Comment passer son blog WordPress en HTTPS sans tout casser ?


Si vous suivez un peu l’actualité du Web, vous avez peut-être entendu parler du HTTPS. Vous avez peut-être lu qu’il fallait « passer son site en HTTPS », que WordPress allait forcer ses utilisateurs à adopter le HTTPS, que c’était mieux pour le référencement, que Google Chrome signalait les sites en HTTP comme étant non sécurisés…

Alors aujourd’hui… suspense… nous allons parler… du HTTPS ! Je vais d’abord vous expliquer dans les grandes lignes à quoi ça correspond, pourquoi ça prend de plus en plus d’importance sur le web et dans un second temps, je vous montrerai comment passer son site en HTTPS sans détruire son référencement à tout jamais (musique dramatique).

Comment passer son blog WordPress en HTTPS (presque) sans douleur ?
Comment passer son blog WordPress en HTTPS (presque) sans douleur ?

Le HTTPS, c’est quoi ?

Je vais juste vous donner quelques informations pour comprendre à quoi ça correspond dans les grandes lignes. Si le sujet vous intéresse, une recherche Google vous dévoilera tout (et plus encore).

Quand vous naviguez sur Internet, c’est grâce à un protocole que votre ordinateur est capable d’échanger des informations avec des serveurs où sont stockés les sites web que vous visitez. Le protocole est une sorte de communication entre votre ordinateur et tous ces serveurs.

Le protocole de base sur le web est le « Hypertext Transfer Protocol »… alias le « HTTP ». C’est pour ça que traditionnellement, les adresses des pages web commencent par http://

Le web s’est beaucoup développé, il y a aujourd’hui des pratiques qui n’existaient pas il y a 20 ans et qui exigent plus de sécurité et de confidentialité : vous achetez sur Internet, vous y gérez souvent vos comptes bancaires, vous pouvez même échanger avec des administrations sur des sujets confidentiels comme la santé ou les impôts.

Pour ça, on a créé le SSL (Secure Socket Layer), un système de chiffrement sécurisé :

  • Il permet d’abord de garantir l’identité du site avec lequel on communique. Si je vais par exemple sur le site de ma banque, je vois dans la barre d’adresse que la banque possède un certificat à son nom. Ca me prouve que c’est bien ma banque qui tient ce site.
    Protocole sécurisé de la BNP Paribas
  • Ça permet également d’assurer la confidentialité et l’intégrité des informations échangées entre votre ordinateur et un serveur : grâce au SSL, personne ne peut intercepter ces informations et personne ne peut les modifier à votre insu. Ça évite par exemple qu’un pirate s’empare de vos coordonnées bancaires au moment où elles transitent vers le site où vous faites vos achats.

Le HTTPS, c’est tout simplement la réunion entre le protocole HTTP traditionnel et le SSL. HTTP + SSL = HTTPS. Ça permet donc une navigation plus sécurisée sur le web. Concrètement, tous les grands acteurs du web poussent les propriétaires de sites à adopter ce protocole, c’est pour cette raison qu’il est intéressant de s’y pencher.

2017 : une année charnière pour WordPress et le HTTPS

Le 1er décembre 2016, WordPress a annoncé qu’à compter de 2017, certaines fonctionnalités exigeront que les sites soient en HTTPS. De même, ils ont fait part de leur intention d’arrêter de promouvoir les hébergeurs qui ne proposent pas le HTTPS à leurs clients.

Par ailleurs, l’équipe qui gère Google Chrome a annoncé le 8 septembre 2016 qu’à partir de 2017, Google Chrome allait progressivement afficher des avertissements pour signaler les sites en HTTP comme « non sécurisés ». avec une augmentation progressive de la visibilité de cet avertissement :

  • Au départ, une simple icône à côté de l’URL du site en HTTP pour attirer l’attention sur son niveau de sécurité bas.
  • Ensuite, on verra une icône + une mention indiquant « non sécurisé ».
  • Par la suite, cette mention pourrait s’afficher en couleur pour alerter l’internaute.
Site en HTTP non sécurisé sur Chrome
Site en HTTP non sécurisé sur Chrome

Que faire avant de passer son site en HTTPS ?

Dans ce tutoriel, je vais vous montrer comment passer un blog WordPress en HTTPS.

Avant de commencer, je vous conseille de lire le tutoriel en entier. On vous a sûrement répété cette consigne à l’école en vous disant de ne pas commencer un exercice avant de l’avoir lu jusqu’au bout ! C’est particulièrement vrai pour le HTTPS. Ça reste une manipulation technique et si vous vous rendez compte au beau milieu du tutoriel que vous n’y comprenez rien et que vous êtes bloqué, c’est quand même dommage :)

Ensuite, je vous conseille de faire une sauvegarde de votre base de données comme avant toute modification importante de votre blog. Je vous recommande aussi de désactiver votre plugin de cache si vous en utilisez un.

Enfin, vous pouvez mettre votre site en maintenance en utilisant un plugin comme « Coming Soon Page & Maintenance Mode by SeedProd » si vous voulez effectuer vos modifications en toute tranquillité sans avoir peur que vos visiteurs tombent sur une page d’erreur.

1. Activer le SSL chez son hébergeur

La première étape de la manipulation ne se passe pas sur votre blog mais chez votre hébergeur. Dans le meilleur des cas, votre hébergeur vous propose un certificat SSL gratuit que vous pouvez activer vous-même depuis l’administration de votre compte. Les certificats ont une durée de validité limitée dans le temps et le gros avantage quand c’est votre hébergeur qui s’en occupe, c’est que vous n’avez pas besoin de le renouveler.

C’est le cas chez OVH, chez O2 Switch ou chez Infomaniak par exemple.

Sachez qu’il existe différents types de certificats avec des niveaux de sécurité variés. Sur No Tuxedo, je m’adresse à des blogueurs donc un certificat gratuit convient parfaitement mais si vous avez un site qui traite des données particulièrement confidentielles, il faut se tourner vers des formules beaucoup plus sécurisées (et payantes).

Mais j’imagine que si c’est votre cas, vous n’êtes pas en train de lire mon blog et vous avez un développeur web très compétent pour faire ce travail à votre place ;)

Chez o2switch, mon hébergeur

Je suis pour ma part, hébergée chez o2switch à l’heure où j’écris cet article et ce n’est pas bien compliqué d’activer le SSL, il suffit d’aller dans la rubrique « Let’s Encrypt™ SSL » et de cliquer sur « Générer » à côté du nom de domaine pour lequel vous voulez obtenir un certificat SSL. Épuisant, non ? :)

Générer un certificat SSL chez o2switch
Générer un certificat SSL chez o2switch

C’est quasi immédiat. Ce n’est pas toujours le cas et chez mon ancien hébergeur par exemple, on tombait au départ sur une page d’erreur :

Erreur : connexion pas privée
Erreur : connexion pas privée

Il fallait attendre quelques minutes pour que la page soit disponible en HTTPS (cf ci-dessous) ! Par conséquent, ne paniquez pas si l’effet n’est pas immédiat.

Site actif en HTTPS
Site actif en HTTPS

Le HTTPS chez OVH

Comme j’ai quelques sites sur OVH, j’en profite pour vous montrer où activer le SSL chez cet hébergeur. En réalité, OVH installe par défaut un certificat SSL sur tous ses hébergements web, il faut donc simplement vérifier qu’il est activé.

Vous vous connectez à votre manager puis vous allez dans la rubrique Hébergement et vous vérifiez que la ligne « Certificat SSL » indique bien « Oui ». Ça signifie que le SSL est disponible pour votre nom de domaine.

Certificat SSL chez OVH
Certificat SSL chez OVH

Allez ensuite dans le deuxième onglet (en restant sur cette même page), un onglet qui s’intitule « Multisite ». Là encore, la ligne « SSL » correspondant au nom de domaine doit afficher « Activé ».

SSL activé sur OVH
SSL activé sur OVH

Si ce n’est pas le cas, cliquez sur le crayon et cochez la case SSL puis cliquez sur « Regénérer le certificat SSL » sur la droite de la page.

Activer le SSL chez OVH
Activer le SSL chez OVH

Chez d’autres hébergeurs

Je vous conseille de consulter d’abord la rubrique d’aide de votre hébergeur afin de chercher s’il existe une procédure pour le passage au HTTPS.

Si vous ne trouvez aucune information, faites une recherche sur Google en précisant le nom de l’hébergeur : vous trouverez peut-être des personnes qui ont déjà effectué ce transfert et ont écrit des tutoriels sur le sujet. Si ce n’est pas le cas, tournez-vous vers l’hébergeur lui-même en lui demandant comment procéder.

