs utilisent dans Google Analytics sous « Audience > Technologie > Navigateur & OS ». Comme vous pouvez le voir dans cet exemple ci-dessous, plus de 63% des visiteurs du site utilisent Google Chrome.

Utilisation de Chrome des visiteurs

Utilisation de Chrome des visiteurs

Google indique beaucoup plus clairement aux visiteurs que votre site web WordPress ne fonctionne peut-être pas sur une connexion sécurisée. Voici quelques conseils de Google sur la façon d’éviter l’avertissement.

Firefox a également suivi et à partir de la sortie de Firefox 51 à la fin de Janvier, ils montreront aussi un cadenas gris avec une ligne rouge à travers lui pour les sites non sécurisés qui recueillent des mots de passe. Et bien sûr, si vous migrez l’ensemble de votre site vers HTTPS, vous n’avez pas à vous en soucier.

Cadenas gris Firefox non sécurisé

Cadenas gris Firefox non sécurisé

Vous pouvez également commencer à recevoir les avertissements suivants de Google Search Console si vous n’avez pas encore migré vers HTTPS.

À : propriétaire de http://www.domain.com

Les URLs suivantes comprennent des champs de saisie de mots de passe ou de détails de carte de crédit qui déclencheront le nouvel avertissement Chrome. Passez en revue ces exemples pour voir où ces avertissements apparaîtront, et ainsi vous pouvez prendre des mesures pour aider à protéger les données des utilisateurs. La liste n’est pas exhaustive.
http://www.domain.com

Le nouvel avertissement est la première étape d’un plan à long terme pour marquer toutes les pages servies sur le protocole HTTP non crypté comme « Non sécurisées ».

6. Performance

Et pour finir, nous avons la performance. En raison d’un nouveau protocole appelé HTTP/2, les sites correctement optimisés sur HTTPS peuvent même voir des améliorations de vitesse. HTTP/2 nécessite HTTPS en raison de la prise en charge du navigateur. L’amélioration de la performance est due à une variété de raisons telles que le fait que HTTP/2 peut supporter un meilleur multiplexage, le parallélisme, la compression HPACK avec codage Huffman, l’extension ALPN, et les push serveur. Il y avait pas mal de frais généraux de TLS lorsqu’il s’agissait de rouler sur HTTPS, mais c’est maintenant beaucoup moins. TLS 1.3 qui sortira bientôt accélérera encore plus les connexions HTTPS !

Il est également important de noter que les optimisations de performance web telles que le sharding de domaine et la concaténation peuvent maintenant nuire à votre performance. Celles-ci sont obsolètes et ne devraient plus être utilisées pour la plupart.

Tout ce qui se trouve sur le web devrait être crypté par défaut.. –  Jeff Atwood, Co-fondateur de Stack Overflow

Guide de migration HTTP vers HTTPS

Maintenant, il est temps de passer à la partie amusante, la migration de votre site WordPress de HTTP vers HTTPS. Passons d’abord en revue certaines des exigences de base dont vous aurez besoin et certaines choses à connaître.

  • Vous aurez besoin d’un certificat SSL. Nous reviendrons plus en détails sur ce point ci-dessous.
  • Vérifiez que votre hébergeur WordPress et votre fournisseur CDN prennent en charge HTTP/2. Kinsta dispose d’un support HTTP/2 pour tous nos clients. Ce n’est pas nécessaire, mais vous le voudrez pour la performance.
  • Vous voudrez mettre de côté un bon bloc de temps pour faire votre migration HTTPS. Ce n’est pas quelque chose qui peut être fait en 5 minutes.
  • Vérifiez que tous les services et scripts externes que vous utilisez ont une version HTTPS disponible.
  • Il est important de savoir que vous perdrez le nombre de partages sociaux sur tous vos articles et pages à moins que vous n’utilisiez un plugin qui supporte la récupération des partages. C’est parce que votre compte de partages est basé sur une API qui regardait la version HTTP, et vous n’avez aucun contrôle sur les réseaux sociaux tiers.
  • Selon la taille de votre site, il se peut que Google mette un certain temps à parcourir à nouveau toutes vos nouvelles pages et articles HTTPS. Pendant cette période, vous pouvez voir des variations dans le trafic ou les classements.
  • N’oubliez pas les citations locales.
Nous vous recommandons de désactiver votre intégration CDN et de désactiver tout plugin de mise en cache avant de commencer, car cela peut compliquer les choses.

1. Choisir un certificat SSL

La première chose que vous devrez faire est acheter un certificat SSL si vous n’en avez pas. Google recommande l’utilisation d’une clé de certificat de 2048-bit ou plus. Nous vous recommandons d’acheter des certificats auprès de fournisseurs tels que Comodo, DigiCert, GeoTrust, Thawte, Rapidssl ou Trustwave. Mais il existe des alternatives moins chère comme GoGetSSL, NameCheap, et GoDaddy. Il existe trois principaux types de certificats parmi lesquels vous pouvez choisir :

  • Domain Validation: Un seul domaine ou sous-domaine, (validation DNS ou email), émis en quelques minutes. Ces derniers peuvent généralement être achetés pour aussi peu que 9$ par année.
  • Business/Organization Validation: Un seul domaine ou sous-domaine, nécessite une vérification commerciale qui fournit un niveau de sécurité/de confiance plus élevé, délivré dans un délai de 1 à 3 jours.
  • Extended Validation: Un seul domaine ou sous-domaine, nécessite une vérification commerciale qui fournit un niveau de sécurité/de confiance plus élevé, délivré dans un délai de 2 à 7 jours. Ceci permet d’activer la barre verte complète comme vous le voyez sur les sites web bancaires.

Let’s Encrypt

À partir de avril 2016, Let’s Encrypt a également créé un moyen d’obtenir des certificats SSL gratuits. Vérifiez auprès de votre hébergeur WordPress et de votre fournisseur CDN pour voir s’ils ont une intégration Let’s Encrypt. Vous pouvez également suivre le guide Certbot sur la façon de les installer manuellement. Les certificats Let’s Encrypt expirant tous les 90 jours, il est important d’avoir un système automatisé en place.

Si vous êtes client Kinsta, nous avons maintenant une intégration Let’s Encrypt ! Cela signifie que l’installation d’un certificat SSL est aussi simple que 123. Connectez-vous à votre tableau de bord MyKinsta et cliquez sur « Gérer » à côté de votre site WordPress.

Gérer site WordPress

Gérer site WordPress

Cliquez sur « Outils » et sous Activer HTTPS, sélectionnez « Ajouter un certificat Let’s Encrypt ».

Ajouter un certificat Let's Encrypt

Générer un certificat Let’s Encrypt gratuit

Vous aurez alors la possibilité de choisir les domaines sur lesquels vous voulez qu’un certificat SSL soit installé. Si votre site est http://domain.com et a une redirection de www à non-www, vous voudrez toujours sélectionner les deux pour la redirection HTTPS. Cliquez sur « Générer ». (Note : Vous devrez ajouter tous vos domaines avant cela à partir du tableau de bord MyKinsta, y compris les sous-domaines qui nécessitent le SSL).

L'identification HTTPS des domaines

L’identification HTTPS

Et c’est tout ! Il faudra quelques secondes pour l’installer et votre site devrait être sécurisé.

2. Installation d’un certificat SSL personnalisé

Si vous avez acheté un certificat SSL, vous devez installer le certificat SSL sur votre site WordPress. Lorsque vous passez en revue la configuration du certificat avec le fournisseur, il vous est demandé de fournir le type de serveur. Si vous êtes un client Kinsta, le type de nos serveurs web est Nginx, si cette option n’est pas disponible, alors « Autre » fonctionnera aussi bien.

