Formation « Développer un thème WordPress sur-mesure (Classique) »

Passer son site WordPress en HTTPS avec un certificat SSL Let’s Encrypt

Lecture : 4 minutes • 0

Aujourd’hui, le SSL est une norme pour tous les sites. Et si le votre n’est pas en HTTPS, alors Google pourrait vous déclasser de ses résultats. Pourtant, c’est facile de générer un certificat grâce à Let’s Encrypt. Et en plus, c’est gratuit !

Afin de garantir des connexions sécurisées, et des échanges chiffrés entre les sites, le SSL est devenu la norme, mais il y a encore quelques années en arrière, les certificats étaient payants.

C’est alors qu’est apparu Let’s Encrypt, proposant des certificats gratuits. Si bien qu’aujourd’hui plus de la moitié des sites web en ligne dépendent de ce service !

Pourquoi générer un certificat SSL ?

Le certificat SSL permet de chiffrer une connexion entre l’internaute et votre site internet. Tous les échanges seront donc sécurisés, et illisibles si un tiers malintentionné les interceptaient.

C’est donc d’autant plus utile sur un site où vos visiteurs peuvent se connecter, afin que le mot de passe ne transite pas par Internet en clair. Et c’est d’autant plus essentiel pour une boutique en ligne, lorsque votre numéro de carte bancaire passe par les tuyaux d’internet.

Schéma d'une connexion à un site avec et sans SSL
Avec une connexion HTTPS, les données échangées sont chiffrées

Et même si c’est moins essentiel sur un site tout simple, vous garantissez tout de même une confidentialité des données, ce qui est rassurant pour l’internaute.

Prenez donc l’habitude de toujours générer un certificat pour vos sites. Et il y a une bonne raison supplémentaire pour le faire : Google a menacé de déclasser les sites qui ne jouaient pas le jeu, alors autant ne pas prendre de risque !

D’ailleurs sur le navigateur, on voit tout de suite dans la barre d’adresse si un site n’est pas sécurisé. Tout est donc fait pour vous forcer à utiliser SSL.

Capture d'écran montrant un site avec certifcat, et un autre sans. Le navigateur les distingue dans la barre d'adresse
Impossible de rater un site non sécurisé dans votre navigateur

Conseil

En résumé, lorsque vous faites un site, ne vous posez pas de questions et générez toujours un certificat SSL.

On va sans plus tarder voir comment faire.

Générer un certificat SSL gratuitement avec Let’s Encrypt

Je vais faire la manipulation depuis le cPanel, puisque c’est un outil souvent utilisé par les hébergeurs, comme o2switch par exemple. Pour d’autres comme OVH, la manipulation devrait être tout autant facile, consultez la documentation pour vous aider.

Commencez donc par accéder à votre cPanel (sur o2switch ajoutez :2083 à l’URL de votre site) et cherchez Let’s Encrypt.

L'interface de cPanel avec l'icône de Let's Encrypt
Let’s Encrypt se trouve dans la catégorie Sécurité du cPanel

Cliquez sur + Générer en face de votre nom de domaine. Vous n’aurez pas besoin d’en générer un pour le domaine générique .odns.fr.

La page du cPanel pour générer un nouveau certificat
Générez votre certificat en quelques clics

Dans l’écran suivant, ne changez rien et descendez directement sur le bouton Générer.

Et voilà, vous avez un certificat SSL valide ! Il se renouvellera automatiquement tous les 3 mois, donc à partir de ce moment, vous n’avez plus rien besoin de faire !

Changer les URL du site

Si vous avez un site déjà en place, il va falloir modifier les URL afin d’ajouter le S de partout.

Connectez-vous à votre interface d’administration et allez dans Réglages > Général.

L'interface d'administration de WordPress, dans Réglages > Général
Ajoutez le S dans les 2 champs URL

Changez les 2 URL : Adresse web de wordPress et Adresse web du site. Enregistrez. Vous allez devoir vous reconnecter car le navigateur considère que c’est une URL différente.

Mais ce n’est pas tout ! Comme on a pu le voir dans le cours sur la mise en ligne d’un site WordPress ou encore sur le rapatriement d’un site en local, WordPress enregistre les URL absolues dans la base.

Et si on ne les change pas, on risque d’avoir un message du navigateur indiquant qu’il a trouvé du contenu mixte : c’est-à-dire des contenus non SSL dans la page.

À éviter

Vous ne devez jamais avoir de contenu mixtes non SSL dans une page web, sinon ça invalide la sécurité de votre site.

Alors pour éviter ça, on va chercher et remplacer les URL. Et pour cela on va utiliser :

Better Search Replace

Better Search Replace

Une extension simple pour mettre à jour les URL et tous les textes de votre base de données WordPress.

Par WP Engine

Une fois l’extension installée, allez dans Outils > Better Search Replace. Dans Rechercher, indiquez l’URL de votre site sans https, et dans Remplacer par, indiquez l’URL avec https.

L'interface de Better Search Replace qui va nous permettre de changer nos URL et y ajouter le S dans HTTPS
Cherchez les anciennes URL pour les remplacer par les nouvelles

Sélectionnez toutes les tables et lancez l’opération ! Toutes les URL de votre site devraient maintenant commencer par https. Vous pouvez alors désinstaller cette extension si vous le souhaitez.


Lorsque vous installez un nouveau site sur votre hébergement, accédez-y par l’URL avec le préfixe https:// , et il sera directement installé avec la bonne adresse. Vous n’aurez donc pas besoin de faire cette manipulation.

Forcer le HTTPS

C’est tout bon ? Eh bien non, pas encore. En l’état, votre site est à la fois accessible en SSL, et sans SSL. On va donc forcer l’affichage de la version HTTPS, et pour cela on a deux solutions :

Via une extension

Si vous ne voulez pas vous embêter, alors on va utiliser une extension qu’il suffira simplement d’activer :

Really Simple SSL – Simple and Lightweight Security

Really Simple SSL – Simple and Lightweight Security

Améliorez facilement la sécurité de votre site grâce au durcissement de WordPress, à la détection des vulnérabilités et à la génération de certificats SSL.

Par Really Simple Plugins

Une fois activée, une notice vous indique si vous soulez forcer le SSL. Validez, et le tour est joué !

Le saviez-vous ?

Si vous utilisez iThemes Security pour sécuriser votre site, alors pas besoin de Really Simple SSL, car il vous propose exactement la même chose.

Via le fichier .htaccess

Et sinon, il y a la méthode à la main, qui vous évite une extension supplémentaire sur votre site. Pour cela on va aller ajouter ces quelques lignes dans le fichier .htaccess qui se trouve à la racine de votre hébergement (sur une configuration Apache seulement) :

Plain Text
.htaccess

Collez ces lignes à la fin de votre fichier, enregistrez, et on va tester : tentez d’accéder à votre site en tapant l’URL en http://. Si tout se passe bien, vous êtes automatiquement redirigé en https:// !

Information

Si vous ne voyez pas ce fichier, c’est que votre FTP n’affiche pas les fichiers systèmes. Il faut trouver l’option pour demander de les afficher.

Voici des tutoriels pour les afficher dans CyberDuck, Filezilla, mais aussi Transmit.


Et voilà ! Les connexions vers votre site sont désormais sécurisées grâce à du SSL performant et gratuit. Le certificat étant renouvelé automatiquement, il n’y a plus rien à faire désormais ! Votre site s’affichera bien en https:// pour tous les visiteurs, et Google sera content.

0

Questions, réponses et commentaires

Laisser un commentaire