Le guide ultime de HTTPS et SSL pour WordPress
Publié: 2021-12-30Avez-vous déjà remarqué que la plupart de vos sites Web préférés ont une URL qui commence par HTTPS ? Vous êtes plus susceptible de remarquer lorsque le S, qui indique qu'une URL est sécurisée, n'est pas présent. En effet, Google signale désormais les sites Web sans certificat SSL, un élément important d'un site Web sécurisé. Parce que la sécurité du site Web est si importante, il est crucial que vous compreniez HTTPS et SSL pour WordPress.
Si vous exploitez un site Web WordPress, vous souhaiterez qu'il ait SSL et HTTPS pour une plus grande sécurité et la confiance des visiteurs. En prime, votre site Web aura un classement de recherche SEO plus élevé. Donc, si vous êtes prêt à ajouter une couche supplémentaire de sécurité et de protection à la fois pour votre site et pour les utilisateurs qui le visitent, lisez la suite.
Qu'est-ce que HTTPS et SSL ?
HTTPS et SSL pour WordPress vont de pair. À lui seul, HTTP (le préfixe d'URL d'origine) représente le protocole de transfert hypertexte. L'installation d'un certificat SSL (Secure Sockets Layer) sur votre site Web le sécurise. Lorsque le certificat SSL ou TLS approprié est installé sur votre site Web, le préfixe d'URL passe de HTTP à HTTPS : protocole de transfert hypertexte sécurisé.
Approfondissons ce que sont HTTPS et SSL et comment ils fonctionnent. Selon le réseau de développeurs Mozilla (MDN) :
HTTPS (HyperText Transfer Protocol Secure) est une version cryptée du protocole HTTP. Il utilise SSL ou TLS pour crypter toutes les communications entre un client et un serveur. Cette connexion sécurisée permet aux clients d'échanger en toute sécurité des données sensibles avec un serveur, par exemple lors d'activités bancaires ou d'achats en ligne.
HTTPS signifie essentiellement que votre site est crypté de bout en bout. Cela signifie que seuls les deux clients à chaque extrémité de la transaction sont capables de lire les données. Si un utilisateur ou une entité malveillante interceptait la communication, il n'obtiendrait rien d'autre qu'un fouillis de caractères aléatoires et brouillés.
Passons maintenant à la définition de SSL du MDN :
Secure Sockets Layer, ou SSL, était l'ancienne technologie de sécurité standard pour créer un lien réseau crypté entre un serveur et un client, garantissant que toutes les données transmises sont privées et sécurisées. La version actuelle de SSL est la version 3.0, publiée par Netscape en 1996, et a été remplacée par le protocole Transport Layer Security (TLS).
En ce qui concerne TLS par rapport à SSL, TLS est essentiellement le suivi de SSL. Comme SSL, TLS établit une connexion cryptée entre un serveur et un client. Les deux protocoles se traduisent par une meilleure sécurité pour votre site Web WordPress.
Avez-vous besoin de HTTPS et SSL ?
La réponse courte est oui : vous avez besoin de HTTPS et SSL. En plus d'établir la confiance avec vos visiteurs, la sécurité du site est l'une des compétences d'un référencement solide. En 2018, Google a commencé à signaler les sites Web sans certificat SSL ou TLS. Cela décourage les utilisateurs de naviguer vers des sites qui n'ont pas de certificat SSL.
Il y a des années, les certificats SSL coûtaient cher - des milliers de dollars, en fait. Les grands sites Web qui généraient des revenus, tels que Facebook et Amazon, affichaient l'icône de verrouillage dans la fenêtre du navigateur de l'utilisateur. C'est parce qu'ils avaient le budget pour acheter le certificat. D'un autre côté, le site Web WordPress de l'utilisateur moyen avait simplement un préfixe HTTP. De nos jours, les certificats SSL sont à la fois nécessaires et abordables.
Bien que WordPress installe désormais automatiquement des certificats SSL sur chaque nouveau site Web, vous pouvez avoir un domaine plus ancien ou un site établi de longue date qui doit être sécurisé. Il est possible d'obtenir un certificat SSL gratuit pour votre site WordPress si vous n'en avez pas déjà un. La plupart des hébergeurs proposent également un certificat SSL gratuit ou à prix réduit dans le cadre de leurs forfaits d'hébergement. Avec HTTPS et SSL pour WordPress désormais si accessibles, il n'y a aucune raison de laisser votre site Web vulnérable.
Comment installer SSL pour WordPress
Vous vous demandez comment installer SSL pour WordPress ? Nous vous guiderons à travers les étapes et vous montrerons comment procéder.