Le fournisseur SSL aura besoin d’un code CSR pour créer/signer le fichier de certificat. Pour générer un code CSR et une clé RSA, veuillez remplir le formulaire suivant : https://www.ssl.com/online-csr-and-key-generator/.

Nous vous recommandons de remplir tous les champs, mais au minimum, vous devez remplir les champs suivants comme dans l’exemple ci-dessous :

  • Common name (domain name)
  • Email Address
  • Organization
  • City / Locality
  • State / County / Region
  • Country

Note : Pour le champ « Common name », si vous générez un certificat wildcard, vous devrez entrer votre nom de domaine comme suit *.domain.com.

Formulaire de génération de CSR

Formulaire de génération de CSR

Le formulaire vous permettra de générer le fichier de la clé privée et le CSR. Assurez-vous de sauvegarder les deux car le certificat sera inutilisable sans eux.

CSR et clé privée

CSR et clé privée

Envoyez votre CSR avec votre fournisseur SSL pour régénérer votre certificat SSL (.cert).

Vous devrez ensuite vous rendre chez votre hébergeur WordPress et lui donner le certificat et la clé privée. Si vous êtes un client Kinsta, vous pouvez vous connecter au tableau de bord, cliquer sur un site, aller à l’onglet Outils et, sous Activer HTTPS, sélectionner « Ajouter un HTTPS personnalisé » pour commencer.

Installer un certificat SSL sur WordPress

Installer un certificat SSL personnalisé sur WordPress

Vous pourrez alors ajouter votre clé privée et votre certificat ici.

Appliquer le certificat

Appliquer le certificat

3. Vérifier votre certificat SSL

Maintenant que votre certificat SSL est installé, vous devriez le vérifier pour vous assurer que tout est correctement configuré. Un moyen rapide et facile de le faire est d’utiliser l’outil de contrôle SSL gratuit de Qualys SSL Labs. Si tout est parfait, vous devriez obtenir la note A au test, comme indiqué ci-dessous.

Note A vérification SSL

Vérifier la note du SSL

Consultez notre tutoriel plus approfondi sur la façon d’effectuer un contrôle SSL.

4. Rediriger HTTP vers HTTPS

Après avoir vérifié votre certificat SSL, la prochaine chose à faire est de rediriger en permanence tout le trafic HTTP vers HTTPS. Il existe deux options différentes lorsque vous choisissez de rediriger HTTP vers HTTPS dans WordPress. L’une est de le faire au niveau du serveur (recommandé) ou vous pouvez le faire avec une extension WordPress gratuite. Note : Nos exemples incluent tous une directive de redirection 301 qui est la bonne façon de l’implémenter en ce qui concerne le référencement. L’utilisation d’un autre type de redirection pourrait nuire à votre classement. Il est également important d’être conscient que les redirections 301 pourraient ne pas passer 100% du jus de lien, même si Google pourrait dire qu’ils le font. Jetez un coup d’oeil à cet article de Cyrus sur Moz concernant les migrations HTTPS et les redirections 301.

Rediriger HTTP vers HTTPS sur NginxRediriger HTTP vers HTTPS sur NGINX

Si votre serveur web utilise Nginx, vous pouvez facilement rediriger tout votre trafic HTTP vers HTTPS en ajoutant le code suivant à votre fichier de configuration Nginx. C’est la méthode recommandée pour rediriger un WordPress fonctionnant sur Nginx.

server { listen 80; server_name domain.com www.domain.com; return 301 https://domain.com$request_uri; }

Nous utilisons Nginx pour tout le monde ici à Kinsta. La grande nouvelle, c’est que vous n’avez pas à vous inquiéter à ce sujet. Si vous avez besoin d’ajouter une redirection, ouvrez simplement un ticket de support rapide et indiquez-nous quel domaine vous avez besoin de rediriger. Nous l’ajoutons ensuite à la configuration de Nginx pour vous.

Rediriger HTTP vers HTTPS sur Apacheredirect http to https in apache

src: Apache Software Foundation

Si votre serveur web utilise Apache, vous pouvez facilement rediriger tout votre trafic HTTP vers HTTPS en ajoutant le code suivant à votre fichier .htaccess. C’est la méthode recommandée pour rediriger un WordPress fonctionnant sur Apache.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Aucun des serveurs de Kinsta n’utilise Apache..

Rediriger HTTP vers HTTPS avec l’extension Really Simple SSL

La troisième option que vous avez pour rediriger de HTTP vers HTTPS est d’utiliser l’extension WordPress gratuite Really Simple SSL. Nous ne recommandons pas cette méthode comme solution permanente parce que les extensions tierses peuvent toujours introduire une autre couche de problèmes et des problèmes de compatibilité. C’est une bonne solution temporaire, mais vous devriez vraiment mettre à jour vos liens HTTP codés en dur comme nous vous le montrerons à l’étape suivante.

Extension Really Simple SSL

Extension Really Simple SSL

Implémenter le Header HSTS (facultatif)

HSTS (HTTP Strict Transport Security) est un en-tête de sécurité que vous ajoutez à votre serveur web qui oblige le navigateur à utiliser des connexions sécurisées lorsqu’un site est en cours d’exécution sur HTTPS. Cela peut aider à prévenir les attaques « man-in-the-middle » (MitM) et le détournement de cookie. Vous pouvez utiliser les redirections 301 ci-dessus avec l’en-tête HSTS. Consultez notre article détaillé sur la façon d’ajouter le HSTS.

5. Vérifier qu’il n’y ait pas trop de redirections

Après avoir ajouté une redirection de HTTP vers HTTPS, vous devez vérifier que vous n’avez pas trop de redirections. Ce problème est assez courant et peut affecter la vitesse de votre site WordPress. Vous pouvez utiliser l’outil Redirect Mapper de Patrick Sexton pour voir facilement combien de redirections se produisent sur votre site. Voici un exemple ci-dessous de redirections qui ne sont pas configurées correctement et qui sont facilement repérables à l’aide de l’outil Redirect mapper. Vous pouvez voir qu’il y a des redirections HTTPS en double sur les versions www et non-www.

Redirections mal configurées

Redirections mal configurées

Voici un exemple de redirections correctement paramétrées. Comme vous pouvez le voir, il n’y a qu’une seule redirection.

Redirections configurées correctement

Redirections configurées correctement

Consultez notre article en profondeur sur les redirections WordPress et les meilleures pratiques pour des performances plus rapides.

6. Mise à jour des liens HTTP codés en dur

Maintenant que vous avez des redirections en place, il est temps de réparer toutes ces URL HTTP codées en dur. En général, il n’est pas recommandé de coder les URLs en dur, mais très probablement avec le temps, nous le faisons tous. Vous trouverez ci-dessous quelques options pour mettre à jour vos liens HTTP vers HTTPS.

Option 1 – L’outil Chercher et Remplacer de Kinsta

Si vous êtes client chez Kinsta, nous avons un outil de recherche et remplacement très facile à utiliser dans le tableau de bord MyKinsta.

Outil Chercher et Remplacer de Kinsta

Outil Chercher et Remplacer de Kinsta

Voici les étapes simples pour mettre à jour les URL HTTP vers HTTPS :

  1. Entrez dans le champ de recherche la valeur que vous voulez rechercher dans la base de données, qui dans ce cas est notre domaine HTTP : http://wpdev.ink.
  2. Saisissez dans la champ de remplacement la nouvelle valeur qui doit être utilisée pour remplacer la valeur que vous recherchez. Dans ce cas, il s’agit de notre domaine HTTPS, https://wpdev.ink.
  3. Assurez-vous que l’option « Dry Run » est sélectionnée en premier, car cela comptera combien de remplacements seront effectués sans que les remplacements ne soient réellement effectués. Cliquez ensuite sur « Remplacer ».
  4. Vous pouvez ensuite exécuter à nouveau « Remplacer » sans sélectionner Dry Run pour effectuer les modifications dans la base de données.
Confirmation de la recherche et du remplacement en ligne

Confirmation de la recherche et du remplacement en ligne

Lisez notre article sur la recherche et le remplacement pour plus de détails.

