SSL gratuit pour WordPress

Passer son site WordPress en https gratuitement

J’ai décidé de passer progressivement mes sites en https, voici comment je procède pour obtenir le petit cadenas vert en haut à droite de la barre de navigation pour pas cher (gratuit même).

1 – Pourquoi passer son site en https ?

    • Pour sécuriser les données

Si vous avec un site e-commerce ou bien encore un site qui récolte des données ou qui comporte une zone membres, il faut absolument installer un certificat SSL pour protéger les données. L’idée c’est de protéger le plus possible les échanges d’informations entre vote site et le navigateur web afin qu’il n’y ait pas de vol ou de substitution de données.

  • Pour rassurer les visiteurs

Le cadenas vert à côté de l’URL rassure le visiteur du site, c’est un indice de confiance. D’autant plus que certains navigateurs (Chrome) affichent la mention « non sécurisé » pour les sites non sécurisés (sans https à la place de http).

  • Pour optimiser le SEO

Google à clairement annoncé depuis 2014 qu’il favoriserait les sites qui utilisent le protocole https, ils veulent rendre le web plus sûr. Il est communément admis que le SSL apporte un « petit plus » en terme de référencement naturel car l’algorithme Google en tiens désormais compte. Ce critère ne suffira pas à vous propulser en première position, c’est clair, mais c’est un petit bonus à ne pas négliger.

2.1 – Méthode avec Let’s encrypt

J’ai des hébergements chez différents prestataires. J’en ai notamment plusieurs chez FastComet, ils proposent de l’hébergement mutualisé en SSD, en plus ils ont l’avantage d’avoir installé dans le cPanel le module Let’s Encrypt SSL.  C’est ce qui permet de passer en SSL en quelques clics.

C’est exactement ce que j’ai fait. Il faut juste cliquer sur l’icône Let’s Encrypt SSL qui se trouve habituellement dans le bloc « Security » du cPanel.

Ensuite, il faut choisir le site à traiter en cliquant sur le « + Issue » à droite de la liste.

Dans l’écran qui vient après, ne cochez que ce qui vous est utile pour le web, sauf si vous avez besoin de ssl aussi pour autre chose (SMPT, sous domaines, etc.). Puis validez en cliquant sur le bouton « Issue ». Le plus simple c’est de laisser les choix par défaut, ils correspondent aux réglages les plus courants.

Et voilà, le SSL est maintenant activé pour votre site mais par encore en mis place.

2.2 – Méthode avec CloudFlare

Un de mes autres hébergements est chez Hostwinds, comme ils n’ont pas le module Let’s Encrypt je passe par CloudFlare. Il y a une icône CloudFlare dans mon cPanel, il suffit de cliquer dessus pour se connecter.

Je préfère y accéder directement avec le lien direct www.cloudflare.com dans une nouvelle fenêtre. Comme j’ai déjà un compte, je n’ai pas besoin d’en créer un, je vous invite à vous inscrire si ce n’est pas déjà le cas. Une fois connecté, ajoutez votre site en cliquant sur le lien « add website » en haut à droite. Indiquez l’url dans le formulaire qui est affiché, puis cliquez sur « begin scan ». Après quelques instants vous pouvez poursuivre en cliquant sur « continue setup ».

La fenêtre suivante permet d’ajouter ou de supprimer des zones et d’adapter la configuration. Le choix proposé par défaut convient le plus souvent, cliquer sur « Continue ». Ensuite choisissez le plan gratuit qui suffit pour obtenir le certificat SSL.

En continuant vers la fenêtre suivante, CloudFlare vous attribue de nouveaux serveurs de noms (name servers), il faut aller les placer à la place de vos DNS actuels.

Pour effectuer ce changement, connectez vous à l’interface de votre registrar (là ou vous avez acheté votre nom de domaine) et procédez au remplacement. Tant que les serveurs de nom ne seront pas changés (et propagés)  vous ne pourrez pas avancer dans la configuration. Le temps que ce soit propagé peut être plus ou moins long suivant le cas, ça peut aller de quelques minutes à 24/48 h. CloudFlare vous envoie en tout cas un email quand c’est bon.

Une fois que les serveurs de noms de CloudFlare sont propagés et reconnus dans leur interface (marque « Active » à côté de votre nom de domaine) vous pouvez poursuivre la configuration.

Cliquez sur votre nom de domaine, ou bien sur overview pour voir le résumé de la configuration. C’est en utilisant le bouton « crypto » que vous accédez au paramétrage SSL. Choisissez « flexible » et sauvegardez.

Le SSL est maintenant activé, il reste à le mettre en place pour votre WordPress.

3 – Configuration WordPress

Vous pouvez aller dans l’admin de votre WordPress. C’est dans les réglages généraux qu’il faut remplacer http:// par https:// dans les deux champs, comme dans la copie écran ci-dessous. Après la validation de ces réglage votre site est en https. Vous devriez voir un petit cadenas vert en haut à gauche, à côté de l’url.

Si jamais ce n’étais pas le cas, pas de souci, c’est sans doute que des éléments non sécurisés (non https) sont apellés depuis vos pages. Pour les trouver, c’est facile, utilisez par exemple la fonction réseau des outils pour développeurs de Firefox lors du chargement de la page. Vous pourrez voir ligne par ligne chaque appel avec un cadenas vert pour tout ce qui est bon. Les appels qui ne sont pas en https sont alors faciles à voir et à corriger.

Les seuls cas que j’ai rencontré jusque là c’était les liens vers l’image du logo ou encore des tableaux apellés dynamiquement. Il a suffit de corriger les liens (juste en ajoutant le s de https) pour que tout fonctionne.

Je vous recommande par contre d’examiner votre site attentivement et de corriger tous les liens en http qui pointent en interne en mettant https à la place.

Le moyen le plus rapide en passant par la base de données c’est un utilisant un plugin pour faire des rechercher replacer. En général j’utilise celui-ci : Better Search Replace (voir ci-dessous), il vous donne la possibilité de simplement faire un test avant pour voir.

Attention, il est plus que recommandé d’avoir fait une sauvegarde avant de faire des changements en masse dans la base de données !

Une fois tous ces liens corrigés en remplaçant http://mon-wordpress.com par https://mon-wordpress.com, vous ne devriez avoir le cadenas vert sur toutes les pages. Et aussi avoir corrigé tous les liens de votre site.

Pour rediriger convenablement tous les liens entrants, je vous recommande de placer une redirection 301 dans votre fichier .htaccess sinon vous allez perdre le bénéfice de tous les liens qui pointent vers votre site.

Pour se faire, vous pouvez ajouter simplement ces 3 lignes tout en haut de votre .htaccess qui se trouve à la racine de votre site (accès par FTP).

RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.mon-wordpress.com/$1 [R,L]

ou sans les www selon le cas :

RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://mon-wordpress.com/$1 [R,L]

Vérifiez biens si votre site est accessible après ces changements, ce fichier étant clairement sensible. Comme pour le changement en base de données, je vous recommande aussi de faire une sauvegarde avant !

4 – Mettre à jour Google Analytics et Google Web Console

Il ne vous reste plus qu’à aller dans votre compte Google Analytics pour mettre à jour l’adresse de la propriété (https au lieu de http) puis mettre à jour également Google Search Console.

5 – C’est comme une migration

Le fait de passer tout le site de http à https expose aux mêmes contraintes qu’un changement de nom de domaine ou un déménagement. Il ne faut donc pas oublier de faire les redirections 301 et mettre à jour Search Console. A court terme il est aussi possible de perdre des positions dans les résultats Google, mais avec quelques efforts tout devrait rentrer dans l’ordre.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *