Qu’est-ce que le HTTPS ?<\/strong><\/h2>\nHTTPS (Hypertext Transfer Protocol Secure) est un m\u00e9canisme qui permet \u00e0 votre navigateur ou \u00e0 votre application web de se connecter \u00e0 un site web en toute s\u00e9curit\u00e9. Le protocole HTTPS est l’une des mesures permettant d’assurer la s\u00e9curit\u00e9 de votre navigation.<\/p>\n
Cela inclut la connexion \u00e0 votre site bancaire, la saisie des informations de votre carte de cr\u00e9dit, et m\u00eame la connexion \u00e0 l’administration de votre site WordPress. HTTPS sur votre site web WordPress exige que vous ayez un certificat SSL pour le cryptage. Cela garantit qu’aucune donn\u00e9e n’est jamais transmise en texte clair.<\/p>\n
Selon Builtwith<\/a>, en mars 2022, 73,08 % des 10.000 premiers sites web utilisent HTTPS. Ce chiffre est en hausse par rapport aux 49,8 % enregistr\u00e9s en f\u00e9vrier 2018 :<\/p>\n![\"Utilisation](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/06\/ssl-usage.png\")
Utilisation du HTTPS par le top des sites Web<\/figcaption><\/figure>\nEn mai 2022, MozCast<\/a> rapporte que plus de 98,9 % des requ\u00eates de recherche sont effectu\u00e9es en HTTPS, contre 26 % en janvier 2016. Cela sugg\u00e8re que de nombreux sites sont en train de migrer de HTTP vers HTTPS.<\/p>\n\nM\u00eame Google fait pression pour obtenir cette marque de cryptage \u00e0 100 % sur l’ensemble de ses produits et services. En mai 2022, environ 95 % du trafic vers Google passe par HTTPS<\/a>, contre 48 % en d\u00e9cembre 2013.<\/p>\n![\"Requ\u00eates](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/06\/google-site-encyrption.png\")
Requ\u00eates HTTPS MozCast<\/figcaption><\/figure>\nSelon les donn\u00e9es de t\u00e9l\u00e9m\u00e9trie de Firefox et les statistiques de Let’s Encrypt<\/a>, plus de 78 % des chargements de pages sont d\u00e9sormais en HTTPS.<\/p>\nPourquoi devriez-vous vous int\u00e9resser \u00e0 HTTPS ?<\/strong><\/h2>\nIl y a plusieurs raisons pour lesquelles les propri\u00e9taires de sites web WordPress devraient se soucier du HTTPS et penser \u00e0 migrer de HTTP \u00e0 HTTPS maintenant plut\u00f4t que plus tard.<\/p>\n
1. S\u00e9curit\u00e9<\/strong><\/h3>\nBien s\u00fbr, la plus grande raison pour HTTPS est la s\u00e9curit\u00e9 suppl\u00e9mentaire. En migrant de HTTP vers HTTPS, vous servez d\u00e9sormais votre site web via une connexion SSL\/TLS<\/a> crypt\u00e9e. Cela signifie que les donn\u00e9es et les informations ne sont plus transmises en texte clair. Pour les sites de commerce \u00e9lectronique qui traitent des informations sur les cartes bancaires, c’est indispensable. La loi ne l’exige pas techniquement<\/a>, mais il est de votre responsabilit\u00e9 en tant qu’entreprise de prot\u00e9ger les donn\u00e9es de vos clients.<\/p>\nCela s’applique \u00e9galement \u00e0 vos pages de connexion ou blogs WordPress. Si vous ex\u00e9cutez des sites WordPress multi-auteurs sur HTTP, chaque fois qu’une personne se connecte, cette information est transmise au serveur en texte clair. HTTPS est essentiel pour maintenir une connexion s\u00e9curis\u00e9e entre le site web et le navigateur. De cette fa\u00e7on, vous pouvez mieux emp\u00eacher les pirates d’acc\u00e9der \u00e0 votre site web.<\/p>\n
2. SEO<\/strong><\/h3>\nGoogle a officiellement d\u00e9clar\u00e9 que HTTPS est un facteur de classement<\/a>. Bien qu’il ne s’agisse que d’un petit facteur de classement, la plupart d’entre vous prendraient probablement tout avantage que vous pouvez obtenir dans les SERP pour battre vos concurrents<\/a>.<\/p>\nEn raison de la pression exerc\u00e9e par Google pour que tout le monde redirige le HTTP vers le HTTPS, vous pouvez parier que le poids de ce facteur de classement va tr\u00e8s probablement augmenter \u00e0 l’avenir. Une \u00e9tude de Semrush a r\u00e9v\u00e9l\u00e9 que 98 % du contenu Featured Snippet le plus performant<\/a> sur Google utilise HTTPS.<\/p>\n3. Confiance et cr\u00e9dibilit\u00e9<\/strong><\/h3>\nSelon des \u00e9tudes r\u00e9centes, la plupart des internautes<\/a> s’inqui\u00e8tent de la mani\u00e8re dont leurs donn\u00e9es sont intercept\u00e9es ou utilis\u00e9es \u00e0 mauvais escient en ligne.<\/p>\nHTTPS peut aider votre entreprise en \u00e9tablissant ce que nous appelons la confiance SSL<\/a>. En voyant cette ic\u00f4ne de cadenas \u00e0 c\u00f4t\u00e9 de votre URL<\/a>, les clients auront l’esprit plus tranquille en sachant que leurs donn\u00e9es sont plus s\u00e9curis\u00e9es.<\/p>\n4. Donn\u00e9es de r\u00e9f\u00e9rence<\/strong><\/h3>\nCette raison s’adresse \u00e0 tous les sp\u00e9cialistes du marketing. Si vous utilisez Google Analytics<\/a>, vous \u00eates probablement familier avec les donn\u00e9es de r\u00e9f\u00e9rence. Beaucoup de gens ne r\u00e9alisent pas que les donn\u00e9es de renvoi HTTPS vers HTTP sont bloqu\u00e9es dans Google Analytics. Qu’advient-il alors de ces donn\u00e9es ? La plupart d’entre elles sont simplement regroup\u00e9es dans la section \u00ab trafic direct \u00bb. Le r\u00e9f\u00e9rent est toujours transmis si quelqu’un passe de HTTP \u00e0 HTTPS.<\/p>\nCeci est \u00e9galement important car si votre trafic de r\u00e9f\u00e9rence a soudainement chut\u00e9, mais que le trafic direct a augment\u00e9, cela pourrait signifier que l’un de vos plus grands r\u00e9f\u00e9rents a r\u00e9cemment migr\u00e9 vers HTTPS. L’inverse est \u00e9galement vrai.<\/p>\n
5. Avertissements de Chrome<\/strong><\/h3>\nDepuis 2018<\/a>, les versions de Chrome 68 et sup\u00e9rieures marquent tous les sites non HTTPS comme \u00ab non s\u00e9curis\u00e9s \u00bb, m\u00eame s’ils ne collectent pas de donn\u00e9es :<\/p>\n![\"Connexion](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/06\/chrome-not-secure.png\")
Connexion non s\u00e9curis\u00e9e sur Chrome<\/figcaption><\/figure>\nEn 2021, le navigateur a commenc\u00e9 \u00e0 passer par d\u00e9faut en HTTPS pour les URL incompl\u00e8tes<\/a>. Par exemple, si un utilisateur tape \u00ab domaine.com \u00bb, Chrome utilisera automatiquement \u00ab https:\/\/domaine.com \u00bb Si le HTTPS \u00e9choue parce qu’il n’y a pas de SSL\/TLS, il reviendra au HTTP.<\/p>\nChrome d\u00e9tient plus de 77 % de la part de march\u00e9 des navigateurs<\/a>, ce qui aura un impact sur bon nombre de vos visiteurs. Vous pouvez \u00e9galement v\u00e9rifier quels navigateurs vos visiteurs utilisent dans Google Analytics sous Audience<\/strong> > Technologie<\/strong> > Navigateur et syst\u00e8me d’exploitation<\/strong>:<\/p>\n![\"V\u00e9rification](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/06\/ga-browser-os.jpg\")
V\u00e9rification des navigateurs dans Google Analytics<\/figcaption><\/figure>\nGoogle indique clairement aux visiteurs que votre site web WordPress pourrait ne pas fonctionner sur une connexion s\u00e9curis\u00e9e. Voici quelques conseils de Google sur la fa\u00e7on d’\u00e9viter cet avertissement<\/a>.<\/p>\nFirefox a \u00e9galement suivi le mouvement avec la sortie de Firefox 51<\/a> en 2017, affichant un cadenas gris avec une ligne rouge pour les sites non s\u00e9curis\u00e9s qui collectent des mots de passe. Bien s\u00fbr, si vous migrez l’ensemble de votre site vers le HTTPS, vous n’avez pas \u00e0 vous en pr\u00e9occuper :<\/p>\n![\"Connexion](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/06\/firefox-connection-not-secure.png\")
Connexion non priv\u00e9e<\/figcaption><\/figure>\nVous pourriez \u00e9galement commencer \u00e0 recevoir les avertissements suivants de la Google Search Console<\/a> si vous n’avez pas encore migr\u00e9 vers HTTPS :<\/p>\n\u00c0 : propri\u00e9taire de http:\/\/www.domaine.com<\/p>\n
Les URL suivantes comprennent des champs de saisie pour des mots de passe ou des d\u00e9tails de carte de cr\u00e9dit qui d\u00e9clencheront le nouvel avertissement de Chrome. Examinez ces exemples pour voir o\u00f9 ces avertissements appara\u00eetront, et vous pourrez prendre des mesures pour aider \u00e0 prot\u00e9ger les donn\u00e9es des utilisateurs. Cette liste n’est pas exhaustive.<\/p>\n
http:\/\/www.domaine.com<\/p>\n
Le nouvel avertissement est la premi\u00e8re \u00e9tape d’un plan \u00e0 long terme visant \u00e0 marquer toutes les pages servies par le protocole HTTP non crypt\u00e9 comme \u00ab non s\u00e9curis\u00e9es \u00bb<\/p>\n
6. Performances<\/strong><\/h3>\nDernier point, mais non le moindre, nous avons les performances. Gr\u00e2ce \u00e0 un protocole appel\u00e9 HTTP\/2<\/a>, ceux qui ex\u00e9cutent des sites correctement optimis\u00e9s sur HTTPS peuvent souvent constater des am\u00e9liorations de vitesse.<\/p>\nHTTP\/2 n\u00e9cessite HTTPS en raison de la prise en charge par le navigateur. L’am\u00e9lioration des performances est due \u00e0 diverses raisons, telles que la capacit\u00e9 de HTTP\/2 \u00e0 prendre en charge un meilleur multiplexage, le parall\u00e9lisme, la compression HPACK avec codage Huffman, l’extension ALPN et le server push. Il y avait auparavant une surcharge TLS sur HTTPS, mais elle est beaucoup moins importante maintenant.<\/p>\n
TLS 1.3<\/a> est \u00e9galement sorti, ce qui acc\u00e9l\u00e8re encore plus les connexions HTTPS ! Kinsta supporte TLS 1.3 sur tous nos serveurs et notre CDN Kinsta.<\/p>\nIl est \u00e9galement important de noter que les optimisations des performances web telles que le sharding et la concat\u00e9nation de domaines peuvent nuire \u00e0 vos performances. Elles sont d\u00e9sormais obsol\u00e8tes et, pour la plupart, ne devraient plus \u00eatre utilis\u00e9es.<\/p>\n
Tout ce qui se trouve sur le web devrait \u00eatre crypt\u00e9 par d\u00e9faut<\/em>. – Jeff Atwood<\/a>, cofondateur de Stack Overflow<\/p>\nGuide de migration de HTTP \u00e0 HTTPS<\/strong><\/h2>\nIl est temps de passer \u00e0 la partie amusante : la migration de votre site WordPress de HTTP \u00e0 HTTPS. Passons d’abord en revue les exigences de base, ainsi que certaines choses dont il faut \u00eatre conscient.<\/p>\n
\n- Vous aurez besoin d’un certificat SSL. Nous y reviendrons plus en d\u00e9tail ci-dessous.<\/li>\n
- V\u00e9rifiez que votre h\u00f4te WordPress et votre fournisseur de CDN prennent en charge HTTP\/2. Kinsta prend en charge HTTP\/2 pour tous ses clients. Ce n’est pas obligatoire, mais vous le souhaitez pour les performances.<\/li>\n
- Vous voudrez r\u00e9server un bon bloc de temps pour rediriger HTTP vers HTTPS. La migration n’est pas quelque chose qui se fait en 5 minutes.<\/li>\n
- V\u00e9rifiez que tous les services et scripts externes que vous utilisez disposent d’une version HTTPS.<\/li>\n
- Il est important de savoir que vous perdrez le nombre de partages sociaux sur tous vos articles et pages, sauf si vous utilisez une extension qui prend en charge la r\u00e9cup\u00e9ration des partages<\/a>. Ceci est d\u00fb au fait que vos comptes de partage sont bas\u00e9s sur une API regardant la version HTTP, et que vous n’avez aucun contr\u00f4le sur les r\u00e9seaux sociaux tiers.<\/li>\n
- En fonction de la taille de votre site, il se peut que Google mette un certain temps \u00e0 parcourir \u00e0 nouveau toutes vos nouvelles pages et tous vos nouveaux articles HTTPS. Pendant cette p\u00e9riode, vous pourriez constater des variations dans le trafic ou les classements.<\/li>\n
- N’oubliez pas les citations locales<\/a>.<\/li>\n<\/ul>\n
Nous vous recommandons de d\u00e9sactiver votre int\u00e9gration CDN et de d\u00e9sactiver toute extension de mise en cache avant de commencer, car cela peut compliquer les choses.<\/p>\n
1. Choisir un certificat SSL<\/strong><\/h3>\nLa toute premi\u00e8re chose que vous devrez faire est d’acheter un certificat SSL si vous n’en avez pas. Il existe trois principaux types de certificats parmi lesquels vous pouvez choisir :<\/p>\n
\n- Validation du domaine : Domaine ou sous-domaine unique (validation de l’e-mail ou du DNS), \u00e9mis en quelques minutes. Ces certificats peuvent g\u00e9n\u00e9ralement \u00eatre achet\u00e9s pour un prix aussi bas que 9 $ par an.<\/li>\n
- Validation de l’entreprise\/de l’organisation : Un seul domaine ou sous-domaine n\u00e9cessite une v\u00e9rification de l’entreprise qui fournit un niveau de s\u00e9curit\u00e9\/confiance plus \u00e9lev\u00e9, \u00e9mis dans un d\u00e9lai de 1 \u00e0 3 jours.<\/li>\n
- Validation \u00e9tendue : Un seul domaine ou sous-domaine n\u00e9cessite une v\u00e9rification de l’entreprise qui fournit un niveau de s\u00e9curit\u00e9\/confiance plus \u00e9lev\u00e9, d\u00e9livr\u00e9 dans les 2 \u00e0 7 jours.<\/li>\n<\/ul>\n
Chez Kinsta, nous fournissons des SSL Cloudflare gratuits pour tous les sites via notre int\u00e9gration Cloudflare<\/a>. Nos SSL Cloudflare sont automatiquement \u00e9mis apr\u00e8s la configuration d’un domaine dans MyKinsta, et ils sont m\u00eame dot\u00e9s d’une prise en charge des domaines wildcards !<\/p>\nGoogle recommande d’utiliser un certificat \u00e0 cl\u00e9 de 2048 bits<\/a> ou plus. Vous pouvez acheter des certificats aupr\u00e8s de Comodo<\/a>, DigiCert<\/a>, GeoTrust<\/a>, Thawte<\/a>, Rapid SSL<\/a> ou Trustwave<\/a>. Il existe \u00e9galement des alternatives moins ch\u00e8res telles que GoGetSSL<\/a>, Namecheap<\/a> et GoDaddy<\/a>.<\/p>\nLet’s Encrypt<\/strong><\/h4>\nLet’s Encrypt<\/a> offre \u00e9galement un moyen d’obtenir des certificats SSL gratuits. V\u00e9rifiez aupr\u00e8s de votre h\u00e9bergeur WordPress et de votre fournisseur CDN s’ils disposent d’une int\u00e9gration Let’s Encrypt. Vous pouvez \u00e9galement suivre le guide Certbot<\/a> sur la fa\u00e7on de les installer manuellement. Les certificats Let’s Encrypt expirent tous les 90 jours, il est donc essentiel de mettre en place un syst\u00e8me automatis\u00e9.<\/p>\n2. Installation d’un certificat SSL personnalis\u00e9<\/strong><\/h3>\nSi vous avez achet\u00e9 un certificat SSL, vous devez installer le certificat SSL sur votre site WordPress<\/a>. On vous demande de fournir le type de serveur lors de la configuration du certificat avec le vendeur. Si vous \u00eates un client Kinsta, nos serveurs web sont Nginx<\/a>. Si cette option n’est pas disponible, alors Autre<\/strong> fonctionnera \u00e9galement.<\/p>\nLe fournisseur SSL aura besoin d’un code CSR pour cr\u00e9er\/signer le fichier de certificat. Pour g\u00e9n\u00e9rer un code CSR et une cl\u00e9 RSA, veuillez remplir le formulaire suivant : https:\/\/www.ssl.com\/online-csr-and-key-generator\/<\/a>.<\/p>\nNous vous recommandons de remplir tous les champs, mais au minimum, vous devez remplir les champs suivants (comme indiqu\u00e9 dans la capture d’\u00e9cran ci-dessous) :<\/p>\n