2. Adapter votre blog WordPress au HTTPS

Lorsque le HTTPS est activé sur votre blog, vous allez constater un premier changement : si vous êtes connecté à votre administration, vous allez être déconnecté car l’URL de votre blog a changé. De même, si vous aviez mémorisé votre mot de passe dans votre navigateur, celui-ci vous demandera à nouveau s’il doit l’enregistrer.

Il est parfois nécessaire de modifier soi-même l’URL dans la rubrique Réglages > Général de WordPress, en indiquant l’URL en https comme ceci :

Changer l'URL par défaut de WordPress

A ce stade, votre site fonctionne plus ou moins donc la tentation est grande de se dire « Ça y est, c’est réglé ! Je m’arrête là ». En réalité, il reste pas mal de choses à faire pour éviter de pénaliser votre référencement et pour que votre site soit fonctionnel.

Quelles vérifications faire maintenant ?

Rediriger HTTP vers HTTPS

À ce stade, vous avez deux adresses qui coexistent : votre blog existe à la fois en HTTP et en HTTPS. Google peut être amené à considérer ça comme du contenu dupliqué étant donné que les mêmes informations se retrouvent accessibles à deux adresses différentes.

Pour ma part, une redirection des adresses en HTTP vers les adresses en HTTPS a été créée automatiquement (parce que j’ai un type de certificat particulier, avec HSTS). Si ce n’est pas votre cas, il faut ajouter quelques lignes au fichier .htaccess qui se trouve à la racine de votre blog sur votre FTP.

Vous n’avez peut-être pas l’habitude d’aller sur le FTP mais souvenez-vous, c’est là que vous avez mis les fichiers de WordPress lors de la première installation. Les codes pour se connecter au FTP doivent vous avoir été fournis par votre hébergeur et on s’y connecte en utilisant un client FTP (FileZilla ou WinSCP sont gratuits et très bien).

Faites un clic droit sur le fichier .htaccess puis choisissez l’option permettant de le modifier. Vous pouvez ajouter le code qui suit au tout début du fichier afin d’être sûr qu’il n’y aura aucun conflit entre ces instructions et le reste de votre fichier. Ce code est celui que conseille OVH pour une redirection de HTTP vers HTTPS :

RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.votredomaine.fr/$1 [R=301,L]

Bien sûr, remplacez « www.votredomaine.fr » par votre propre nom de domaine avec ou sans www selon ce que vous utilisez.

Vérifier qu’il n’y a plus de trace du HTTP

C’est peut-être l’étape qui vous donnera le plus de fil à retordre si vous n’êtes pas à l’aise avec la technique. Il faut comprendre que pour que le protocole HTTPS fonctionne, il faut que toutes les ressources dont le site a besoin pour fonctionner (les images, les feuilles de style, les polices d’écriture, etc.) soient en HTTPS.

Sinon, vous vous retrouvez avec des pages qui mélangent du HTTP et du HTTPS : c’est ce qu’on appelle du contenu mixte ou du « mixed content » et ces pages ne sont pas considérées comme sécurisées.

Elles afficheront alors une adresse en HTTPS mais le cadenas ne sera pas présent. J’ai eu le cas sur mon site et voilà à quoi ça ressemble :

Du HTTPS sans cadenas : le problème du contenu mixte
Du HTTPS sans cadenas : le problème du contenu mixte

Il existe un outil qui peut scanner votre site pour détecter la présence de contenu mixte : le SSL Check de Jitbit. En version gratuite, il ne scannera que 200 pages mais ce n’est pas un problème, vous pourrez au moins voir si vous avez ce souci ou non.

Détecter le mixed content sur votre site en HTTPS
Détecter le mixed content sur votre site en HTTPS

Nous allons agir à deux niveaux pour régler ce problème :

  • D’abord, passer en revue tout le contenu de la base de données pour remplacer les adresses en HTTP par des adresses en HTTPS.
  • Ensuite, si vous rencontrez encore des problèmes, ça peut venir directement de votre thème WordPress. Il faudra donc chercher ce qui est encore en HTTP dans les fichiers du thème.

Le HTTP dans la base de données

Nous allons devoir explorer la base de données de votre blog pour savoir si elle renferme encore quelques adresses en HTTP égarées, qui n’ont plus rien à faire là. Vous allez me dire : au secours, je n’ai jamais touché à une base de données !

Déjà, si vous avez écouté mes conseils, vous avez fait une sauvegarde de votre base de données. Dites-vous donc que s’il y a le moindre problème, il suffira de remettre en place cette sauvegarde pour récupérer votre blog. Ensuite, je ne vais pas vous envoyer manipuler votre base de données à la main.

On va utiliser un plugin WordPress pour ça : j’utilise le même depuis longtemps donc je vous le conseille aussi, il s’agit de Better Search Replace. Installez-le depuis le menu Extensions > Ajouter de WordPress et activez-le.

Le plugin Better Search Replace
Le plugin Better Search Replace

Allez ensuite dans le menu Outils > Better Search Replace.

Vous allez rechercher l’adresse de votre blog commençant par HTTP et la remplacer par la même adresse avec HTTPS au début. Ne mettez pas de slash à la fin. Et sélectionnez toutes les tables de votre base de données (chaque table stocke un type précis d’information : les commentaires de votre blog, le contenu des posts, etc).

WordPress conseille de ne jamais « remplacer les GUID » donc ne cochez pas cette case à moins de savoir exactement ce que vous faites.

Pour ne prendre aucun risque et éviter les bêtises dans votre base de données, nous allons dans un premier temps faire un simple test en cochant la case « Juste faire un test ? » (elle est normalement cochée par défaut).

Rechercher et remplacer une expression dans la base de données
Rechercher et remplacer une expression dans la base de données

Cliquez ensuite sur « Rechercher/Remplacer ». Le plugin Better Search Replace va vous indiquer combien de changements il aurait pu effectuer dans votre base de données mais ne va pas les faire pour de vrai. C’est le moment de vérifier que vous avez bien orthographié votre nom de domaine.

Dans mon cas, il a tout de même trouvé 8780 endroits à mettre à jour ! (« 8780 chaînes trouvées qui peuvent être mises à jour »). Il indique aussi que « 0 modifications auraient pu être apportées », tout simplement parce que nous sommes en mode Test et que le plugin ne peut donc pas modifier quoi que ce soit.

Better Search Replace en mode test
Better Search Replace en mode test

Si tout vous paraît normal, vous pouvez refaire la manipulation en décochant cette fois-ci la case « Juste faire un test ? »

Les changements se font très rapidement et vous risquez à nouveau d’être déconnecté de l’administration. Ne vous inquiétez pas, reconnectez-vous simplement et vous devriez alors voir s’afficher sur la page du plugin le nombre de modifications effectuées. Je pense que quand vous voyez ces chiffres, vous comprenez mieux pourquoi il n’est pas question de le faire à la main !

Corriger votre thème WordPress si nécessaire

Si l’absence de cadenas persiste sur certaines pages, ça laisse entendre qu’il reste du contenu mixte. Le problème peut provenir, dans certains cas, de la publicité que vous insérez sur le site (ça arrive parfois sur mon propre blog !). Mais la plupart du temps, il provient de l’autre composante essentielle de WordPress : les fichiers.

Votre thème peut comporter certains liens pour charger des ressources (polices d’écriture, etc), qui sont écrits directement dans le code et qui sont en HTTP. Pour les voir, vous pouvez afficher le code source de la page (tous les navigateurs Web vous permettent de le faire) et rechercher le terme http://. Vous verrez alors les liens encore présents en HTTP.

Dans mon cas, c’est entièrement de ma faute car c’est moi qui ai créé le thème :) Mais ça peut aussi vous arriver si vous avez acheté votre thème ou installé un thème gratuit sur votre blog. Vous avez deux options : soit vous vous amusez à ouvrir chaque fichier de votre thème pour voir s’il comporte un lien en HTTP, soit vous réglez le problème en bloc.

Je suis d’avis qu’il faut parfois être fainéant :) J’ai donc choisi la deuxième méthode. J’ai tout simplement téléchargé le dossier entier du thème sur le bureau de mon ordinateur. Sur le FTP, on va dans wp-content > themes… et on récupère le dossier entier du thème. Je vous conseille d’en faire une copie. Ainsi, s’il y a le moindre problème, vous aurez une sauvegarde sous la main.

Télécharger le dossier de son thème WordPress
Télécharger le dossier de son thème WordPress

Ensuite, on va utiliser un logiciel génial pour trouver en un clic tous les liens en HTTP. Je l’utilise depuis sa création et il est gratuit : TextCrawler.

Dans un premier temps, je commence par changer toutes les URL de mon nom de domaine présentes dans mon thème de HTTP vers HTTPS. On sélectionne le dossier du thème, le type de fichier à vérifier (php).