Utiliser un plug-in
Commençons par installer SSL pour WordPress en utilisant un plugin. Pour ce tutoriel, nous utilisons Really Simple SSL. Ce plugin déplace automatiquement votre site WordPress vers SSL. Donc, si votre URL affiche toujours HTTP plutôt que HTTPS, ce plugin s'occupera du problème et vous aidera à sécuriser votre site.
Allons-y.
1. Accédez à la page du plug-in Really Simple SSL et cliquez sur Télécharger. Enregistrez le fichier .zip du plug-in sur votre ordinateur.
2. Ouvrez un nouvel onglet de navigateur, connectez-vous à votre tableau de bord WordPress et cliquez sur Plugins.
3. À partir de votre écran Plugins, cliquez sur Ajouter nouveau.
4. Dans la page Ajouter des plugins, cliquez sur Charger le plugin.
5. Ensuite, téléchargez le fichier .zip associé à votre plugin. Choisissez votre fichier, puis cliquez sur Installer maintenant.
6. WordPress affichera une page indiquant la progression de votre téléchargement. Une fois le plugin téléchargé, cliquez simplement sur Activer le plugin.
Ajustements possibles du plugin
7. Comme vous pouvez le constater, un certificat SSL a déjà été détecté sur le site Web sur lequel je travaille. Mais si nous n'avions pas déjà SSL, les prochaines étapes que nous aurions besoin de couvrir seraient :
- Modification de toutes les références http:// dans les fichiers .css et .js en https://
- Suppression de tous les scripts, feuilles de style ou images provenant d'un domaine sans SSL
- Connectez-vous à nouveau (car une fois que vous aurez activé le plugin, WordPress vous déconnectera)
Lorsque vous êtes prêt, cliquez sur Activer SSL pour finaliser l'installation. Ce plugin changera votre URL par défaut en HTTPS.
8. Maintenant, SSL est activé. La fenêtre du plugin me montre quelles mesures doivent être prises pour sécuriser davantage le site Web. Really Simple SSL fournit des articles et des ressources pour m'aider à régler mes paramètres de sécurité à un niveau optimal. Je peux les parcourir un par un pour optimiser ma sécurité.
Utilisez-vous Divi sur votre site WordPress ? Certains utilisateurs de Divi rencontrent des problèmes de contenu mixte lorsqu'ils installent Really Simple SSL. Si tel est le cas, le cache Divi doit être vidé pour résoudre le problème. En savoir plus sur la façon de résoudre le problème ici.
Vérifier les paramètres du plug-in SSL
Il est maintenant temps de naviguer vers votre page principale des plugins et de vérifier les paramètres de votre plugin SSL. Cliquez simplement sur Paramètres pour commencer. Vous verrez la même liste de contrôle de ressources qu'avant. Faites simplement défiler la page pour voir où vous pouvez basculer les paramètres.
Les paramètres par défaut du plugin devraient être adéquats, mais vous pouvez toujours faire des ajustements. En premier lieu, vous voulez vous assurer que le fixateur de contenu mixte est coché. Très probablement, celui-ci sera déjà sélectionné. Si ce n'est pas le cas, vérifiez-le et enregistrez la page.
Assurez-vous de lire la documentation jointe avant de modifier vos paramètres.
C'est ça! Vous avez installé SSL pour WordPress via le plugin.
Installation manuelle
Voyons maintenant comment installer SSL pour WordPress manuellement. Nous allons commencer par ouvrir un nouvel onglet de navigateur et naviguer vers SSL gratuitement (ZeroSSL).
1. Depuis la page d'accueil, entrez l'URL de votre site dans la barre de texte et cliquez sur Créer un certificat SSL gratuit.
2. Vous serez invité à créer un compte. Une fois que vous avez fait cela, le site vous redirigera vers la page d'accueil de ZeroSSL. À partir de là, cliquez sur Nouveau certificat.
3. Sur la page suivante, vous pouvez saisir votre domaine dans la zone de texte, puis cliquer sur Étape suivante.
4. Vous pouvez choisir de créer un certificat de 90 jours gratuitement ou un certificat d'un an (payant). Si vous en choisissez un qui dure 90 jours, vous devrez revenir en arrière et en générer un autre tous les 90 jours. Une fois que vous avez sélectionné l'option que vous souhaitez utiliser, cliquez sur Étape suivante.
5. Ensuite, vous pouvez demander au programme de générer automatiquement une demande de signature de certificat (CSR) si vous le souhaitez. Vous pouvez également remplir manuellement vos informations. Le but de ceci est de vérifier votre identité et le fait que vous possédez en fait le domaine pour lequel vous générez le SSL. Vous serez ensuite invité à sélectionner le plan que vous souhaitez.
Vérification de domaine et SSL pour l'installation manuelle de WordPress
6. Il vous sera alors demandé de vérifier votre domaine. Vous pouvez le faire de trois façons :
- Grâce à la vérification par e-mail
- En ajoutant un nouvel enregistrement CNAME sur votre serveur hôte
- Par téléchargement de fichier HTTP
Selon l'option que vous choisissez, suivez les instructions fournies sur le site.
7. Une fois votre domaine vérifié, le site générera votre certificat SSL. Vous pouvez télécharger votre certificat, puis cliquer sur Étape suivante.
8. Maintenant, vous devrez télécharger le certificat SSL sur votre cPanel. Ce processus peut sembler un peu différent selon l'hôte que vous utilisez. Pour des instructions étape par étape, recherchez votre hébergeur dans cette liste de ZeroSSL, qui vous guidera tout au long de la finalisation de votre installation SSL pour WordPress.
Pour les besoins de cet article, je vais vous montrer à quoi cela ressemble via mon Bluehost cPanel.
9. Tout d'abord, accédez à votre cPanel et faites défiler jusqu'à la section SECURITY. Cliquez sur SSL/TLS.
10. Cliquez sur "Générer, afficher, télécharger ou supprimer des certificats SSL".
11. Vous verrez maintenant une liste des certificats actuellement sur votre serveur. Faites défiler jusqu'à la section intitulée "Télécharger un nouveau certificat".
12. Maintenant, vous avez plusieurs options. Vous pouvez soit:
- Décompressez votre certificat SSL que vous avez téléchargé depuis ZeroSSL, puis téléchargez le fichier .crt.
- Ou, vous pouvez ouvrir le fichier .crt dans un éditeur de texte de base. Copiez le texte intégral du certificat, puis revenez à votre cPanel et collez-le dans la zone de texte intitulée "Télécharger un nouveau certificat". Cela inclut le texte d'en-tête et de pied de page qui indique le début et la fin du certificat.
13. Cliquez sur Télécharger le certificat. Après cela, vous voudrez revérifier que l'installation a réussi. Vous pouvez vérifier votre certificat sur votre tableau de bord ZeroSSL. Vous pouvez également essayer de naviguer vers votre URL avec le préfixe https:// pour voir si cela fonctionne pour vous.
C'est ça!
Questions fréquemment posées sur SSL et HTTPS
Voyons maintenant quelques questions fréquemment posées concernant HTTPS et SSL pour WordPress.
Comment savoir si mon site dispose d'un certificat SSL ?
Ouvrez une nouvelle fenêtre de navigateur et accédez à votre site Web. Regardez à gauche de votre préfixe d'URL. La fenêtre de votre navigateur doit afficher une icône de verrouillage à côté de l'URL. Vous pouvez également cliquer dans la zone de texte et vous devriez pouvoir voir HTTPS affiché.
SSL et HTTPS rendront-ils mon site plus lent ?
SSL et HTTPS peuvent ralentir légèrement votre site. Cependant, si les visiteurs de votre site Web rencontrent l'écran d'erreur de Google qui les empêche d'accéder à votre site Web HTTP en premier lieu, c'est plus un problème. Soit vous allez sacrifier une petite quantité de vitesse pour un site Web sécurisé auquel les utilisateurs font confiance, soit vous allez faire face à un taux de rebond élevé à partir d'un site non sécurisé.
J'ai installé le certificat SSL, mais mon site montre toujours qu'il n'est pas sécurisé. Qu'est-ce que je fais maintenant?
Vérifiez que votre installation a réussi. Vous pouvez le faire dans WordPress en accédant à la page des paramètres de votre plugin ou en vérifiant votre installation manuelle via votre tableau de bord ZeroSSL. Il se peut que vous deviez basculer certains paramètres ou que vous deviez effectuer un dépannage.
Si vous constatez des erreurs SSL persistantes sur votre site, vous devrez peut-être :
- Forcer les redirections HTTP vers HTTPS
- Correction des erreurs de contenu mixte (images cassées)
- Inspectez les plugins et les thèmes existants pour les erreurs
- Corriger une boucle de redirection
- Dépannez davantage votre certificat SSL, qui peut afficher un avertissement de certificat non valide (auquel cas, vous pouvez le renouveler)
Pour inspecter les erreurs SSL, vous pouvez cliquer avec le bouton droit sur votre site Web et sélectionner Inspecter dans le menu déroulant. Les erreurs sont surlignées en rouge. Vous pouvez signaler les erreurs à l'auteur d'un plugin ou d'un thème, à votre fournisseur d'hébergement Web ou à votre équipe de support technique, selon l'endroit et la manière dont votre site est hébergé et configuré.
Si vous n'êtes pas développeur, il est préférable de ne pas essayer de modifier vos plugins ou vos thèmes. Il est trop facile de casser quelque chose dont vous n'êtes pas conscient ou qui affecte votre site à grande échelle.
Selon l'outil que vous avez sélectionné, vous devriez pouvoir obtenir une certaine assistance. Vous pouvez poser des questions dans des forums ouverts, suivre des guides de dépannage ou contacter votre hébergeur pour obtenir de l'aide. Si vous utilisez Divi, nous avons une équipe de chat en direct qui peut également vous aider. Très probablement, vous pourrez obtenir de l'aide de quelqu'un d'autre qui connaît le problème que vous rencontrez.
Comment corriger les erreurs de contenu mixte ?
Des erreurs de contenu mixte se produisent lorsque vous avez installé SSL pour WordPress, mais votre site Web considère toujours une partie du contenu comme non sécurisée. Vous remarquerez peut-être des images manquantes, par exemple. Pour résoudre ce problème, vous pouvez configurer votre site WordPress pour afficher un contenu mixte.
Vous pouvez corriger les erreurs de contenu mixte en installant et en activant le plug-in SSL Insecure Content Fixer. Si vous continuez à recevoir des erreurs de contenu mixte, il est possible que quelque chose ne va pas dans votre base de données. Vous devrez prendre quelques mesures supplémentaires pour résoudre ce problème, y compris l'installation et l'exécution du plug-in Better Search and Replace. Nous avons écrit un article pour vous guider dans la résolution des erreurs de contenu mixte ici.
Comment forcer le HTTPS ?
Pour forcer HTTPS, vous devrez peut-être configurer des redirections automatiques de HTTP vers HTTPS. Forcer les redirections automatiques empêchera les utilisateurs d'ouvrir la version HTTP de votre site Web, qui techniquement existe toujours.
Voici un tutoriel de Name.com qui vous guide tout au long du processus via cPanel. Vous pouvez également résoudre ce problème directement dans le fichier . htacess via votre client FTP. Ce tutoriel de Dreamhost vous guidera à travers les étapes pour forcer votre site à se charger en toute sécurité.
Combien coûtent les certificats SSL ?
Les prix des certificats SSL varient considérablement, allant de la gratuité à environ 1 000 $ par an. En moyenne, ils ont tendance à être beaucoup moins chers. Le prix dépend du service que vous choisissez et du niveau d'assistance dont vous avez besoin.
Existe-t-il une différence entre les certificats SSL gratuits et payants ?
Pas en termes de fonctionnalité. Les certificats SSL gratuits et payants offrent le même niveau de sécurité aux utilisateurs finaux. Cependant, un certificat SSL payant bénéficiera probablement d'un support technique supplémentaire et d'une validation plus approfondie. Si vous êtes à l'aise avec le dépannage de votre SSL par vous-même, l'utilisation d'un certificat gratuit peut très bien vous convenir. Mais si vous pensez avoir besoin d'une assistance technique continue et que vous ne voulez pas avoir à réinstaller un nouveau certificat gratuit à chaque fois que votre certificat actuel expire, un certificat SSL payant peut être une meilleure option.
Dois-je renouveler mon certificat SSL ?
Le renouvellement du certificat SSL dépend de votre hébergeur. Si vous utilisez un hôte qui inclut un certificat SSL dans le cadre de votre plan d'hébergement, il peut être configuré pour se renouveler automatiquement (et de nos jours, beaucoup sont configurés de cette façon afin que les utilisateurs n'aient jamais à y toucher). Si vous utilisez l'option de certificat SSL de 90 jours ou d'un an de ZeroSSL, vous devrez renouveler manuellement votre certificat SSL à intervalles réguliers.
Conclusion
Maintenant que vous savez comment installer et dépanner votre certificat SSL, il est temps de sécuriser votre site WordPress. HTTPS et SSL pour WordPress sont d'une importance cruciale pour le succès de votre site Web et le niveau de confiance avec les utilisateurs (et avec Google). Si vous souhaitez rendre votre site viable non seulement maintenant, mais à l'avenir, assurez-vous de le verrouiller avec HTTPS et SSL.
Avez-vous rencontré des problèmes avec SSL pour WordPress ? Comment avez-vous abordé leur résolution ? Laissez-nous un commentaire ci-dessous et faites-le nous savoir.
Image en vedette de l'article par Eny Setiyowati / shutterstock.com