Option 2 – Extension Better Search Replace

Vous avez des problèmes de temps d'indisponibilité et de WordPress ? Kinsta est la solution d'hébergement conçue pour vous faire gagner du temps ! Découvrez nos fonctionnalités

Une autre méthode facile que vous pouvez utiliser est une extension gratuite appelée Better Search Replace, par l’excellante équipe WordPress de Delicious Brains.

Options de better search replace

Options de better search replace

Option 3 – Script PHP interconnect/it Search Replace DB

A third option you have for running a WordPress search and replace is to use a free PHP script from interconnect/it called Search Replace DB. This is one of our favorite tools to use with any HTTP to HTTPS migration.Une troisième option que vous avez pour exécuter une recherche et un remplacement WordPress est d’utiliser un script PHP gratuit d’interconnect/it appelé Search Replace DB. C’est l’un de nos outils préférés à utiliser avec n’importe quelle migration HTTP vers HTTPS.

Important ! L’utilisation de ce script pourrait casser votre site WordPress si vous ne savez pas ce que vous faites. Si vous n’êtes pas à l’aise de le faire, veuillez d’abord vérifier auprès d’un développeur ou de votre hébergeur.

Pour utiliser le script, téléchargez simplement le fichier zip, extrayez le dossier search-replace-db-master, et renommez-le en quelque chose de secret de votre choix. Dans notre exemple, nous l’avons renommé update-db-1551. Ensuite, téléchargez-le via FTP, SFTP ou SCP dans le répertoire public de votre serveur web. C’est généralment le même qui contient directement votre dossier /wp-content. Naviguez ensuite jusqu’à votre dossier secret dans votre navigateur, comme https://domain.com/update-db-1551.

Script interconnect search replace

Script interconnect search replace

Le script tentera automatiquement de trouver et de remplir le champ de la base de données mais vous devez vérifier que les détails sont corrects et qu’il s’agit bien de la base de données sur laquelle vous souhaitez effectuer une opération de recherche/remplacement. Vous pouvez d’abord cliquer sur « dry run » pour voir ce qu’il va mettre à jour/remplacer. Ensuite, lorsque vous êtes prêt, cliquez sur « live run » qui effectuera les mises à jour de la base de données et la recherche et le remplacement de WordPress.

Et l’exemple d’une migration HTTPS serait de remplacer « http://yourdomain.com » par « https://yourdomain.com. ».

Options search replace

Options search replace

Il est également très important pour des raisons de sécurité que vous supprimiez ce script une fois que vous avez terminé ! Vous pouvez cliquer sur le bouton « effacer ». Si vous ne le faites pas, cela pourrait laisser votre site Web ouvert aux attaques. Il est également recommandé de vérifier deux fois sur votre serveur web et de confirmer que le dossier/script a été complètement supprimé. Note : Ce script mettra à jour toutes vos entrées dans votre base de données, y compris l’URL de votre site WordPress, les liens codés en dur sur les pages et les messages, etc.

Si vous avez codé en dur votre page d’accueil, votre site ou les zones de contenu WP dans votre fichier wp-config.php, assurez-vous de les mettre à jour en HTTPS.

define('WP_HOME', 'https://yourdomain.com');
define('WP_SITEURL', 'https://yourdomain.com');
define( 'WP_CONTENT_URL', 'https://yourdomain.com/wp-content' );

Si vous avez un CDN et utilisez un CNAME, tel que cdn.domain.com, vous voudrez probablement aussi exécuter le script ci-dessus une deuxième fois pour faire une recherche pour n’importe quelle URL codée en dur http://cdn.domain.com et les remplacer par https://cdn.domain.com.