Modifier le dossier d'un thème en bloc
Modifier le dossier d’un thème en bloc

Puis on entre les noms à rechercher/remplacer dans les champs « Find » et « Replace ».

Remplacer l'URL en HTTP par celle en HTTPS
Remplacer l’URL en HTTP par celle en HTTPS

Mais il reste encore un problème : le thème fait des liens en HTTP vers d’autres ressources extérieures à mon propre site.

Si vous êtes dans ce cas, TextCrawler peut vous fournir une liste de toutes les adresses en HTTP qui restent dans vos fichiers, il suffit de chercher le terme http:// dans le dossier du thème (vous remplissez juste le champ « Find » et laissez le champ « Replace » vide.

Chercher toutes les URL en HTTP
Chercher toutes les URL en HTTP

Ensuite, il suffit de faire un double-clic sur le nom du fichier pour l’ouvrir avec un éditeur de texte et remplacer l’adresse HTTP par une adresse en HTTPS si elle existe.

Trouver toutes les adresses en HTTP
Trouver toutes les adresses en HTTP

Il se trouve que certains sites n’existent pas en HTTPS. Dans ce cas :

  • Soit il faut accepter que certaines pages de votre site auront du contenu mixte (la page ne sera donc pas pleinement sécurisée) ;
  • Soit il faut trouver des solutions de contournement : un autre lien plus sécurisé, etc.

Un simple lien externe n’empêchera pas la page d’être correctement sécurisée : par exemple, No Tuxedo fait un lien vers Copyright France qui n’existe pas en HTTPS à ce jour et ça n’empêche pas la page de passer les tests de sécurité avec succès. Le plus important, c’est de corriger les liens qui chargent des ressources sur le site (images, frames, scripts, etc). Le reste est facultatif.

Une fois que tous les changements sont faits, vous pouvez remettre en ligne le dossier du thème ainsi modifié à la place de l’ancien.

Je peux maintenant réactualiser la page qui présentait un contenu mixte et comme vous pouvez le voir, le petit cadenas vert apparaît bien à côté du HTTPS. Le problème est résolu et la page est maintenant correctement sécurisée !

Page HTTPS correctement sécurisée
Page HTTPS correctement sécurisée

3. A faire après le passage en HTTPS

Là, vous pensiez peut-être pouvoir vous reposer mais il nous reste encore quelque détails à régler !

Le fichier robots.txt

Si vous avez un fichier robots.txt à la racine de votre site qui comporte un lien vers un sitemap, pensez à modifier ce lien pour le mettre lui aussi en HTTPS.

Les redirections

Si vous avez mis en place des redirections vers votre blog, vérifiez qu’elles dirigent aussi les visiteurs vers la version en HTTPS. Par exemple, mes articles du blog Allée des Curiosités se trouvaient au départ sur no Tuxedo. J’ai donc des redirections depuis les anciennes adresses sur No Tuxedo vers les nouvelles adresses sur Allée des Curiosités. Et quand on regarde de plus près… elles sont toutes en HTTP !

Redirections en HTTP
Redirections en HTTP

Ça veut dire qu’un visiteur va d’abord être dirigé vers la version en HTTP puis redirigé une nouvelle fois vers la version en HTTPS. La redirection multiple est une pratique à éviter sur le web parce que ça ralentit la navigation.

Vous commencez à connaître le principe comme des pros, on remplace tout simplement l’adresse du site en HTTP par son équivalent en HTTPS :)

Google AdSense

Si vous affichez des annonces publicitaires Google AdSense sur votre site, vérifiez que le code des annonces comporte bien des liens compatibles avec HTTPS (plus d’informations sur le site de Google).

Il n’y a aucun problème pour utiliser AdSense avec HTTPS : « les éditeurs qui possèdent des sites sécurisés par le biais du protocole HTTPS peuvent utiliser le code d’annonce AdSense pour diffuser des annonces conformes à la norme SSL ».

Il y a encore deux ans, Google déconseillait aux éditeurs AdSense de migrer leur site vers HTTPS. Certains ont d’ailleurs subi des baisses de revenus conséquentes en effectuant cette migration. J’ai l’impression que ce n’est plus le cas et sur mes sites qui sont passés au HTTPS, je n’ai pas constaté de baisse particulière de revenus, c’est même plutôt l’inverse.

Google Search Console

Vous avez peut-être inscrit votre blog sur Google Search Console pour suivre votre référencement et le comportement de Google sur vos pages de manière plus fine. Là aussi, il va falloir signaler à l’outil que votre site a changé d’adresse.

Google Search Console va traiter votre site en HTTPS comme s’il s’agissait d’un nouveau site. Vous allez donc devoir à nouveau ajouter votre site, en version HTTPS cette fois-ci.

Ça vous permettra de suivre l’indexation par Google de vos contenus en HTTPS au fil des semaines.

Ajouter un site sur Google Search Console
Ajouter un site sur Google Search Console

Google Analytics

Houston, nous avons (encore) un problème ! Google Analytics n’est pas au courant que le site a changé d’URL.

C’est très facile à modifier : vous allez dans l’administration de Google Analytics.

Administration de Google Analytics
Administration de Google Analytics

Dans la colonne du milieu, vous choisissez « Modifier la propriété » et vous n’avez plus qu’à choisir HTTPS dans le petit menu déroulant à votre disposition.

Signaler une URL en HTTPS à Google Analytics
Signaler une URL en HTTPS à Google Analytics

Le gros avantage de cette méthode, c’est que vous continuerez à accéder au même endroit à toutes vos données malgré le changement d’URL. Vous garderez ainsi la continuité de vos statistiques !

Pendant qu’on y est, nous allons refaire l’association entre Google Analytics et Google Search Console puisque ça se passe sur la même page ! Descendez tout en bas et cliquez sur le bouton « Paramétrer la Search Console » puis cliquez sur « Modifier » à côté de l’URL.

Associer Google Analytics à Google Search Console
Associer Google Analytics à Google Search Console

Associez votre site à l’URL en HTTPS. A ce moment précis, Google Analytics sera associé à l’adresse actuelle du site et plus à l’ancienne adresse, vous devriez recevoir deux mails pour vous confirmer ces changements.

Choisir l'URL en HTTPS
Choisir l’URL en HTTPS

Et plus si affinités ?

Chaque site a ses particularités et vous utilisez peut-être d’autres services qui exigent de mettre à jour l’URL de votre blog. Pensez-y au fur et à mesure !

4. Tester son certificat SSL et remettre le blog en ligne

Allez sur le test SSL Labs et entrez l’adresse de votre blog. Si tout s’est bien passé et que votre site est considéré comme sécurisé, voici le genre de joli score que vous obtiendrez :

Migration en HTTPS réussie
Migration en HTTPS réussie

Pour finaliser nos modifications, il ne reste plus qu’à désinstaller le plugin Better Search Replace dont nous n’avons plus besoin, à désactiver le mode maintenance si vous aviez choisi de mettre votre site en maintenance. Vous pouvez enfin réactiver votre éventuel plugin de cache.

Je vous conseille également de créer une annotation sur Google Analytics afin de garder en mémoire la date à laquelle vous avez effectué le passage au HTTPS. En effet, ça reste un changement important dans la vie d’un site et vous pouvez être confronté à une perte temporaire de trafic.

J’ai entendu plusieurs webmasters dire qu’ils avaient perdu du trafic suite à ce changement (10 à 20% en moyenne). Créer une annotation vous permettra de faire un lien entre cette baisse et le passage au HTTPS. La baisse est normalement temporaire (elle peut durer 2-3 mois).

Créer une annotation sur Google Analytics
Créer une annotation sur Google Analytics

Ultimes questions et réflexions

Vous vous demandez peut-être combien de temps ça prend de faire toutes ces manipulations. Je dirais que ça dépend de votre aisance avec la technique et de l’ampleur des problèmes rencontrés (si vous avez beaucoup d’adresses en HTTP à corriger à l’intérieur de votre thème, ça peut être un peu plus long).

Pour ma part, j’ai mis très précisément 1h25 à effectuer l’ensemble des étapes décrites dans le tutoriel… et à écrire le tutoriel au fur et à mesure ! Pour No Tuxedo (que j’ai passé en HTTPS sans écrire un tutoriel en même temps), il m’a fallu 20 minutes tout compris. Si vous êtes à l’aise avec la technique (et que vous n’écrivez pas de tutoriel en même temps), c’est donc très court.

Le HTTPS est-il vraiment révolutionnaire ?

Concrètement, je ne constate pas aujourd’hui de changement significatif sur mes sites qui sont passés au HTTPS. J’ai vécu comme beaucoup une perte temporaire de trafic, qui a duré un mois et demi environ (-10% de trafic). Je m’attends donc à la même chose pour mon blog culture qui m’a servi de cobaye dans cet article.