\n- Nom commun (nom de domaine)<\/li>\n
- Adresse e-mail<\/li>\n
- Organisation<\/li>\n
- Ville \/ Localit\u00e9<\/li>\n
- \u00c9tat \/ Comt\u00e9 \/ R\u00e9gion<\/li>\n
- Pays<\/li>\n<\/ul>\n
Remarque : Pour le champ du nom commun, si vous g\u00e9n\u00e9rez un certificat wildcard, vous devrez saisir votre nom de domaine comme *.domaine.com.<\/p>\n![\"Formulaire](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/06\/generate-csr-1.png\")
Formulaire de g\u00e9n\u00e9ration de CSR<\/figcaption><\/figure>\nLe formulaire va g\u00e9n\u00e9rer votre fichier de cl\u00e9 priv\u00e9e et le CSR. Veillez \u00e0 les sauvegarder tous les deux, car le certificat sera inutilisable sans eux :<\/p>\n![\"CSR](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/06\/csr-and-private-key.png\")
CSR et cl\u00e9 priv\u00e9e<\/figcaption><\/figure>\nEnsuite, t\u00e9l\u00e9chargez votre CSR aupr\u00e8s de votre fournisseur SSL pour r\u00e9g\u00e9n\u00e9rer votre certificat SSL (.cert).<\/p>\n
Vous devrez ensuite vous rendre chez votre h\u00e9bergeur WordPress et lui remettre le certificat et la cl\u00e9 priv\u00e9e. Si vous \u00eates un client de Kinsta, vous pouvez vous connecter au tableau de bord et cliquer sur un site. Ensuite, allez dans l’onglet Domaines<\/strong> et s\u00e9lectionnez votre domaine, puis cliquez sur le bouton SSL personnalis\u00e9 <\/strong>:<\/p>\n![\"Ajouter](\"https:\/\/kinsta.com\/fr\/wp-content\/uploads\/sites\/4\/2022\/07\/add-custom-ssl-mykinsta-fr.png\")
Ajouter un SSL personnalis\u00e9<\/figcaption><\/figure>\nVous pourrez alors ajouter votre cl\u00e9 priv\u00e9e et votre certificat juste l\u00e0 :<\/p>\n![\"Ajouter](\"https:\/\/kinsta.com\/fr\/wp-content\/uploads\/sites\/4\/2022\/07\/add-private-key-mykinsta-fr.png\")
Ajouter une cl\u00e9 priv\u00e9e<\/figcaption><\/figure>\nLorsque vous avez termin\u00e9, s\u00e9lectionnez Ajouter le certificat<\/strong> pour enregistrer vos modifications.<\/p>\n3. V\u00e9rifier votre certificat SSL<\/strong><\/h3>\nMaintenant que votre certificat SSL est install\u00e9, vous devez le v\u00e9rifier pour vous assurer que tout est correctement configur\u00e9. Une fa\u00e7on simple et rapide de le faire est d’utiliser l’outil gratuit de v\u00e9rification SSL<\/a> de Qualys SSL Labs. Si tout est correct, vous devriez obtenir une note de lettre A au test, comme indiqu\u00e9 ci-dessous :<\/p>\n![\"V\u00e9rifier](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/06\/ssl-labs-report.png\")
V\u00e9rifier la note du certificat SSL<\/figcaption><\/figure>\nConsultez notre tutoriel plus approfondi sur la fa\u00e7on d’effectuer une v\u00e9rification SSL<\/a>.<\/p>\n4. Rediriger HTTP vers HTTPS<\/strong><\/h3>\nApr\u00e8s avoir v\u00e9rifi\u00e9 votre certificat SSL, vous devez ensuite rediriger de fa\u00e7on permanente tout le trafic HTTP vers HTTPS<\/a>. Il existe plusieurs options pour rediriger le trafic HTTP vers HTTPS dans WordPress.<\/p>\nSi vous \u00eates un client Kinsta, utiliser notre outil Forcer HTTPS est la m\u00e9thode la plus simple. Il vous permet de rediriger automatiquement le trafic HTTP vers HTTPS en quelques clics au niveau du serveur. Vous pouvez \u00e9galement le faire manuellement dans la configuration de votre serveur web ou avec une extension WordPress gratuite.<\/p>\n
Remarque : Nos exemples incluent tous une directive de redirection 301<\/a>, qui est la mani\u00e8re correcte de l’impl\u00e9menter en ce qui concerne le r\u00e9f\u00e9rencement. L’utilisation d’un autre type de redirection pourrait nuire \u00e0 vos classements. Il est \u00e9galement essentiel d’\u00eatre conscient que les redirections 301 peuvent ne pas transmettre 100 % du jus de lien, m\u00eame si Google peut dire qu’elles le font. Consultez cet article de Cyrus chez Moz concernant les migrations HTTPS et les redirections 301<\/a>.<\/p>\nOption 1 : Rediriger HTTP vers HTTPS sur MyKinsta<\/strong><\/h4>\nSi vous \u00eates un utilisateur de Kinsta, vous pouvez facilement rediriger HTTP vers HTTPS en utilisant MyKinsta<\/a>. C’est une excellente option car elle \u00e9limine le besoin d’installer une extension sur votre site.<\/p>\nPour commencer, connectez-vous au tableau de bord MyKinsta<\/a>, parcourez votre site, puis cliquez sur Outils<\/strong>.<\/p>\nEnsuite, s\u00e9lectionnez le bouton Activer<\/strong> sous Forcer HTTPS :<\/strong><\/p>\n![\"Outil](\"https:\/\/kinsta.com\/fr\/wp-content\/uploads\/sites\/4\/2022\/07\/force-https-redirect-tool-mykinsta-fr.png\")
Outil Forcer HTTPS<\/figcaption><\/figure>\nVous pouvez utiliser votre domaine principal comme destination ou un domaine alternatif demand\u00e9. Ensuite, cliquez sur Forcer HTTPS<\/strong>:<\/p>\n![\"Options](\"https:\/\/kinsta.com\/fr\/wp-content\/uploads\/sites\/4\/2022\/07\/force-https-options-mykinsta-fr.png\")
Options de for\u00e7age HTTPS<\/figcaption><\/figure>\nSi vous avez configur\u00e9 des r\u00e8gles HTTPS personnalis\u00e9es ou utilis\u00e9 des proxies tiers, vous risquez de rencontrer des probl\u00e8mes lorsque vous forcez HTTPS. Si vous rencontrez des erreurs, vous pouvez d\u00e9sactiver le for\u00e7age HTTPS, puis contacter le support Kinsta pour obtenir de l’aide.<\/p>\n
Option 2 : Rediriger HTTP vers HTTPS dans Nginx<\/strong><\/h4>\nSi votre serveur web utilise Nginx, vous pouvez facilement rediriger HTTP vers HTTPS en ajoutant le code suivant \u00e0 votre fichier de configuration Nginx :<\/p>\n
server {\n\nlisten 80;\n\nserver_name domain.com www.domain.com;\n\nreturn 301 https:\/\/domain.com$request_uri;\n\n}<\/code><\/pre>\nC’est la m\u00e9thode recommand\u00e9e pour rediriger WordPress fonctionnant sur Nginx.<\/p>\n
Rediriger HTTP vers HTTPS dans Apache<\/p>\n
Si votre serveur web fonctionne sous Apache<\/a>, vous pouvez rediriger tout votre trafic HTTP vers HTTPS en ajoutant le code suivant \u00e0 votre fichier .htaccess<\/a>:<\/p>\nRewriteEngine On\n\nRewriteCond %{HTTPS} off\n\nRewriteRule ^(.*)$ https:\/\/%{HTTP_HOST}%{REQUEST_URI} [L,R=301]<\/code><\/pre>\nIl s’agit de la m\u00e9thode recommand\u00e9e pour rediriger WordPress fonctionnant sous Apache.<\/p>\n
Aucun des serveurs de Kinsta n’utilise Apache.<\/p>\n
Option 3 : Rediriger le HTTP vers le HTTPS avec le plugin Really Simple SSL<\/strong><\/h4>\nLa troisi\u00e8me option que vous avez pour rediriger de HTTP \u00e0 HTTPS est d’utiliser l’extension WordPress gratuite Really Simple SSL<\/a>:<\/p>\n![\"Extension](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/06\/really-simple-ssl.png\")
Extension Really Simple SSL<\/figcaption><\/figure>\nNous ne recommandons pas cette m\u00e9thode comme solution permanente car les plugins tiers peuvent introduire une autre couche de probl\u00e8mes et de questions de compatibilit\u00e9. C’est une bonne solution temporaire, mais vous devez mettre \u00e0 jour vos liens HTTP cod\u00e9s en dur, comme nous allons vous le montrer \u00e0 l’\u00e9tape suivante.<\/p>\n
Impl\u00e9mentez l’en-t\u00eate HSTS (facultatif)<\/p>\n
HSTS (HTTP Strict Transport Security<\/a>) est un en-t\u00eate de s\u00e9curit\u00e9 que vous ajoutez \u00e0 votre serveur web et qui oblige le navigateur \u00e0 utiliser des connexions s\u00e9curis\u00e9es lorsqu’un site fonctionne en HTTPS. Cela peut aider \u00e0 pr\u00e9venir les attaques de type \u00ab man-in-the-middle \u00bb (MitM) et le d\u00e9tournement de cookies. Vous pouvez utiliser les redirections 301 ci-dessus avec l’en-t\u00eate HSTS. Consultez notre article d\u00e9taill\u00e9 sur la fa\u00e7on d’ajouter le HSTS<\/a>.<\/p>\n5. V\u00e9rifiez s’il y a trop de redirections<\/strong><\/h3>\nApr\u00e8s avoir ajout\u00e9 une redirection de HTTP \u00e0 HTTPS, vous devez v\u00e9rifier que vous n’avez pas trop de redirections<\/a>. Ce probl\u00e8me est assez courant et peut affecter la vitesse de votre site WordPress. Vous pouvez utiliser l’outil Redirect mapper de Patrick Sexton<\/a> pour voir rapidement combien de redirections vous avez sur votre site.<\/p>\nVous verrez ci-dessous un exemple de redirections qui ont \u00e9t\u00e9 configur\u00e9es de mani\u00e8re incorrecte. Ceci est facilement rep\u00e9rable en utilisant le mappeur de redirections :<\/p>\n![\"Redirections](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/06\/redirects-not-setup-correctly.png\")
Redirections mal configur\u00e9es<\/figcaption><\/figure>\nVous pouvez voir qu’il y a des redirections HTTPS en double sur les versions www et non-www.<\/p>\n
Vous trouverez ci-dessous un exemple de redirections configur\u00e9es correctement :<\/p>\n![\"Redirections](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/06\/redirects-setup-correctly.png\")
Redirections configur\u00e9es correctement<\/figcaption><\/figure>\nComme vous pouvez le voir, il n’y a qu’une seule redirection. Vous pouvez consulter notre article approfondi sur les redirections WordPress<\/a> et les meilleures pratiques pour des performances plus rapides.<\/p>\n6. Mettre \u00e0 jour les liens HTTP cod\u00e9s en dur<\/strong><\/h3>\nMaintenant que vous avez des redirections, il est temps de corriger toutes ces URL HTTP cod\u00e9es en dur. En g\u00e9n\u00e9ral, il n’est pas recommand\u00e9 de coder les URL en dur. Cependant, avec le temps, vous le ferez tr\u00e8s probablement (nous le faisons tous). Vous trouverez ci-dessous quelques options pour mettre \u00e0 jour vos liens HTTP en HTTPS.<\/p>\n
Option 1 : Outil de recherche et de remplacement de Kinsta<\/strong><\/h4>\nSi vous \u00eates un client Kinsta, nous avons un outil de recherche et de remplacement<\/a> facile \u00e0 utiliser dans notre tableau de bord MyKinsta :<\/p>\n![\"Outil](\"https:\/\/kinsta.com\/fr\/wp-content\/uploads\/sites\/4\/2022\/07\/search-replace-tool-mykinsta-fr.png\")
Outil de recherche et de remplacement de Kinsta<\/figcaption><\/figure>\nVoici les \u00e9tapes simples pour mettre \u00e0 jour les URL de HTTP \u00e0 HTTPS :<\/p>\n
\n- Saisissez dans le champ de recherche la valeur que vous voulez rechercher dans la base de donn\u00e9es<\/a>, qui dans ce cas est notre domaine HTTP : http:\/\/kinstalife.com.<\/li>\n
- Saisissez dans le champ de remplacement la nouvelle valeur qui doit \u00eatre utilis\u00e9e pour remplacer la valeur que vous recherchez. Dans ce cas, il s’agit de notre domaine HTTPS, https:\/\/kinstalife.com.<\/li>\n
- Cliquez sur le bouton Remplacer <\/strong>pour lancer le processus de recherche et de remplacement.<\/li>\n<\/ol>\n
![\"Options](\"https:\/\/kinsta.com\/fr\/wp-content\/uploads\/sites\/4\/2022\/07\/search-replace-options-mykinsta-fr.png\")
Options de recherche et de remplacement<\/figcaption><\/figure>\nConsultez notre tutoriel sur la recherche et le remplacement<\/a>, ou cliquez sur le guide vid\u00e9o ci-dessous pour plus de d\u00e9tails.<\/p>\nOption 2 : Plugin Better Search Replace<\/strong><\/h4>\nUn autre outil facile que vous pouvez utiliser est une extension gratuite appel\u00e9e Better Search Replace<\/a> par l’\u00e9quipe WordPress de Delicious Brains<\/a>:<\/p>\n![\"Extension](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/06\/better-search-replace.png\")
Extension Better Search Replace<\/figcaption><\/figure>\nL’utilisation de cette extension est gratuite. Une fois install\u00e9e et activ\u00e9e sur votre site, vous pouvez naviguer vers Outils<\/strong> > Better Search Replace<\/strong> pour commencer \u00e0 l’utiliser.<\/p>\nOption 3 : Script PHP interconnect\/it Search Replace DB<\/strong><\/h4>\nUne troisi\u00e8me option pour ex\u00e9cuter une recherche et un remplacement WordPress est d’utiliser un script PHP gratuit de interconnect\/it appel\u00e9 Search Replace DB<\/a>. Il s’agit de l’un de nos outils pr\u00e9f\u00e9r\u00e9s pour toute migration de HTTP \u00e0 HTTPS.<\/p>\nImportant ! L’utilisation de ce script pourrait briser votre site web WordPress si vous ne savez pas ce que vous faites. Si vous n’\u00eates pas \u00e0 l’aise pour le faire, consultez d’abord un d\u00e9veloppeur ou votre h\u00e9bergeur.<\/p>\n
Pour utiliser le script, t\u00e9l\u00e9chargez simplement le fichier zip<\/a>, extrayez le dossier appel\u00e9 search-replace-db-master<\/em>, et renommez-le en quelque chose d’autre. Dans notre exemple, nous l’avons renomm\u00e9 en update-db-1551<\/em>. Ensuite, t\u00e9l\u00e9versez-le dans le r\u00e9pertoire public de votre serveur web via FTP, SFTP<\/a> ou SCP. Il s’agit g\u00e9n\u00e9ralement du m\u00eame r\u00e9pertoire que celui qui contient votre dossier \/wp-content.<\/p>\nEnsuite, naviguez vers votre dossier secret dans votre navigateur, par exemple https:\/\/domain.com\/update-db-1551 :<\/p>\n![\"Script](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/06\/interconnect-search-replace-script.png\")
Script de recherche et de remplacement d’interconnect<\/figcaption><\/figure>\nLe script tentera automatiquement de trouver et de remplir le champ de la base de donn\u00e9es, mais vous devez v\u00e9rifier que les d\u00e9tails sont corrects et qu’il s’agit bien de la base de donn\u00e9es sur laquelle vous souhaitez effectuer une op\u00e9ration de recherche\/remplacement. Vous pouvez d’abord cliquer sur Dry<\/strong> Run<\/strong> pour voir ce qu’il va mettre \u00e0 jour\/remplacer. Puis, lorsque vous \u00eates pr\u00eat, cliquez sur Live Run,<\/strong> qui effectuera les mises \u00e0 jour de la base de donn\u00e9es et la recherche et le remplacement de WordPress.<\/p>\nUn exemple de migration HTTPS serait de remplacer \u00ab http:\/\/yourdomain.com \u00bb par \u00ab https:\/\/yourdomain.com \u00bb.<\/p>\n![\"Options](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/06\/search-replace-options.png\")
Options de recherche et de remplacement<\/figcaption><\/figure>\nPour des raisons de s\u00e9curit\u00e9, il est \u00e9galement crucial que vous supprimiez ce script une fois que vous avez termin\u00e9. Vous pouvez cliquer sur le bouton \u00ab Supprimer <\/strong>\u00bb Si vous ne le faites pas, cela pourrait laisser votre site web ouvert aux attaques.<\/p>\nIl est \u00e9galement recommand\u00e9 de proc\u00e9der \u00e0 une double v\u00e9rification sur votre serveur web et de confirmer que le dossier\/script a \u00e9t\u00e9 compl\u00e8tement supprim\u00e9. Remarque : Ce script mettra \u00e0 jour toutes vos entr\u00e9es dans votre base de donn\u00e9es, y compris l’URL de votre site WordPress, les liens cod\u00e9s en dur sur les pages et les articles, etc.<\/p>\n
Si vous avez cod\u00e9 en dur vos zones d’accueil, de site ou de contenu WP dans votre fichier wp-config.php<\/strong>, assurez-vous de les mettre \u00e0 jour en HTTPS :<\/p>\ndefine('WP_HOME', 'https:\/\/yourdomain.com');\n\ndefine('WP_SITEURL', 'https:\/\/yourdomain.com');\n\ndefine( 'WP_CONTENT_URL', 'https:\/\/yourdomain.com\/wp-content' );<\/code><\/pre>\nSi vous disposez d’un CDN et que vous utilisez un CNAME, tel que cdn.domain.com, vous voudrez probablement ex\u00e9cuter le script ci-dessus une deuxi\u00e8me fois pour rechercher toutes les URL cod\u00e9es en dur de http:\/\/cdn.domain.com et les remplacer par https:\/\/cdn.domain.com.<\/p>\n
Option 4 : Rechercher et remplacer avec WP-CLI<\/strong><\/h4>\nVous pouvez \u00e9galement mettre \u00e0 jour vos liens en utilisant WP-CLI pour les personnes et les d\u00e9veloppeurs plus avertis qui n’aiment pas quitter la ligne de commande. Nous vous recommandons de consulter cette recherche avanc\u00e9e et de remplacer le guide WP-CLI<\/a>.<\/p>\n7. Mise \u00e0 jour des scripts personnalis\u00e9s et des biblioth\u00e8ques externes<\/strong><\/h3>\nMaintenant que vous avez mis \u00e0 jour vos anciennes URL cod\u00e9es en dur, vous voudrez v\u00e9rifier tous les scripts personnalis\u00e9s ou les biblioth\u00e8ques externes que vous pourriez avoir ajout\u00e9s \u00e0 votre en-t\u00eate, pied de page, etc. Cela pourrait inclure Google jQuery, Font Awesome, CrazyEgg, AdRoll, Facebook, Hotjar, etc.<\/p>\n
Pour Google jQuery, vous devez simplement le mettre \u00e0 jour pour qu’il pointe vers la version HTTPS :<\/p>\n
<script src=\"https:\/\/ajax.googleapis.com\/ajax\/libs\/jquery\/3.1.0\/jquery.min.js\"><\/script><\/code><\/pre>\nChaque fournisseur et service devrait avoir une version HTTPS vers laquelle vous pouvez passer.<\/p>\n
8. Migrer le CDN de HTTP \u00e0 HTTPS<\/strong><\/h3>\nEnsuite, si vous utilisez un CDN, vous voudrez \u00e9galement le faire migrer vers HTTPS. Sinon, vous rencontrerez des probl\u00e8mes d’avertissement de contenu mixte sur votre site WordPress. Si vous utilisez le CDN de Kinsta<\/a>, vous pouvez sauter cette \u00e9tape car tout fonctionne \u00e0 partir de notre CDN aliment\u00e9 par Cloudflare sur HTTPS par d\u00e9faut.<\/p>\nAlternatives au CDN Cloudflare<\/strong><\/h4>\nIl existe de nombreuses options si vous recherchez une alternative au CDN Cloudflare. L’une des plus populaires est KeyCDN<\/a>.<\/p>\nCe CDN haute performance acc\u00e9l\u00e8re la livraison du contenu de votre site web aux visiteurs en le mettant en cache sur des serveurs dans le monde entier. Il assure \u00e9galement la s\u00e9curit\u00e9 et la protection contre les attaques DDoS et autres menaces.<\/p>\n
Deux autres options sont Amazon CloudFront<\/a>, qui fait partie d’Amazon Web Services (AWS), et Sucuri<\/a>, qui aide \u00e0 optimiser les performances et la vitesse du site web. Il est livr\u00e9 avec un large \u00e9ventail de fonctions de s\u00e9curit\u00e9.<\/p>\nVoici quelques liens et tutoriels utiles sur l’installation et la configuration de SSL pour diff\u00e9rents fournisseurs CDN tiers.<\/p>\n
\n- Configurer SSL sur KeyCDN<\/a><\/li>\n
- Configurer SSL sur Cloudflare<\/a> (nous recommandons d’utiliser Full SSL)<\/li>\n
- Configurer SSL sur MaxCDN<\/a><\/li>\n
- Configurer SSL sur Amazon CloudFront<\/a><\/li>\n<\/ul>\n
Remarque : certains ont m\u00eame une int\u00e9gration Let’s Encrypt, ce qui signifie que le SSL est gratuit. Si vous rencontrez des probl\u00e8mes, vous pouvez toujours vous adresser \u00e0 votre fournisseur de CDN pour qu’il vous aide \u00e0 effectuer votre migration de HTTP \u00e0 HTTPS.<\/p>\n
Une fois le CDN mis \u00e0 jour, vous devrez vous assurer de le mettre \u00e0 jour dans le plugin WordPress que vous utilisez pour l’int\u00e9gration. Dans l’exemple ci-dessous, nous utilisons CDN Enabler<\/a>:<\/p>\n
En mai 2022, MozCast<\/a> rapporte que plus de 98,9 % des requ\u00eates de recherche sont effectu\u00e9es en HTTPS, contre 26 % en janvier 2016. Cela sugg\u00e8re que de nombreux sites sont en train de migrer de HTTP vers HTTPS.<\/p>\n\n M\u00eame Google fait pression pour obtenir cette marque de cryptage \u00e0 100 % sur l’ensemble de ses produits et services. En mai 2022, environ 95 % du trafic vers Google passe par HTTPS<\/a>, contre 48 % en d\u00e9cembre 2013.<\/p>\n Selon les donn\u00e9es de t\u00e9l\u00e9m\u00e9trie de Firefox et les statistiques de Let’s Encrypt<\/a>, plus de 78 % des chargements de pages sont d\u00e9sormais en HTTPS.<\/p>\n Il y a plusieurs raisons pour lesquelles les propri\u00e9taires de sites web WordPress devraient se soucier du HTTPS et penser \u00e0 migrer de HTTP \u00e0 HTTPS maintenant plut\u00f4t que plus tard.<\/p>\n Bien s\u00fbr, la plus grande raison pour HTTPS est la s\u00e9curit\u00e9 suppl\u00e9mentaire. En migrant de HTTP vers HTTPS, vous servez d\u00e9sormais votre site web via une connexion SSL\/TLS<\/a> crypt\u00e9e. Cela signifie que les donn\u00e9es et les informations ne sont plus transmises en texte clair. Pour les sites de commerce \u00e9lectronique qui traitent des informations sur les cartes bancaires, c’est indispensable. La loi ne l’exige pas techniquement<\/a>, mais il est de votre responsabilit\u00e9 en tant qu’entreprise de prot\u00e9ger les donn\u00e9es de vos clients.<\/p>\n Cela s’applique \u00e9galement \u00e0 vos pages de connexion ou blogs WordPress. Si vous ex\u00e9cutez des sites WordPress multi-auteurs sur HTTP, chaque fois qu’une personne se connecte, cette information est transmise au serveur en texte clair. HTTPS est essentiel pour maintenir une connexion s\u00e9curis\u00e9e entre le site web et le navigateur. De cette fa\u00e7on, vous pouvez mieux emp\u00eacher les pirates d’acc\u00e9der \u00e0 votre site web.<\/p>\n Google a officiellement d\u00e9clar\u00e9 que HTTPS est un facteur de classement<\/a>. Bien qu’il ne s’agisse que d’un petit facteur de classement, la plupart d’entre vous prendraient probablement tout avantage que vous pouvez obtenir dans les SERP pour battre vos concurrents<\/a>.<\/p>\n En raison de la pression exerc\u00e9e par Google pour que tout le monde redirige le HTTP vers le HTTPS, vous pouvez parier que le poids de ce facteur de classement va tr\u00e8s probablement augmenter \u00e0 l’avenir. Une \u00e9tude de Semrush a r\u00e9v\u00e9l\u00e9 que 98 % du contenu Featured Snippet le plus performant<\/a> sur Google utilise HTTPS.<\/p>\n Selon des \u00e9tudes r\u00e9centes, la plupart des internautes<\/a> s’inqui\u00e8tent de la mani\u00e8re dont leurs donn\u00e9es sont intercept\u00e9es ou utilis\u00e9es \u00e0 mauvais escient en ligne.<\/p>\n HTTPS peut aider votre entreprise en \u00e9tablissant ce que nous appelons la confiance SSL<\/a>. En voyant cette ic\u00f4ne de cadenas \u00e0 c\u00f4t\u00e9 de votre URL<\/a>, les clients auront l’esprit plus tranquille en sachant que leurs donn\u00e9es sont plus s\u00e9curis\u00e9es.<\/p>\n Cette raison s’adresse \u00e0 tous les sp\u00e9cialistes du marketing. Si vous utilisez Google Analytics<\/a>, vous \u00eates probablement familier avec les donn\u00e9es de r\u00e9f\u00e9rence. Beaucoup de gens ne r\u00e9alisent pas que les donn\u00e9es de renvoi HTTPS vers HTTP sont bloqu\u00e9es dans Google Analytics. Qu’advient-il alors de ces donn\u00e9es ? La plupart d’entre elles sont simplement regroup\u00e9es dans la section \u00ab trafic direct \u00bb. Le r\u00e9f\u00e9rent est toujours transmis si quelqu’un passe de HTTP \u00e0 HTTPS.<\/p>\n Ceci est \u00e9galement important car si votre trafic de r\u00e9f\u00e9rence a soudainement chut\u00e9, mais que le trafic direct a augment\u00e9, cela pourrait signifier que l’un de vos plus grands r\u00e9f\u00e9rents a r\u00e9cemment migr\u00e9 vers HTTPS. L’inverse est \u00e9galement vrai.<\/p>\n Depuis 2018<\/a>, les versions de Chrome 68 et sup\u00e9rieures marquent tous les sites non HTTPS comme \u00ab non s\u00e9curis\u00e9s \u00bb, m\u00eame s’ils ne collectent pas de donn\u00e9es :<\/p>\n En 2021, le navigateur a commenc\u00e9 \u00e0 passer par d\u00e9faut en HTTPS pour les URL incompl\u00e8tes<\/a>. Par exemple, si un utilisateur tape \u00ab domaine.com \u00bb, Chrome utilisera automatiquement \u00ab https:\/\/domaine.com \u00bb Si le HTTPS \u00e9choue parce qu’il n’y a pas de SSL\/TLS, il reviendra au HTTP.<\/p>\n Chrome d\u00e9tient plus de 77 % de la part de march\u00e9 des navigateurs<\/a>, ce qui aura un impact sur bon nombre de vos visiteurs. Vous pouvez \u00e9galement v\u00e9rifier quels navigateurs vos visiteurs utilisent dans Google Analytics sous Audience<\/strong> > Technologie<\/strong> > Navigateur et syst\u00e8me d’exploitation<\/strong>:<\/p>\n Google indique clairement aux visiteurs que votre site web WordPress pourrait ne pas fonctionner sur une connexion s\u00e9curis\u00e9e. Voici quelques conseils de Google sur la fa\u00e7on d’\u00e9viter cet avertissement<\/a>.<\/p>\n Firefox a \u00e9galement suivi le mouvement avec la sortie de Firefox 51<\/a> en 2017, affichant un cadenas gris avec une ligne rouge pour les sites non s\u00e9curis\u00e9s qui collectent des mots de passe. Bien s\u00fbr, si vous migrez l’ensemble de votre site vers le HTTPS, vous n’avez pas \u00e0 vous en pr\u00e9occuper :<\/p>\n Vous pourriez \u00e9galement commencer \u00e0 recevoir les avertissements suivants de la Google Search Console<\/a> si vous n’avez pas encore migr\u00e9 vers HTTPS :<\/p>\n \u00c0 : propri\u00e9taire de http:\/\/www.domaine.com<\/p>\n Les URL suivantes comprennent des champs de saisie pour des mots de passe ou des d\u00e9tails de carte de cr\u00e9dit qui d\u00e9clencheront le nouvel avertissement de Chrome. Examinez ces exemples pour voir o\u00f9 ces avertissements appara\u00eetront, et vous pourrez prendre des mesures pour aider \u00e0 prot\u00e9ger les donn\u00e9es des utilisateurs. Cette liste n’est pas exhaustive.<\/p>\n http:\/\/www.domaine.com<\/p>\n Le nouvel avertissement est la premi\u00e8re \u00e9tape d’un plan \u00e0 long terme visant \u00e0 marquer toutes les pages servies par le protocole HTTP non crypt\u00e9 comme \u00ab non s\u00e9curis\u00e9es \u00bb<\/p>\n Dernier point, mais non le moindre, nous avons les performances. Gr\u00e2ce \u00e0 un protocole appel\u00e9 HTTP\/2<\/a>, ceux qui ex\u00e9cutent des sites correctement optimis\u00e9s sur HTTPS peuvent souvent constater des am\u00e9liorations de vitesse.<\/p>\n HTTP\/2 n\u00e9cessite HTTPS en raison de la prise en charge par le navigateur. L’am\u00e9lioration des performances est due \u00e0 diverses raisons, telles que la capacit\u00e9 de HTTP\/2 \u00e0 prendre en charge un meilleur multiplexage, le parall\u00e9lisme, la compression HPACK avec codage Huffman, l’extension ALPN et le server push. Il y avait auparavant une surcharge TLS sur HTTPS, mais elle est beaucoup moins importante maintenant.<\/p>\n TLS 1.3<\/a> est \u00e9galement sorti, ce qui acc\u00e9l\u00e8re encore plus les connexions HTTPS ! Kinsta supporte TLS 1.3 sur tous nos serveurs et notre CDN Kinsta.<\/p>\n Il est \u00e9galement important de noter que les optimisations des performances web telles que le sharding et la concat\u00e9nation de domaines peuvent nuire \u00e0 vos performances. Elles sont d\u00e9sormais obsol\u00e8tes et, pour la plupart, ne devraient plus \u00eatre utilis\u00e9es.<\/p>\n Tout ce qui se trouve sur le web devrait \u00eatre crypt\u00e9 par d\u00e9faut<\/em>. – Jeff Atwood<\/a>, cofondateur de Stack Overflow<\/p>\n Il est temps de passer \u00e0 la partie amusante : la migration de votre site WordPress de HTTP \u00e0 HTTPS. Passons d’abord en revue les exigences de base, ainsi que certaines choses dont il faut \u00eatre conscient.<\/p>\n Nous vous recommandons de d\u00e9sactiver votre int\u00e9gration CDN et de d\u00e9sactiver toute extension de mise en cache avant de commencer, car cela peut compliquer les choses.<\/p>\n La toute premi\u00e8re chose que vous devrez faire est d’acheter un certificat SSL si vous n’en avez pas. Il existe trois principaux types de certificats parmi lesquels vous pouvez choisir :<\/p>\n Chez Kinsta, nous fournissons des SSL Cloudflare gratuits pour tous les sites via notre int\u00e9gration Cloudflare<\/a>. Nos SSL Cloudflare sont automatiquement \u00e9mis apr\u00e8s la configuration d’un domaine dans MyKinsta, et ils sont m\u00eame dot\u00e9s d’une prise en charge des domaines wildcards !<\/p>\n Google recommande d’utiliser un certificat \u00e0 cl\u00e9 de 2048 bits<\/a> ou plus. Vous pouvez acheter des certificats aupr\u00e8s de Comodo<\/a>, DigiCert<\/a>, GeoTrust<\/a>, Thawte<\/a>, Rapid SSL<\/a> ou Trustwave<\/a>. Il existe \u00e9galement des alternatives moins ch\u00e8res telles que GoGetSSL<\/a>, Namecheap<\/a> et GoDaddy<\/a>.<\/p>\n Let’s Encrypt<\/a> offre \u00e9galement un moyen d’obtenir des certificats SSL gratuits. V\u00e9rifiez aupr\u00e8s de votre h\u00e9bergeur WordPress et de votre fournisseur CDN s’ils disposent d’une int\u00e9gration Let’s Encrypt. Vous pouvez \u00e9galement suivre le guide Certbot<\/a> sur la fa\u00e7on de les installer manuellement. Les certificats Let’s Encrypt expirent tous les 90 jours, il est donc essentiel de mettre en place un syst\u00e8me automatis\u00e9.<\/p>\n Si vous avez achet\u00e9 un certificat SSL, vous devez installer le certificat SSL sur votre site WordPress<\/a>. On vous demande de fournir le type de serveur lors de la configuration du certificat avec le vendeur. Si vous \u00eates un client Kinsta, nos serveurs web sont Nginx<\/a>. Si cette option n’est pas disponible, alors Autre<\/strong> fonctionnera \u00e9galement.<\/p>\n Le fournisseur SSL aura besoin d’un code CSR pour cr\u00e9er\/signer le fichier de certificat. Pour g\u00e9n\u00e9rer un code CSR et une cl\u00e9 RSA, veuillez remplir le formulaire suivant : https:\/\/www.ssl.com\/online-csr-and-key-generator\/<\/a>.<\/p>\n Nous vous recommandons de remplir tous les champs, mais au minimum, vous devez remplir les champs suivants (comme indiqu\u00e9 dans la capture d’\u00e9cran ci-dessous) :<\/p>\n Remarque : Pour le champ du nom commun, si vous g\u00e9n\u00e9rez un certificat wildcard, vous devrez saisir votre nom de domaine comme *.domaine.com.<\/p>\n Le formulaire va g\u00e9n\u00e9rer votre fichier de cl\u00e9 priv\u00e9e et le CSR. Veillez \u00e0 les sauvegarder tous les deux, car le certificat sera inutilisable sans eux :<\/p>\n Ensuite, t\u00e9l\u00e9chargez votre CSR aupr\u00e8s de votre fournisseur SSL pour r\u00e9g\u00e9n\u00e9rer votre certificat SSL (.cert).<\/p>\n Vous devrez ensuite vous rendre chez votre h\u00e9bergeur WordPress et lui remettre le certificat et la cl\u00e9 priv\u00e9e. Si vous \u00eates un client de Kinsta, vous pouvez vous connecter au tableau de bord et cliquer sur un site. Ensuite, allez dans l’onglet Domaines<\/strong> et s\u00e9lectionnez votre domaine, puis cliquez sur le bouton SSL personnalis\u00e9 <\/strong>:<\/p>\n Vous pourrez alors ajouter votre cl\u00e9 priv\u00e9e et votre certificat juste l\u00e0 :<\/p>\n Lorsque vous avez termin\u00e9, s\u00e9lectionnez Ajouter le certificat<\/strong> pour enregistrer vos modifications.<\/p>\n Maintenant que votre certificat SSL est install\u00e9, vous devez le v\u00e9rifier pour vous assurer que tout est correctement configur\u00e9. Une fa\u00e7on simple et rapide de le faire est d’utiliser l’outil gratuit de v\u00e9rification SSL<\/a> de Qualys SSL Labs. Si tout est correct, vous devriez obtenir une note de lettre A au test, comme indiqu\u00e9 ci-dessous :<\/p>\n Consultez notre tutoriel plus approfondi sur la fa\u00e7on d’effectuer une v\u00e9rification SSL<\/a>.<\/p>\n Apr\u00e8s avoir v\u00e9rifi\u00e9 votre certificat SSL, vous devez ensuite rediriger de fa\u00e7on permanente tout le trafic HTTP vers HTTPS<\/a>. Il existe plusieurs options pour rediriger le trafic HTTP vers HTTPS dans WordPress.<\/p>\n Si vous \u00eates un client Kinsta, utiliser notre outil Forcer HTTPS est la m\u00e9thode la plus simple. Il vous permet de rediriger automatiquement le trafic HTTP vers HTTPS en quelques clics au niveau du serveur. Vous pouvez \u00e9galement le faire manuellement dans la configuration de votre serveur web ou avec une extension WordPress gratuite.<\/p>\n Remarque : Nos exemples incluent tous une directive de redirection 301<\/a>, qui est la mani\u00e8re correcte de l’impl\u00e9menter en ce qui concerne le r\u00e9f\u00e9rencement. L’utilisation d’un autre type de redirection pourrait nuire \u00e0 vos classements. Il est \u00e9galement essentiel d’\u00eatre conscient que les redirections 301 peuvent ne pas transmettre 100 % du jus de lien, m\u00eame si Google peut dire qu’elles le font. Consultez cet article de Cyrus chez Moz concernant les migrations HTTPS et les redirections 301<\/a>.<\/p>\n Si vous \u00eates un utilisateur de Kinsta, vous pouvez facilement rediriger HTTP vers HTTPS en utilisant MyKinsta<\/a>. C’est une excellente option car elle \u00e9limine le besoin d’installer une extension sur votre site.<\/p>\n Pour commencer, connectez-vous au tableau de bord MyKinsta<\/a>, parcourez votre site, puis cliquez sur Outils<\/strong>.<\/p>\n Ensuite, s\u00e9lectionnez le bouton Activer<\/strong> sous Forcer HTTPS :<\/strong><\/p>\n Vous pouvez utiliser votre domaine principal comme destination ou un domaine alternatif demand\u00e9. Ensuite, cliquez sur Forcer HTTPS<\/strong>:<\/p>\n Si vous avez configur\u00e9 des r\u00e8gles HTTPS personnalis\u00e9es ou utilis\u00e9 des proxies tiers, vous risquez de rencontrer des probl\u00e8mes lorsque vous forcez HTTPS. Si vous rencontrez des erreurs, vous pouvez d\u00e9sactiver le for\u00e7age HTTPS, puis contacter le support Kinsta pour obtenir de l’aide.<\/p>\n Si votre serveur web utilise Nginx, vous pouvez facilement rediriger HTTP vers HTTPS en ajoutant le code suivant \u00e0 votre fichier de configuration Nginx :<\/p>\n C’est la m\u00e9thode recommand\u00e9e pour rediriger WordPress fonctionnant sur Nginx.<\/p>\n Rediriger HTTP vers HTTPS dans Apache<\/p>\n Si votre serveur web fonctionne sous Apache<\/a>, vous pouvez rediriger tout votre trafic HTTP vers HTTPS en ajoutant le code suivant \u00e0 votre fichier .htaccess<\/a>:<\/p>\n Il s’agit de la m\u00e9thode recommand\u00e9e pour rediriger WordPress fonctionnant sous Apache.<\/p>\n Aucun des serveurs de Kinsta n’utilise Apache.<\/p>\n La troisi\u00e8me option que vous avez pour rediriger de HTTP \u00e0 HTTPS est d’utiliser l’extension WordPress gratuite Really Simple SSL<\/a>:<\/p>\n Nous ne recommandons pas cette m\u00e9thode comme solution permanente car les plugins tiers peuvent introduire une autre couche de probl\u00e8mes et de questions de compatibilit\u00e9. C’est une bonne solution temporaire, mais vous devez mettre \u00e0 jour vos liens HTTP cod\u00e9s en dur, comme nous allons vous le montrer \u00e0 l’\u00e9tape suivante.<\/p>\n Impl\u00e9mentez l’en-t\u00eate HSTS (facultatif)<\/p>\n HSTS (HTTP Strict Transport Security<\/a>) est un en-t\u00eate de s\u00e9curit\u00e9 que vous ajoutez \u00e0 votre serveur web et qui oblige le navigateur \u00e0 utiliser des connexions s\u00e9curis\u00e9es lorsqu’un site fonctionne en HTTPS. Cela peut aider \u00e0 pr\u00e9venir les attaques de type \u00ab man-in-the-middle \u00bb (MitM) et le d\u00e9tournement de cookies. Vous pouvez utiliser les redirections 301 ci-dessus avec l’en-t\u00eate HSTS. Consultez notre article d\u00e9taill\u00e9 sur la fa\u00e7on d’ajouter le HSTS<\/a>.<\/p>\n Apr\u00e8s avoir ajout\u00e9 une redirection de HTTP \u00e0 HTTPS, vous devez v\u00e9rifier que vous n’avez pas trop de redirections<\/a>. Ce probl\u00e8me est assez courant et peut affecter la vitesse de votre site WordPress. Vous pouvez utiliser l’outil Redirect mapper de Patrick Sexton<\/a> pour voir rapidement combien de redirections vous avez sur votre site.<\/p>\n Vous verrez ci-dessous un exemple de redirections qui ont \u00e9t\u00e9 configur\u00e9es de mani\u00e8re incorrecte. Ceci est facilement rep\u00e9rable en utilisant le mappeur de redirections :<\/p>\n Vous pouvez voir qu’il y a des redirections HTTPS en double sur les versions www et non-www.<\/p>\n Vous trouverez ci-dessous un exemple de redirections configur\u00e9es correctement :<\/p>\n Comme vous pouvez le voir, il n’y a qu’une seule redirection. Vous pouvez consulter notre article approfondi sur les redirections WordPress<\/a> et les meilleures pratiques pour des performances plus rapides.<\/p>\n Maintenant que vous avez des redirections, il est temps de corriger toutes ces URL HTTP cod\u00e9es en dur. En g\u00e9n\u00e9ral, il n’est pas recommand\u00e9 de coder les URL en dur. Cependant, avec le temps, vous le ferez tr\u00e8s probablement (nous le faisons tous). Vous trouverez ci-dessous quelques options pour mettre \u00e0 jour vos liens HTTP en HTTPS.<\/p>\n Si vous \u00eates un client Kinsta, nous avons un outil de recherche et de remplacement<\/a> facile \u00e0 utiliser dans notre tableau de bord MyKinsta :<\/p>\n Voici les \u00e9tapes simples pour mettre \u00e0 jour les URL de HTTP \u00e0 HTTPS :<\/p>\n Consultez notre tutoriel sur la recherche et le remplacement<\/a>, ou cliquez sur le guide vid\u00e9o ci-dessous pour plus de d\u00e9tails.<\/p>\n Un autre outil facile que vous pouvez utiliser est une extension gratuite appel\u00e9e Better Search Replace<\/a> par l’\u00e9quipe WordPress de Delicious Brains<\/a>:<\/p>\n L’utilisation de cette extension est gratuite. Une fois install\u00e9e et activ\u00e9e sur votre site, vous pouvez naviguer vers Outils<\/strong> > Better Search Replace<\/strong> pour commencer \u00e0 l’utiliser.<\/p>\n Une troisi\u00e8me option pour ex\u00e9cuter une recherche et un remplacement WordPress est d’utiliser un script PHP gratuit de interconnect\/it appel\u00e9 Search Replace DB<\/a>. Il s’agit de l’un de nos outils pr\u00e9f\u00e9r\u00e9s pour toute migration de HTTP \u00e0 HTTPS.<\/p>\n Important ! L’utilisation de ce script pourrait briser votre site web WordPress si vous ne savez pas ce que vous faites. Si vous n’\u00eates pas \u00e0 l’aise pour le faire, consultez d’abord un d\u00e9veloppeur ou votre h\u00e9bergeur.