Option 4 – Chercher et Remplacer avec WP-CLI

Pour les développeurs qui n’aiment pas quitter la ligne de commande, vous pouvez également mettre à jour vos liens à l’aide de WP-CLI. Nous vous recommandons de consulter ce guide sur la recherche et le remplacement avancé avec WP-CLI.

7. Mettre à jour des scripts personnalisés et des librairies externes

Maintenant que vous avez mis à jour vos anciennes URLs codées en dur, vous voudrez vérifier les scripts personnalisés ou les librairies externes que vous auriez pu ajouter dans votre header, footer, etc. Cela pourrait être des choses comme Google jquery, Font Awesome, CrazyEgg, AdRoll, Facebook, Hotjar, etc. Un exemple pour Google jquery, vous le mettriez simplement à jour pour pointer vers la version HTTPS :

<script src="https://ajax.googleapis.com/ajax/libs/jquery/3.1.0/jquery.min.js"></script>

Presque tous les fournisseurs et/ou services devraient avoir une version HTTPS que vous pouvez utiliser.

8. Migrer le CDN de HTTP à HTTPS

Ensuite, si vous utilisez un CDN, vous voudrez également migrer vers HTTPS, sinon vous rencontrerez des problèmes d’avertissement de contenu mixte sur votre site WordPress. Si vous utilisez le CDN Kinsta, vous pouvez sauter cette étape car tout fonctionne de notre CDN sur HTTPS par défaut.

Mais voici quelques liens et tutoriels utiles sur la façon d’installer et de configurer le SSL pour différents fournisseurs de CDN tiers. Note : Certains d’entre eux ont même une intégration Let’s Encrypt, ce qui signifie que le SSL est gratuit. Vous pouvez toujours vérifier avec votre fournisseur CDN pour vous aider avec votre migration HTTP vers HTTPS si vous avez des problèmes.

Une fois que vous aurez mis à jour le CDN, vous voudrez vous en assurer et le mettre à jour que dans n’importe quelle extension WordPress que vous utilisez pour l’intégration. Dans l’exemple ci-dessous, nous utilisons CDN Enabler et nous retournons simplement l’URL de HTTP à HTTPS, et nous activons l’option CDN HTTPS en bas.

Changer le CDN pour le HTTPS

Changer le CDN pour le HTTPS

9. Vérifiez votre site web pour les avertissements de contenu mixte.

Ensuite, vous voudrez faire une dernière vérification sur votre site WordPress pour vous assurer que vous ne recevez pas d’avertissements de contenu mixte. Ces avertissements apparaissent lorsque vous chargez à la fois des scripts ou du contenu HTTPS et HTTP. Vous ne pouvez pas charger les deux. Lorsque vous migrez vers HTTPS, tout doit fonctionner sur HTTPS. Wired a documenté leur transition de HTTP à HTTPS et un problème qu’ils ont rencontré :

« […] L’un des plus grands défis du passage au HTTPS est de préparer l’ensemble de nos contenus à être diffusés via des connexions sécurisées. Si une page est chargée sur HTTPS, toutes les autres ressources (comme les images et les fichiers Javascript) doivent également être chargées sur HTTPS. Nous voyons un volume élevé de rapports sur ces problèmes de « contenu mixte », ou d’événements dans lesquels une ressource HTTP non sécurisée est chargée dans le contexte d’une page HTTPS sécurisée. Pour bien faire notre déploiement, nous devons nous assurer que nous avons moins de problèmes de contenu mixte – que nous diffusons autant de contenu de WIRED.com que possible en toute sécurité. »

Voici quelques exemples de ce qui se passe dans les navigateurs si vous ne corrigez pas ces avertissements.

Exemple d’avertissement de contenu mixte sur Chrome

Voici un exemple de ce qui se passe dans Chrome lorsqu’un avertissement de contenu mixte se déclenche.

Avertissement Chrome contenu mixte

Avertissement Chrome contenu mixte

Exemple d’avertissement de contenu mixte sur Firefox

Voici un exemple de ce qui se passe dans Firefox lorsqu’un avertissement de contenu mixte se déclenche.

Avertissement Firefox contenu mixte

Avertissement Firefox contenu mixte

Exemple d’avertissement de contenu mixte sur Internet Explorer

Voici un exemple de ce qui se passe dans Internet Explorer lorsqu’un avertissement de contenu mixte se déclenche. Comme vous pouvez le voir, IE est probablement l’un des pires parce qu’il brise le rendu de la page jusqu’à ce que le popup soit cliqué.

Avertissement IE contenu mixte

Avertissement IE contenu mixte

Il y a un petit outil gratuit appelé SSL Check de JitBit que vous pouvez exécuter pour analyser facilement votre site web ou URL à la recherche de contenu non sécurisé. L’outil parcourra votre site WordPress HTTPS et cherchera les images, scripts et fichiers css non sécurisés qui déclencheront un message d’avertissement dans les navigateurs. Le nombre de pages parcourues est limité à 200 par site web.

Vous pouvez également utiliser Chrome DevTools pour faire une vérification rapide sur n’importe quelle page en regardant le panneau des requêtes réseau. Le panneau de sécurité est également très utile. Vous pouvez immédiatement voir les origines non sécurisées, puis cliquer sur les demandes pour voir d’où elles viennent.

HTTPS dans Chrome dev tools

Vérifier HTTPs dans Chrome Devtools

Il y a aussi un logiciel de bureau appelé HTTPS Checker que vous pouvez installer et scanner votre site. Il peut vous aider à vérifier les avertissements et le contenu « non sécurisé » après d’importants changements. Il est disponible sous Windows, Mac et Ubuntu. Le plan gratuit vous permet de consulter jusqu’à 100 pages.

Logiciel https checker

Logiciel HTTPS checker

10. Mettre à jour le profil de la console de Google Search

Maintenant que vous avez votre site WordPress opérationnel sur HTTPS et, espérons-le, aucun avertissement, il est temps de plonger dans l’aspect marketing des choses. Certains d’entre eux sont très importants, alors ne les sautez pas ! La première chose que vous voudrez faire est de créer un nouveau profil Google Search Console pour la version HTTPS.

Ajouter une propriété HTTPS dans GSC

Ajouter une propriété HTTPS dans GSC

Après avoir créé la nouvelle version HTTPS, vous voudrez soumettre à nouveau vos fichiers sitemap, les versions HTTPS.

Fichier sitemap HTTPS

Fichier sitemap HTTPS

Si vous avez un fichier de désaveu de mauvais backlinks ou une pénalité, vous devrez le soumettre à nouveau. Tout le monde n’en aura pas un comme ça. C’est très important ! Si vous ne le faites pas, vous pourriez endommager votre site de façon permanente. Allez dans l’outil Google Disavow et cliquez sur votre profil HTTP d’origine. Téléchargez le fichier de désaveu s’il existe. Ensuite, retournez à l’outil à nouveau et soumettez votre fichier de désaveu sous la version HTTPS.

Remarque : Après avoir fait tout cela, vous pouvez supprimer en toute sécurité le profil HTTP dans Google Search Console.

11. Bing Webmaster Tools

Bing Webmaster Tools est un peu différent de Google Search Console. Vous n’avez pas besoin de créer un nouveau profil HTTPS, mais plutôt de soumettre votre plan de site HTTPS nouvellement créé.

https bing webmaster tools

HTTPS Bing Webmaster Tools

12. Google Analytics

Ensuite, vous devez mettre à jour votre propriété et votre vue Google Analytics. Cela n’affectera pas vos données d’analyse, mais cela vous aidera simplement à lier votre site à Google Search Console, etc. Pour mettre à jour votre propriété, cliquez dans les paramètres de propriété de votre domaine et sous l’URL par défaut, changez-la en version HTTPS://.

https propriété google analytics

Mettre à jour la propriété Google Analytics en HTTPS

Pour mettre à jour votre vue, cliquez dans les paramètres d’affichage de votre domaine et, sous l’URL du site Web, changez-le en version HTTPS://.

vue https google analytics

Mise à jour de la vue Google Analytics vers HTTPS

Vous voudrez également relier à nouveau votre nouveau profil Google Search Console que vous avez créé à l’étape 8 avec votre compte Google Analytics. Pour ce faire, cliquez dans les paramètres de propriété de votre domaine, descendez et cliquez sur « Ajuster la console de recherche ». Vous pouvez ensuite lier votre nouveau profil HTTPS GSC. En les reliant entre eux, il permet aux données des requêtes de recherche d’entrer dans votre compte Google Analytics.

lien google analytics search console

Lien Google Analytics vers la GSC

13. Chaîne YouTube

Si vous avez une chaîne YouTube, vous voudrez ré-associer votre site web avec votre nouvelle version HTTPS dans Google Search Console. Sinon, vous obtiendrez des erreurs avec des annotations et d’autres choses dans YouTube se plaignant que le lien HTTPS n’est pas valide. Dans votre tableau de bord YouTube, cliquez sur votre chaîne, puis sur « Avancé ». Ensuite, changez votre domaine à la nouvelle version HTTPS et cliquez sur Ajouter. Il se peut que vous deviez enlever l’ancien et le rajouter à nouveau. Vous devrez ensuite l’approuver en allant dans Google Search Console, en cliquant dans vos messages pour ce site et en cliquant sur approuver.

site associé youtube

Mettre à jour le site web associé à YouTube en HTTPS.

14. Divers

Et c’est à peu près tout ce qui concerne votre migration HTTP vers HTTPS ! Voici d’autres éléments divers que vous voudrez mettre à jour également. Certains d’entre eux peuvent ou non s’appliquer à votre cas, selon ce que vous utilisez.

  • Assurez-vous de vérifier que votre robots.txt est accessible et qu’il fonctionne.
  • Assurez-vous que toutes les balises canoniques pointent vers la version HTTPS (cela aurait déjà dû être fait si vous avez suivi l’étape 4 ci-dessus).
  • If you are running a comment plugin such as Disqus, you will need to migrate your Disqus comments over from HTTP to HTTPS.Si vous utilisez une extension de commentaire telle que Disqus, vous devrez migrer vos commentaires Disqus de HTTP vers HTTPS.
  • Mettez à jour vos URLs dans vos logiciels de marketing par email
  • Mettre à jour les URLs des publicités PPC : AdWords, Bing Ads, AdRoll, Facebook Ads, etc.
  • Mettre à jour les liens vers les médias sociaux (Page Facebook, Bio Twitter, Pinterest, Google+, etc.)

L’équipe de recherche Google vient également de publier des réponses à 13 FAQ sur les migrations HTTPS.

Résumé

Comme vous pouvez le voir, il y a probablement un peu plus de migration HTTP vers HTTPS que ce que vous auriez pu penser à l’origine. Cependant, tout est assez facile et si vous suivez les étapes ci-dessus, vous devriez être prêt à y aller. Si vous êtes un client Kinsta et que vous avez des problèmes avec votre migration HTTPS en ce qui concerne votre site web WordPress, n’hésitez pas à nous contacter. Avons-nous manqué d’autres conseils importants sur la migration HTTP vers HTTPS ? Si oui, n’hésitez pas à les déposer dans les commentaires ci-dessous.