J’ai constaté que j’avais perdu des places sur Google sur certaines requêtes, en particulier sur des sujets avec une forte concurrence. J’ai aujourd’hui retrouvé mon positionnement initial.

Sur certains sites, j’ai eu aussi quelques problèmes avec des plugins qui géraient mal le HTTPS mais à l’heure où je mets à jour ce tutoriel, tout est rentré dans l’ordre. De même, depuis mon passage au HTTPS, le site Hellocoton ne fonctionne plus correctement avec mon blog (problème d’affichage des images, bouton « J’aime » qui ne marche plus, etc).

Faut-il passer au HTTPS ?

Ce qu’il faut retenir, c’est que le HTTPS est une pratique recommandée, poussée par les grands acteurs du web au point que ça devient une norme…

  • 1. Pour le référencement – Google a indiqué que c’était un critère de référencement : il a à ce jour très peu de poids donc la plupart des sites ne voient pas d’impact positif particulier en passant au HTTPS. Mais Google a clairement exprimé son intention « d’encourager tous les propriétaires de sites à passer du HTTP au HTTPS ».
  • 2. Parce que sur certaines thématiques, c’est tout simplement indispensable pour rassurer vos visiteurs sur votre sérieux : je pense notamment aux sites e-commerce.
  • 3. Parce que ça fait partie des évolutions majeures du web que tout le monde adopte peu à peu : si vous regardez les plus grands sites, vous constaterez que la plupart d’entre eux sont passés progressivement au HTTPS (WordPress.com, Blogspot.com, etc).

Malgré tous ces aspects positifs, il faut être conscient que ce n’est pas un changement anodin. Vous modifiez l’adresse de votre site donc ça entraîne des redirections, ça remet à zéro les compteurs de vos boutons de partage, ça implique une certaine technicité avec laquelle tout le monde n’est pas à l’aise… Je peux donc comprendre ceux qui souhaitent encore attendre, en particulier quand il s’agit d’un blog de contenu sans dimension e-commerce.

J’espère que cet article vous aidera si vous décidez de sauter le pas !

Thèmes : WordPress 

Poster un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Lorsque vous postez un commentaire sur le blog, le nom indiqué dans la case "Prénom" ainsi que votre message apparaîtront publiquement. Votre adresse e-mail restera confidentielle.

230 commentaires sur “Comment passer son blog WordPress en HTTPS sans tout casser ?

  • Milie

    Et coucou
    Alors, j’ai passé mes 2 blogs et j’ai mon petit cadenas.
    Mais sur l’un des 2 (http://cestquoicebruit.com/), j’ai un soucis avec ma redirection.
    Dans le htacces, si je mets www, ça me fait une double redirection (normalement, mon adresse est sans les www) mais quand je les enlèves, je me retrouve avec une redirection avec un forbidden 403…
    Tu aurais une idée stp ? Cela peut-il venir des autres trucs que j’ai dans mon htacces ? (à la suite)

    Répondre à Milie
    • Marlène

      Hello, pour ma part quand j’entre ton URL avec ou sans www en http, je suis bien redirigée avec une redirection 301 vers la version en https, j’ai testé avec la petite extension Chrome « Redirect Path » active et je ne vois aucun problème… donc l’erreur était peut-être temporaire !

      Répondre à Marlène
    • Milie

      quand je teste ici http://www.redirection-web.net/ ça me met fordibben sur cestquoicebruit.com alors que je n’ai aucun soucis sur disneyaddicts.com.
      Je l’ai toujours…
      La redirection se fait mais ça rame… et je ne comprends pas pourquoi le site (dont je t’ai mis le lien plus haut), m’annonce cette erreur.
      (et merci pour le temps que tu prends <3)

      Répondre à Milie
    • Marlène

      Je ne peux pas te dire grand-chose de plus de mon côté, quand je teste sur mes outils SEO ça me renvoie bien des 301…

      Répondre à Marlène
    • Milie

      Merci :)
      Et merci pour le tuto !

      Répondre à Milie
  • Thierry

    Bonjour et merci du fond du coeur,
    Je viens de passer mon site en https en suivant pas à pas votre procédure et vos explications sur lesquelles je suis tombé à force de recherche Google « WordPress https » ou autres.
    Quelle clarté d’esprit !
    Il est vrai que dégoûté par mon hébergement online.net je viens de migrer avec bonheur vers o2switch.
    Et là je viens de passer en https en ayant le sentiment de savoir ce que je faisais au lieu de faire de confier la tâche à un plug-in (Realy Simple SSL) qui m’avait laissé sur un échec et un sentiment de non maîtrise.
    Encore merci.

    Répondre à Thierry
    • Marlène

      Hello Thierry, je suis très contente que ça ait fonctionné pour vous ! Je suis par ailleurs très satisfaite de l’hébergement o2switch, ça fait maintenant 6 mois que j’ai basculé chez cet hébergeur et aucun souci à déclarer pour l’instant.

      Répondre à Marlène
  • Lauriane

    Question bête : en vérifiant dans réglages généraux je vois que mon URL est en http. Est-ce que par un heureux hasard, il me suffirait de modifier avec https ? Et ensuite je passe à l’étape redirection de http vers https ?

    Répondre à Lauriane
  • Lauriane

    Bonjour Marlène,
    Je me suis arrêtée dans ton article à la vérification du SSL sur OVH parce que je ne comprends pas deux choses :
    – j’ai deux lignes activées et une avec un domaine hosting.ovh.net désactivé
    – si c’est activé pourquoi l’adresse du site n’est-elle pas sécurisée ?
    Je précise que je n’y connais absolument rien en technique et que les quelques manipulations que j’ai effectuées je les ai réalisées en suivant tes conseils ou d’autres tutos sur le net…
    Merci d’avance !
    Lauriane

    Répondre à Lauriane
    • Marlène

      Hello, il y a sans doute du contenu mixte qui reste sur ton site (j’en parle dans l’article) et explique que tu n’aies pas le cadenas « sécurisé » malgré un certificat actif (mais je le vois sur ta page d’accueil donc tu fais peut-être référence à d’autres pages ?). Le https ne fonctionne pleinement que lorsque tout le contenu est chargé en https. Mais je vois un certificat valide quand je teste ton site…

      Pense aussi à indiquer l’adresse en https et non en http quand tu laisses un commentaire sur les blogs ;)

      Répondre à Marlène
  • Stef

    Bonjour Marlène,

    merci pour cet article qui m’a énormément aidé lors du passage en https !

    Je suis chez O2switch également, et je suis confronté en ce moment au problème de renouvellement de certificats SSL(qui ne se fait pas automatiquement). Impossible de trouver une solution viable pour un renouvellement automatique.
    Auriez-vous une solution ?

    Merci d’avance.

    Répondre à Stef
    • Marlène

      Hello, peut-être une histoire de permissions du dossier du serveur où le certificat s’installe ?

      Répondre à Marlène
    • Stef

      Non, ça ne viens pas de là. J’ai finalement opté pour un renouvellement manuel via freessl.
      Merci !

      Répondre à Stef
  • Milie

    Hello !
    Merci pour ce tuto, je vais le suivre.
    Tu penses que c’est faisable en 1 heure ?

    Répondre à Milie
  • Jeanne

    Salut ! Je viens de suivre ton article pas à pas pour passer mon site en HTTPS. Je suis totalement novice dans ce domaine, ayant acheté la formation BizClub d’Alex Roth il y a quelques mois et démarré mon site et mes vidéos au même moment. Mais Sandrine, du blog IDEOZ m’a vivement conseillé ton site et je viens de réussir toutes les étapes, puisque j’ai eu un beau A+ vert ! Youpii !! Merci beaucoup pour cet excellent article vraiment clair et accessible, même à une blonde comme moi ! ;-)

    Répondre à Jeanne
  • Joseph

    Bonjour Marlène et félicitations pour cet article très clair et treès pédagogique, cela m’a permis de « franchir le pas », j’ai suivi les manips et le site de vérification jitbit m’indique « no issues » found » et pourtant je n’arrive pas à avoir le cadenas, aurais tu par hasard des pistes que tu me conseillerais d’explorer ? Merci et bonne journée !!!

    Répondre à Joseph
    • Marlène

      Bonjour, il semblerait que ce soit lié à une image que tu charges en http depuis un site tiers (elle s’appelle badge-chef-simon-rouge.png). De manière générale il n’est pas conseillé de charger une image directement depuis un autre site, c’est ce que l’on appelle du vol de bande passante ;)

      Répondre à Marlène
    • Joseph

      Merci beaucoup, ça a marché ! Par contre je n’étais pas au courant de cette histoire de vol de bande passante, en fait j’ai juste recopier le code fourni par le site en question pour afficher leur badge.

      Répondre à Joseph
    • Marlène

      Ah d’accord, c’est étonnant qu’ils recommandent encore ce type de mode de chargement… car il y a pas mal d’inconvénients : ça consomme des ressources de leur site, ça provoque des problèmes de https pour les utilisateurs, ça ne permet pas d’optimiser l’image… Enfin, le principal c’est que ce soit réglé !

      Répondre à Marlène
  • Astrid

    Coucou Marlène,
    Ton article est au top, bravo ! J’ai suivi TOUT ton tutoriel… mais malheureusement je n’arrive pas à avoir le fameux petit cadenas vert. Il semble que j’aie encore du contenu mixte, mais je n’ai aucune idée pourquoi ! J’ai utilisé le plugin Better Search and Remplace avec succès. Puis je suis allée farfouiller manuellement dans les fichiers de mon thème, en remplaçant manuellement 3-4 url avec https… (je n’en ai pas trouvé d’autres) Mais rien n’y fait ! Quelle que soit la page du blog… As-tu une idée de où provient l’erreur ? Mille mercis pour ton aide !

    Répondre à Astrid
    • Marlène

      Essaie de mettre ton image « Commencez par ici » de la sidebar en https, elle est encore chargée en http depuis un site externe. Tu peux tout simplement la mettre en ligne via le menu Médias > Ajouter de WordPress, récupérer le lien et le mettre à la place de l’autre.

      Répondre à Marlène
  • bibliblogueuse

    Merci beaucoup Marlène pour ce tutoriel vraiment très bien fait. J’ai tout suivi pas à pas et apparemment, tout semble fonctionner. J’espère que je n’ai pas fait de bêtise ou oublié de truc important… Ça fait longtemps que je voulais passer en https mais repoussais sans cesse. Maintenant, voilà une bonne chose de faite grâce à toi ! Bon week-end :)

    Répondre à bibliblogueuse
    • Marlène

      C’est bien de l’avoir fait, le signalement des sites http comme « non sécurisés » est de plus en plus évident :)

      Répondre à Marlène
  • Maxime

    Sur conseil d’un ami qui m’a présenté ton article, j’ai franchi le pas. J’ai suivi à la lettre et sans embûche ton tuto et mon blog a enfin son A+ et son cadenas !
    Merci beaucoup :)

    Répondre à Maxime
    • Marlène

      Tant mieux et félicitations ;) Il est effectivement temps de s’y mettre car la dernière version de Google Chrome commence à marquer les sites http comme « non sécurisés ».

      Répondre à Marlène
  • Nicolas

    Cela fait un moment que je devais passer le blog en https. Je suis tombé sur ton article qui est très bien expliqué – beau travail – et j’ai franchi le pas et tout c’est bien passé :)

    Répondre à Nicolas
  • Caroline

    Merci beaucoup pour ton excellent tuto !

    Grace à toi, j’ai réussi a passer (presque) facilement en HTTPS.
    Ma seule difficulté était finalement le mixed content que le Plugin Better Search Replace n’a pas été en mesure de fixer. Le problème était lié aux images de ma première page.

    Grâce au site Why no Padlock, j’ai reussi à identifier clairement la source du problème car le SSL Check de Jitbit ne me donnait pas de détails.
    Pour la débutante que je suis, cela m’aura pris au total 2h30.

    Merci infiniment Marlène pour tous les précieux conseils que tu partages régulièrement sur ce blog !

    Répondre à Caroline
    • Marlène

      Tu as tout fait d’un coup, entre le https, les changements d’URL, le changement de plateforme de blogging ;)

      Répondre à Marlène
  • Melody

    Hello Marlène !
    Juste un petit mot pour te remercier, j’ai suivi ton article et toutes les manipulations à la lettre et je crois avoir réussi à passer mon site en https avec tout qui fonctionne :) J’ai même le petit cadenas vert à côté de l’adresse :)
    Merci beaucoup beaucoup pour ton travail !

    Répondre à Melody
  • Diana

    Bonjour, j’ai un souci avec mon blog. On dirait qu’il reste des liens en http car parfois mon barre d’outils lorsque je visite la page d’accueil de ce dernier ne montre plus un résumé des statistiques, il met à la place une sorte de point d’interrogation ? dans un cadre bleu et si je veux voir d’un peu plus près, il dit qu’il est en http. Ce qui fait que je dois retourner sur le fichier htaccess et le modifier de nouveau car il est à ce moment là revenu à son point de départ. Et ça arrive fréquemment, ce problème. De plus, si c’est un souci lié au thème, je ne sais pas le vérifier car j’utilise un mac et tex crawler ne fonctionne pas dessus :'(
    Peux-tu m’aider, stp?
    Merci d’avance

    Répondre à Diana
    • Marlène

      Hello, si tu vois encore du http c’est lié au problème de contenu mixte dont je parle dans l’article. Sur Mac, tu n’as pas besoin de Text Crawler car on peut effectuer une recherche dans le contenu d’un fichier sans logiciel. Mais je vois effectivement sur ton site que tu charges encore plein de choses en http (des polices d’écriture, des plugins, des scripts).

      Répondre à Marlène
  • Lili

    Bonjour Marlène,

    Merci beaucoup pour ce tutoriel qui va beaucoup m’aider je pense :)
    Je cherche à passer en HTTPS pour mon blog. J’ai lu ton article en entier :)
    Et je suis bloquée à l’étape FTP … Oui, oui si haut :/
    Quand je rentre mes informations de connexion Filezila me note ceci :

    Déconnecté du serveur
    Statut : Résolution de l’adresse de http://ftp.cluster020.hosting.ovh.net
    Statut : Connexion à 91.134.248.250:21…
    Statut : Connexion établie, attente du message d’accueil…
    Statut : Serveur non sécurisé, celui-ci ne supporte pas FTP sur TLS.
    Commande : USER
    Réponse : 331 User OK. Password required
    Commande : PASS ************
    Réponse : 530 Login authentication failed
    Erreur : Erreur critique : Impossible d’établir une connexion au serveur

    Après je ne suis pas sur mon ordinateur mais sur celui de mon boulot, est-ce que c’est cela qui bloque ?

    Merci d’avance pour ta réponse,
    Lili

    Répondre à Lili
    • Marlène

      Hello, ils disent qu’il y a une erreur d’authentification, le mot de passe ou le login ne doit pas être le bon ;)

      Répondre à Marlène
    • Lili

      Merci pour ta réponse que je vois tardivement :/
      Mais je n’ai rien changé au niveau des MDP et ID. Je ne comprends pas du coup.

      Répondre à Lili
    • Marlène

      Tu peux réinitialiser ton mot de passe FTP via le site de ton hébergeur normalement.

      Répondre à Marlène
  • bruno

    Bonjour Marlène,
    Je ne peux pas modifier l’adresse Url dans WordPress, les zones sont grisées. As-tu une astuce ?
    Merci pour ta réponse.

    Bruno

    Répondre à bruno
    • Marlène

      Bonjour Bruno, jette un oeil du côté du fichier wp-config.php de WordPress et regarde si les URLs ne sont pas définies « en clair » dedans, avec ce genre de ligne :

      define('WP_HOME','http://example.com');
      define('WP_SITEURL','http://example.com');

      Si ces lignes existent, il faut les supprimer pour pouvoir modifier les URLs « par la voie classique ».

      Même chose si tu trouves dans le fichier functions.php de ton thème ce genre de ligne :

      update_option( 'siteurl', 'http://example.com' );
      update_option( 'home', 'http://example.com' );

      Ça peut empêcher de modifier les URLs par la voie classique en « forçant » un autre paramétrage.

      Répondre à Marlène
    • bruno

      Bonjour Marlène,

      Un grand MERCI pour tes précieux conseils, j’ai réussi à régler mon problème.

      Mon site est passé en HTTPS, en y passant la journée, mais ça vaut le coup !

      Il reste plus qu’à attendre que Google indexe mes pages.

      Encore merci

      Répondre à bruno
  • Annafaitsonblog

    Hello :) Je me suis occupée cet après-midi de mon passage en https et tout s’est bien passé grâce à ton article bien détaillé. (du moins, je pense que va bien ^^). Merci beaucoup !

    Répondre à Annafaitsonblog
    • Marlène

      Ça m’en a tout l’air :) Tu as eu raison de t’en charger maintenant car il ne reste plus longtemps avant que les sites en http soient pointés du doigt !

      Répondre à Marlène
  • Flore

    Merci beaucoup pour ce super article, j’ai suivi toutes les étapes et tout s’est passé à merveille! Bon, je n’avais pas beaucoup de publications, donc le risque était limité, mais merci encore pour cet article, et pour ton blog en général.

    Répondre à Flore
    • Marlène

      Super, il est temps de le faire en plus car Google va commencer à signaler les sites « non sécurisés » (en http) dans la prochaine version de Google Chrome a priori…

      Répondre à Marlène
  • Loïc

    Bonjour Marlène,
    J’ai un site WordPress en multisite (1 en Français et le second en Anglais). Du coup, je n’arrive pas à avoir accès dans Réglages > Général à la possibilité de rajouter le fameux « s » au protocole http.
    Ce qui est curieux, c’est que maintenant, j’ai un magnifique contenu dupliqué. Les 2 sites présents dans ce WP multisite sont à présent dispos en http et https. Je me dis que finalement, c’est peut être normal que le protocole SSL ne s’active pas s’il n’est pas appelé…
    Je précise que je n’ai pas encore fait de redirection dans le htaccess…
    Merci

    Répondre à Loïc
    • Marlène

      Hello Loïc, j’ai lu un article sur le sujet qui explique que ça peut se faire via le menu « Admin du réseau – Réglages – Domain Mapping » en forçant le https ! Je n’ai pas de multisite sous la main actuellement pour tester mais j’espère que ça t’éclairera.

      Répondre à Marlène
    • Loïc

      Bonjour Marlène,
      Vu que je n’arrivais pas à avoir accès aux réglages tels que mentionnés dans l’article, je suis carrément allé modifier les tables options dans la BDD. Ça à l’air de marcher…
      Merci en tous cas pour l’article. Il va me servir pour la migration de mes autres sites…

      Répondre à Loïc
    • Marlène

      Le principal c’est que ça fonctionne, merci en tout cas pour ton retour d’expérience !

      Répondre à Marlène
  • Callistta

    Merci pour ce tuto super bien détaillé.
    J’ai pu passé mon blog wordpress hébergé chez ovh en https facilement.
    Je verrai bien dans les jours à venir si cela fonctionne bien ou pas.
    J’ai eue un A au ssl server test, je me dit que c’est pas mal du tout.

    Répondre à Callistta
    • Marlène

      Si tu ne constates pas d’erreur sur le moment, c’est déjà bon signe :)

      Répondre à Marlène
    • Callistta

      Juste pour dire que nous sommes en juillet et toujours aucun soucis avec le https. Du coup j’ai fait un article de blog en te nommant car ton tutos est très bien expliqué.

      Répondre à Callistta
  • Eva

    Bonjour,
    Merci pour ce tutoriel plutôt clair, mais je suis malheureusement bloquée à la redirection 301 dans le fichier .htaccess. Je suis chez 1&1, j’ai essayé plein de codes différents, mais soit je n’ai plus accès à mon site, soit je garde les deux liens « http » et « https ». J’ai mis les codes au tout début du fichier. As-tu une solution à mon problème ?
    Merci !

    Répondre à Eva
    • Marlène

      Hello, j’utilise celui-ci sur mon blog (au tout début du fichier .htaccess) :
      RewriteEngine On
      RewriteCond %{SERVER_PORT} 80
      RewriteRule ^(.*)$ https://www.tonsiteweb.com/$1 [R=301,L]

      Evidemment, remplace tonsiteweb.com par ton adresse ;)

      Répondre à Marlène
  • Sophie Chouard

    Bonjour, j’ai un problème au sujet du certificat SSL sur OVH. Quand je veux l’activer dans l’onglet multisite, ce n’est pas possible et je reçois ce message d’erreur :
    No attached domain with ssl enabled or no attached domain that redirects on hosting IPs, please use hosting IPs in your domain zone.
    Que faut il faire !?
    Merci d’avance !
    Sophie Chouard

    Répondre à Sophie
    • Marlène

      Le site est bien hébergé chez OVH ? Car cette erreur peut se produire quand le domaine seul a été acheté chez OVH mais que le site est hébergé ailleurs.

      Elle peut aussi survenir si tu utilises un CDN sur ton site et que le nom de domaine pointe vers l’adresse IP du CDN et non celle de l’hébergement.

      Je me demande s’il ne faut pas aussi que le domaine « principal » de l’hébergement soit en SSL avant d’activer le SSL sur les domaines secondaires mais je n’en suis pas certaine.

      Si ces pistes ne résolvent pas le problème, je te conseille de contacter le support technique d’OVH.

      Répondre à Marlène
    • Sophie Chouard

      Merci Marlène, j’ai contacté OVH et effectivement il fallait que je rajoute des informations dans la zone CDN.Ca marche maintenant.Merci pour ton aide !

      Répondre à Sophie
    • Marlène

      Merci à toi d’avoir donné le « fin mot de l’histoire », ça rendra peut-être service à d’autres personnes :)

      Répondre à Marlène
  • Florian

    Bnjour Marlène,

    Mille (non deux milles !) merci pour ce super tuto ! J’ai un blog qui est certe déjà en ligne, mais encore dans sa phase de lancement. Etant un gros anxieux, je me suis dis qu’il était toujours mieux de s’occuper des sujets relatifs à la sécurité d’entrée, et j’ai donc passé mon blog aujourd’hui en https.

    Grâce à toi, cela c’est fait en douceur, et j’arbore aujourd’hui fièrement mon https !

    Petite remarque/question toutefois.

    Dans le chapitre relatif à la modification du .htaccess. J’ai fais les modifications que tu avais préconisées, mais mon site devenait inaccessible… J’ai donc remis le code d’origine, et la en rechargeant mon site, je me rend compte que la redirection se faisait automatiquement… sans rien changé !

    Mon site est hébergé chez Nuxit, est-ce que cela a un rapport ?

    Encore merci et surtout continu !

    Répondre à Florian
    • Marlène

      Hello, comme je l’explique dans l’article, dans certains cas les redirections sont automatiques, c’est le cas avec les certificats SSL de Nuxit :) Il ne faut ajouter le code dans le .htaccess que lorsque la redirection ne se fait pas.

      Chez Nuxit, ils utilisent une politique de sécurité HSTS, qui crée automatiquement une redirection (redirection 307). Par conséquent, quand on ajoute une redirection supplémentaire dans le HSTS, le site ne fonctionne plus.

      Répondre à Marlène
  • Les Gros Sacs

    Depuis le temps que c’était dans ma To Do List je me suis enfin lancé ! Super tuto, très facile à mettre en pratique. Aucun soucis majeur rencontré. Merci Marlène ;)

    Répondre à Les
  • Manayin

    Comme d’habitude un tuto clair et vraiment pratique, merci beaucoup ! J’ai pu faire passer mon blog en HTTPS avec un bon score sur le test SSL Labs :) Par contre tout a bien marché pendant 2 jours et ensuite j’ai commencé à rencontrer des soucis avec ma base de données (qui n’était plus accessible). Je me demande si ça peut être lié au plugin « Better search replace », pourtant il me semble tout avoir bien fait comme tu as dit et j’ai l’impression que ça a marché puisque j’ai le cadenas sur toutes les pages de mon site… s’il y avait eu un souci avec ce plugin je m’en serais rendue compte autrement ou est-ce que ça peut donner le genre de problèmes que j’ai ?
    (Pour info les problèmes avec ma base de données : site inaccessible, j’ai du changer son mot de passe plusieurs fois sur les conseils de mon hébergeur et là elle est comme bloquée puisque ça fait 10 jours que le dernier changement de mot de passe n’a pas été pris en compte… pour l’instant mon site est de nouveau accessible avec un ancien mot de passe).
    En tous cas merci pour tous ces tutos qui m’ont aidée plus d’une fois :)

    Répondre à Manayin
    • Marlène

      Hello, je doute que ce soit une erreur de base de données car quand c’est le cas, WordPress a un message spécifique qui fait référence à la base de données (l’erreur dit clairement « Erreur de connexion à la base de données »). Quand tu dis « site inaccessible », à quoi fais-tu référence ? Tu n’arrives plus à accéder à l’administration ? Car le site lui-même a l’air fonctionnel en tout cas !

      Répondre à Marlène
    • Manayin

      Merci pour ta réponse ! Il y avait bien écrit « erreur de connexion à la base de données » lorsque mon site a été inaccessible par 2 fois. Je n’avais plus accès à l’administration, quand je voulais y accéder un message + précis affichait qu’il pouvait y avoir une erreur dans le fichier wp-config ou au niveau du serveur si je me souviens bien (ce qui n’était pas le cas après vérification).
      En ce moment il fonctionne effectivement (ouf) mais je ne peux par exemple pas sauvegarder ma base de données qui indique comme message d’erreur « updating », visiblement elle n’a toujours pas pris en compte le changement de mot de passe que j’ai fait il y a une dizaine de jours sur les conseils de mon hébergeur… comme tout a commencé peu après mon passage au HTTPS je me demandais si ça pouvait être lié mais ce n’est peut-être qu’une coïncidence…!