<\/p>\n Pour utiliser le script, t\u00e9l\u00e9chargez simplement le fichier zip<\/a>, extrayez le dossier appel\u00e9 search-replace-db-master<\/em>, et renommez-le en quelque chose d’autre. Dans notre exemple, nous l’avons renomm\u00e9 en update-db-1551<\/em>. Ensuite, t\u00e9l\u00e9versez-le dans le r\u00e9pertoire public de votre serveur web via FTP, SFTP<\/a> ou SCP. Il s’agit g\u00e9n\u00e9ralement du m\u00eame r\u00e9pertoire que celui qui contient votre dossier \/wp-content.<\/p>\n Ensuite, naviguez vers votre dossier secret dans votre navigateur, par exemple https:\/\/domain.com\/update-db-1551 :<\/p>\n Le script tentera automatiquement de trouver et de remplir le champ de la base de donn\u00e9es, mais vous devez v\u00e9rifier que les d\u00e9tails sont corrects et qu’il s’agit bien de la base de donn\u00e9es sur laquelle vous souhaitez effectuer une op\u00e9ration de recherche\/remplacement. Vous pouvez d’abord cliquer sur Dry<\/strong> Run<\/strong> pour voir ce qu’il va mettre \u00e0 jour\/remplacer. Puis, lorsque vous \u00eates pr\u00eat, cliquez sur Live Run,<\/strong> qui effectuera les mises \u00e0 jour de la base de donn\u00e9es et la recherche et le remplacement de WordPress.<\/p>\n Un exemple de migration HTTPS serait de remplacer \u00ab http:\/\/yourdomain.com \u00bb par \u00ab https:\/\/yourdomain.com \u00bb.<\/p>\n Pour des raisons de s\u00e9curit\u00e9, il est \u00e9galement crucial que vous supprimiez ce script une fois que vous avez termin\u00e9. Vous pouvez cliquer sur le bouton \u00ab Supprimer <\/strong>\u00bb Si vous ne le faites pas, cela pourrait laisser votre site web ouvert aux attaques.<\/p>\n Il est \u00e9galement recommand\u00e9 de proc\u00e9der \u00e0 une double v\u00e9rification sur votre serveur web et de confirmer que le dossier\/script a \u00e9t\u00e9 compl\u00e8tement supprim\u00e9. Remarque : Ce script mettra \u00e0 jour toutes vos entr\u00e9es dans votre base de donn\u00e9es, y compris l’URL de votre site WordPress, les liens cod\u00e9s en dur sur les pages et les articles, etc.<\/p>\n Si vous avez cod\u00e9 en dur vos zones d’accueil, de site ou de contenu WP dans votre fichier wp-config.php<\/strong>, assurez-vous de les mettre \u00e0 jour en HTTPS :<\/p>\n Si vous disposez d’un CDN et que vous utilisez un CNAME, tel que cdn.domain.com, vous voudrez probablement ex\u00e9cuter le script ci-dessus une deuxi\u00e8me fois pour rechercher toutes les URL cod\u00e9es en dur de http:\/\/cdn.domain.com et les remplacer par https:\/\/cdn.domain.com.<\/p>\n Vous pouvez \u00e9galement mettre \u00e0 jour vos liens en utilisant WP-CLI pour les personnes et les d\u00e9veloppeurs plus avertis qui n’aiment pas quitter la ligne de commande. Nous vous recommandons de consulter cette recherche avanc\u00e9e et de remplacer le guide WP-CLI<\/a>.<\/p>\n Maintenant que vous avez mis \u00e0 jour vos anciennes URL cod\u00e9es en dur, vous voudrez v\u00e9rifier tous les scripts personnalis\u00e9s ou les biblioth\u00e8ques externes que vous pourriez avoir ajout\u00e9s \u00e0 votre en-t\u00eate, pied de page, etc. Cela pourrait inclure Google jQuery, Font Awesome, CrazyEgg, AdRoll, Facebook, Hotjar, etc.<\/p>\n Pour Google jQuery, vous devez simplement le mettre \u00e0 jour pour qu’il pointe vers la version HTTPS :<\/p>\n Chaque fournisseur et service devrait avoir une version HTTPS vers laquelle vous pouvez passer.<\/p>\n Ensuite, si vous utilisez un CDN, vous voudrez \u00e9galement le faire migrer vers HTTPS. Sinon, vous rencontrerez des probl\u00e8mes d’avertissement de contenu mixte sur votre site WordPress. Si vous utilisez le CDN de Kinsta<\/a>, vous pouvez sauter cette \u00e9tape car tout fonctionne \u00e0 partir de notre CDN aliment\u00e9 par Cloudflare sur HTTPS par d\u00e9faut.<\/p>\n Il existe de nombreuses options si vous recherchez une alternative au CDN Cloudflare. L’une des plus populaires est KeyCDN<\/a>.<\/p>\n Ce CDN haute performance acc\u00e9l\u00e8re la livraison du contenu de votre site web aux visiteurs en le mettant en cache sur des serveurs dans le monde entier. Il assure \u00e9galement la s\u00e9curit\u00e9 et la protection contre les attaques DDoS et autres menaces.<\/p>\n Deux autres options sont Amazon CloudFront<\/a>, qui fait partie d’Amazon Web Services (AWS), et Sucuri<\/a>, qui aide \u00e0 optimiser les performances et la vitesse du site web. Il est livr\u00e9 avec un large \u00e9ventail de fonctions de s\u00e9curit\u00e9.<\/p>\n Voici quelques liens et tutoriels utiles sur l’installation et la configuration de SSL pour diff\u00e9rents fournisseurs CDN tiers.<\/p>\n Remarque : certains ont m\u00eame une int\u00e9gration Let’s Encrypt, ce qui signifie que le SSL est gratuit. Si vous rencontrez des probl\u00e8mes, vous pouvez toujours vous adresser \u00e0 votre fournisseur de CDN pour qu’il vous aide \u00e0 effectuer votre migration de HTTP \u00e0 HTTPS.<\/p>\n Une fois le CDN mis \u00e0 jour, vous devrez vous assurer de le mettre \u00e0 jour dans le plugin WordPress que vous utilisez pour l’int\u00e9gration. Dans l’exemple ci-dessous, nous utilisons CDN Enabler<\/a>:<\/p>\nPourquoi devriez-vous vous int\u00e9resser \u00e0 HTTPS ?<\/strong><\/h2>\n
1. S\u00e9curit\u00e9<\/strong><\/h3>\n
2. SEO<\/strong><\/h3>\n
3. Confiance et cr\u00e9dibilit\u00e9<\/strong><\/h3>\n
4. Donn\u00e9es de r\u00e9f\u00e9rence<\/strong><\/h3>\n
5. Avertissements de Chrome<\/strong><\/h3>\n
6. Performances<\/strong><\/h3>\n
Guide de migration de HTTP \u00e0 HTTPS<\/strong><\/h2>\n
\n
1. Choisir un certificat SSL<\/strong><\/h3>\n
\n
Let’s Encrypt<\/strong><\/h4>\n
2. Installation d’un certificat SSL personnalis\u00e9<\/strong><\/h3>\n
\n
3. V\u00e9rifier votre certificat SSL<\/strong><\/h3>\n
4. Rediriger HTTP vers HTTPS<\/strong><\/h3>\n
Option 1 : Rediriger HTTP vers HTTPS sur MyKinsta<\/strong><\/h4>\n
Option 2 : Rediriger HTTP vers HTTPS dans Nginx<\/strong><\/h4>\n
server {\n\nlisten 80;\n\nserver_name domain.com www.domain.com;\n\nreturn 301 https:\/\/domain.com$request_uri;\n\n}<\/code><\/pre>\nRewriteEngine On\n\nRewriteCond %{HTTPS} off\n\nRewriteRule ^(.*)$ https:\/\/%{HTTP_HOST}%{REQUEST_URI} [L,R=301]<\/code><\/pre>\nOption 3 : Rediriger le HTTP vers le HTTPS avec le plugin Really Simple SSL<\/strong><\/h4>\n
5. V\u00e9rifiez s’il y a trop de redirections<\/strong><\/h3>\n
6. Mettre \u00e0 jour les liens HTTP cod\u00e9s en dur<\/strong><\/h3>\n
Option 1 : Outil de recherche et de remplacement de Kinsta<\/strong><\/h4>\n
\n
Option 2 : Plugin Better Search Replace<\/strong><\/h4>\n
Option 3 : Script PHP interconnect\/it Search Replace DB<\/strong><\/h4>\n
define('WP_HOME', 'https:\/\/yourdomain.com');\n\ndefine('WP_SITEURL', 'https:\/\/yourdomain.com');\n\ndefine( 'WP_CONTENT_URL', 'https:\/\/yourdomain.com\/wp-content' );<\/code><\/pre>\nOption 4 : Rechercher et remplacer avec WP-CLI<\/strong><\/h4>\n
7. Mise \u00e0 jour des scripts personnalis\u00e9s et des biblioth\u00e8ques externes<\/strong><\/h3>\n
<script src=\"https:\/\/ajax.googleapis.com\/ajax\/libs\/jquery\/3.1.0\/jquery.min.js\"><\/script><\/code><\/pre>\n8. Migrer le CDN de HTTP \u00e0 HTTPS<\/strong><\/h3>\n
Alternatives au CDN Cloudflare<\/strong><\/h4>\n
\n