      Répondre à Manayin
    • Marlène

      Cette erreur peut avoir une foule de causes. Elle peut venir de l’hébergeur, elle peut venir d’un blog trop « gourmand » en ressources ou trop fréquenté (par exemple, j’ai de plus en plus souvent cette erreur sur No Tuxedo car mon trafic a énormément augmenté et que la base de données a du mal à gérer), elle peut venir d’un problème de configuration. Tu as peut-être aussi un vieux plugin qui n’a pas bien supporté le passage au HTTPS, sait-on jamais…

      Répondre à Marlène
    • Manayin

      D’accord, merci beaucoup pour ces indications, ça me donne des pistes à explorer !

      Répondre à Manayin
  • Ilhem

    Bonsoir Marlène,
    Je veux juste vous dire un grand merci, d’abord pour tous vos articles ensuite parce-que j’ai réussi à résoudre mon problème de contenu mixte toute seule. Et c’était pas gagné! Bon ben maintenant je m’attaque à Google Analytics.
    Encore merci.:)

    Répondre à Ilhem
  • Laurent B.

    Merci pour ce post complet qui m’avait fait découvrir votre site. Article que je vais relire attentivement car je viens de voir qu’une update récente a été faire.
    Il m’avait aidé pour mon site https://www.journalducm.com mais comme il y a eu une mise à jour, je trouverai peut-être mon bonheur pour corriger des petites erreurs récalcitrantes. Du coup je vais replonger dedans !
    Un article complet et top au passage. Félicitations.

    Répondre à Laurent
    • Marlène

      Hello Laurent, je n’ai pas modifié le fond, de mémoire j’ai juste corrigé une URL qui avait changé ;)

      Répondre à Marlène
    • Laurent B.

      Ah mince ! Le fait d’avoir vu la date d’update au 28 janvier m’avait laissé entrevoir que de nouvelles infos avaient été insérées… et vu la longueur du post je ne l’ai pas relu immédiatement. Ceci étant je pense qu’il aurait été difficile de faire plus complet.
      J’en profite pour vous féliciter pour votre travail.

      Répondre à Laurent
  • Virginie Neleditesapersonne

    Bonjour Marlène, pour commencer merci pour ce tuto, je l’ai suivi les yeux fermé et le changement s’est fait sans (presque) aucun problème :)
    J’ai toutefois un soucis visiblement avec analytics, les données ne semblent pas remonter.
    J’ai bien modifier l’url dans paramètre, j’ai aussi du coup modifié l’url dans « vue », mais rien …
    Y-a-t-il un délai de mise en place ? j’ai pourtant fait les modifications hier …
    Je me pose la question de savoir si cela pouvait venir du www. que je ne sais jamais s’il faut mettre ou non. J’ai tenté avec et sans, mais rien ne semble fonctionner …
    Aurais-tu une idée ? Je suis tentée de tout reparamétrer mais j’aimerai si possible éviter de perdre mes données …
    Merci d’avance pour ton aide !!
    Virginie

    Répondre à Virginie
    • Marlène

      Bonjour Virginie, je suis allée voir le site et j’ai testé avec un outil de debugging, j’ai l’impression que ça fonctionne. Si le site a une adresse sans www, c’est l’adresse sans www qu’il faut indiquer à Analytics (ce qui est le cas ici) :)

      Répondre à Marlène
  • David

    Bonjour Marlène,
    Félicitation pour ton article, il est parfait…
    J’ai suivi à la lettre ton article, tout est je pense mais j’ai juste un souci, le site est lent et mon admin énormément lent, j’attend plusieurs minutes pour chaque changement de page.
    J’ai 15 articles à faire qui me prennent 30 minutes chaques en temps normal mais la cela risque d’être 1 par jour.
    As-tu une idée de ce qui peut clocher?
    David

    Répondre à David
    • Marlène

      Bonjour David, j’ai rapidement passé le site sur l’outil GT Metrix… et j’ai l’impression qu’il y a un problème de redirection : les images sont chargées à la fois depuis une URL avec www et depuis une URL sans www, et ça ralentit énormément le site. Problème de remplacement dans la base de données ? Ou problème lié à un plugin ? En principe une image doit avoir une seule adresse (sans paramètre à la fin contrairement à ce qu’on trouve dans la première URL).

      Répondre à Marlène
    • David

      Merci pour ta réponse très rapide ;)
      Je comprends ce que tu m’as expliqué mais je ne vois pas comment régler le problème.
      Si tu as une petite idée je suis preneur…

      Répondre à David
    • Marlène

      Ne connaissant pas ton site et les plugins que tu utilises, je ne peux pas t’aider de manière très précise. Je te conseille d’abord d’utiliser le plugin dont je parle dans l’article (Better Search Replace) pour rechercher dans la base de données s’il y a des liens d’images qui comportent l’adresse avec www et si c’est le cas, les remplacer par la bonne URL (fais bien une sauvegarde de la base de données avant d’y toucher, par mesure de précaution). Vérifie ensuite les paramètres des éventuels plugins qui touchent aux images sur ton blog et les redirections éventuelles dans ton fichier .htaccess.

      Répondre à Marlène
    • David

      Je suis entrain de chercher…je vais essayer de trouver les problèmes car je viens de voir que je n’ai plus l’affichage de vidéos youtube et des choses qui ne chargent pas…
      sinon une question, est-ce que tu pourrais regarder les problèmes que j’ai sur mon site, on peu en parler en MP… Je suis pas assez caler pour résoudre ses problèmes.
      tu peux me contacter par Email

      Répondre à David
    • Marlène

      Désolée David mais je ne peux pas apporter d’aide personnalisée car je reçois trop de sollicitations. Je te conseille de te tourner vers un forum spécialisé, soit en code (type StackOverflow), soit sur WordPress (type WPFR), ou de faire appel à un développeur via une plateforme de freelances.

      Répondre à Marlène
    • David

      Je comprends… et j’imagine bien que je ne suis pas le seul.
      J’ai commencé à chercher et j’ai vu ce qui ralentissait mon admin
      c’est l’extension Ultimate Addons for Visual Composer, quand je le désactive, je retrouve la rapidité de mon admin mais le problème quand je le désactive forcément mon site déconne et affiche des lignes de codes par endroits… donc je pense devoir faire avec cette extension qui gère l’affichage de mon site et trouver la solution…

      Répondre à David
    • Marlène

      Il me semble que c’est un plugin payant… donc tu peux à mon sens te tourner vers le support technique en expliquant que tu as un souci avec le plugin depuis le passage au HTTPS, ils ont sûrement été confrontés au problème.

      Répondre à Marlène
  • Franck Moïse Dupuis

    Super tuto, clair et précis, suivit au pied de la lettre. Passage en https sans problèmes, reste quelques petits trucs à régler, mais l’essentiel est là.
    Merci et bravo

    Répondre à Franck
  • Thom

    Super article pour info j’ai vérifié sur un de mes sites bien référencé, mon trafic à pas mal augmenté après le https coïncidence… je ne pense pas.

    Question: Google search console me demande de créer un domain par protocole.

    Soit un pour https un pour http un sans rien… quelqu’un à un avis là dessus?

    Répondre à Thom
    • Marlène

      Hello, si tu n’avais jamais utilisé Search Console et que ton site en http est bien redirigé vers https, ça ne sert à rien de créer une propriété avec http à mon sens. Si tu as avais déjà une propriété en http, oui il faut en créer une autre en https (je le précise dans l’article).

      Répondre à Marlène
  • luna

    Bonjour Marlene et merci pour votre article :)
    Svp, j’ai une question..Je commence un site (pour l’instant juste installer wp) et mon hebergeur ma donnee un code pour https que je dois inscrire dans le htaccess. Mais je ne sais pas si je dois le copier/coller, l’ecrire a la main, le mettre avant les lignes incrites par defaut Begin ou a la fin END ?
    Ca semble tres simple, mais pour moi qui comprend rien..
    Merci si vous pouvez m’aider. Belle soiree :)

    Répondre à luna
    • Marlène

      Hello, pour ma part je mets ce type de redirection globale au début du fichier, avant la partie « Begin » relative à WordPress. Dans tous les cas, si tu modifies ton fichier .htaccess, fais une sauvegarde du contenu avant. Comme ça, si tu rencontres un bug quelconque, tu as juste à remettre l’ancien code pour rétablir ton blog !

      Répondre à Marlène
    • luna

      Merci beaucoup :) Ok je copie/colle alors avant « Begin ». Un grand merci car j’etais un peu perdu. Merci merci merci :) Et bonne soiree..

      Répondre à luna
  • kappes

    bonsoir Marlène, j’ai suivi votre tuto à la lettre et le site est sécurisé avec le petit cadenas vert, cool! un grand merrfci vous revient. mais je rencontre qd même un problème important : toutes les pages créées sous Optimize press renvoient toutes vers une page qui affiche tout le contenu du site avec des liens en une colonne, ou bien error http 500 ; incompatibilité OP avec https ? merci de votre retour avisé ;)

    Répondre à kappes
    • Marlène

      Bonsoir, malheureusement je n’ai jamais utilisé Optimize Press donc je ne connais pas son fonctionnement « sous le capot ». En revanche je suis certaine qu’il est compatible avec https car ils ont créé un article sur leur site pour évoquer le sujet. Je pense qu’il faut creuser la piste indiquée à l’étape 7, ils mentionnent un outil intitulé « OptimizePress Helper Tool » qui permettrait a priori de mettre à jour les données spécifiques à OptimizePress en cas de changement d’URL. Ils disent ensuite à l’étape 8 que lors du passage au https il faut aussi demander une nouvelle clé API.

      Répondre à Marlène
  • Luc

    Bonjour Chloé !
    Merci pour ce auto :). Je rencontre un pb sans savoir si c’est lié directement au chgt lié au https… : quand j’upload une image ds wp peu importe la façon, elle ne s’affiche pas dans la bibliothèque mais elle est bien uploadée dans le répertoire uploads… impossible de savoir pourquoi. Pas de pb de quota sur l’hébergement, pas de pb de poids d’images non plus, pas de pb de thème (j’ai testé un autre)… si tu as une idée je prends ! :)

    Répondre à Luc
    • Marlène

      Hello Luc, moi c’est Marlène ;) J’ai déjà croisé ce problème, il y a plusieurs pistes à creuser pour le résoudre : déjà, les images sont-elles bien uploadées via la fonction d’upload de WordPress (et pas directement par le biais du FTP) ? C’est au moment de cet upload que WordPress crée les miniatures associées à l’image. Il y a peut-être un problème de génération des miniatures, auquel cas un plugin comme Force Regenerate Thumbnails (qui recrée les miniatures) peut aider (dans tous les cas, il ne risque pas de faire du mal au site donc ça vaut le coup de tenter !).

      Il faut également tester si la création de ces miniatures n’est pas bloquée par un plugin (en testant l’upload après avoir désactivé tous les plugins). Il peut aussi s’agir d’un mauvais chemin défini pour les images (une option ajoutée dans le fichier wp-config.php par exemple). Si le problème est survenu suite au passage au https, il faut vérifier que toutes les adresses sont bien en https dans la base de données (cf le tutoriel)…

      Je commencerais par Force Regenerate Thumbnails !

      Répondre à Marlène
  • L'Explographe

    Merci beaucoup pour cet article^^ Je pige que dalle en code et tout, mais ça reste pourtant clair. GG.
    Par contre, j’ai une question. J’ai utilisé le plugin really easy ssl comme conseillé par Infomaniak et du coup je me demande si je dois supprimer toutes les pages en http ou c’est le plugin qui gère tout? Tu me conseillerais quoi?

    Répondre à L'Explographe
    • Marlène

      Hello, je n’utilise pas cette extension – dont j’ai moi aussi entendu du bien – mais si je comprends bien ce qu’ils expliquent dans la FAQ du plugin, le plugin crée une redirection « dynamique » de http vers https… sans changer réellement les URLs dans la base de données du site. Autrement dit, si on désactive le plugin pour une quelconque raison, les adresses qui sont en http sur le blog (parce qu’elles ont été insérées en http dans un article) reviendront en http.

      Répondre à Marlène
    • L'Explographe

      Oui, c’est ce que j’ai cru comprendre moi aussi. Mais du coup, tu penses que Google pourra me pénaliser dans mon référencement pour doublons ou autre ?

      Répondre à L'Explographe
    • Marlène

      Tant que le plugin est actif, il y a bien une redirection créée sur ton site donc tu n’auras pas de problème a priori. C’est si le plugin cesse de fonctionner qu’il faudra se reposer des questions :)

      Répondre à Marlène
    • L'Explographe

      D’accord, je surveillerai de temps en temps alors. Merci beaucoup pour tes réponses ;)

      Répondre à L'Explographe
  • Angélina

    Hello,
    Je pensais avoir bien suivi la manip’ mais je viens de complètement planter mon site… Je ne sais absolument pas quoi faire… Pouvez-vous m’aider?

    Pour info, je n’ai plus accès à mon interface WordPress et quand j’essaie d’accéder à mon blog cela me met l’erreur suivante : Code d’erreur : DLG_FLAGS_SEC_CERT_CN_INVALID… Merci d’avance!

    Répondre à Angélina
    • Marlène

      Hello, à quel moment vois-tu cette erreur car pour ma part je ne la vois pas en visitant ton blog. As-tu vidé le cache de ton navigateur et si oui, as-tu toujours l’erreur après l’avoir fait ?

      * Edit : pour compléter ma réponse, ton site est accessible en http et en https (il ne me redirige pas vers la version https) et n’obtient pas le cadenas vert en https car il reste des URLs en http (vers un fichier qui s’appelle « code-promo-1.png » si ça te parle !).

      Répondre à Marlène
    • Angélina

      Hello Marlène!
      Merci pour ta réponse (super rapide). Finalement j’ai complètement paniqué et j’ai annulé toutes les modifications que j’avais faites sur mon blog. J’ai restauré le fichier .htaccess à une précédente version et annulé la redirection vers le https (d’où le fait que tu vois le lien en http). Je crois que je vais finalement attendre avant de sauter le cap, je suis définitivement trop nulle et je me suis fait une trop grosse frayeur haha :-)
      Je garde ton article sous le coude pour une prochaine fois !
      Bonne soirée :-)

      Répondre à Angélina
    • Marlène

      En fait, souvent c’est le code de redirection qui peut varier d’un serveur à l’autre, d’un hébergeur à l’autre. Quand ce code (inséré dans le .htaccess) ne fonctionne pas, ça provoque une erreur 500 et le blog devient totalement inaccessible.

      Répondre à Marlène
    • Angélina

      Ha d’accord, je comprends mieux. C’est vrai que pour le coup je suis sur OVH donc j’ai copié celui que tu avais indiqué dans l’article. Là où j’ai dû faire mon erreur c’est que j’ai remplacé tout le code de base par ce nouveau code. Mais en relisant (si je comprends bien) il aurait fallu que je le place au début et que je laisse aussi le code d’origine? :)

      Répondre à Angélina
    • Marlène

      Oui, absolument, il ne faut surtout pas toucher à ton code d’origine. Tu peux malgré tout avoir une erreur (parfois, la configuration propre à chaque site peut exiger de personnaliser le code)… mais il suffit de retirer le bout de code ajouté dans le .htaccess pour rétablir l’accès au site.

      Répondre à Marlène
    • Angélina

      Ha d’accord, bon bah je saurais où faire attention la prochaine fois du coup :-)
      Merci beaucoup pour tes réponses!

      Répondre à Angélina
  • Laurence

    Merci Marlène, ou plutôt bravo ! Vous avez fait tout le travail avec cet article tuto, encore une fois très bon. Je n’ai eu qu’a vous suivre pas à pas. Mais qu’est-ce que ça rend fière quand même de voir ce vert, ce cadenas et ce S surgir de L’URL. Allez hourra ! C’est moi qui l’ai pas fait !

    Répondre à Laurence
  • Glynnis Mélanie

    Je viens de passer mon site en https. Merci 1000 fois pour ce tuto qui m’a permis de surmonter la peur de « tout casser » sur mon blog !

    Répondre à Glynnis
  • Chloé

    Bonjour, comment la redirection se fait quand on est hébergé chez 1and1??

    J’ai cherché sur d’autres sites mais maintenant mon blog est inaccessible…

    Répondre à Chloé
    • Marlène

      Hello, déjà, retire le code de ton .htaccess pour récupérer un accès à ton blog.

      Essaie ensuite de le remplacer par cette version là :
      RewriteEngine on
      RewriteCond %{SERVER_PORT} ^80$
      RewriteRule ^(.*)$ https://www.domaine.fr/$1 [R]

      En remplaçant bien sûr l’adresse domaine.fr par celle de ton blog, avec ou sans www selon la version que tu as configurée. Ça figure dans l’aide de 1&1.

      Répondre à Marlène
    • Chloé

      D’accord mais comment je le retire au juste? … :(

      Répondre à Chloé
    • Marlène

      Tu as copié le code dans le htaccess… donc à l’endroit où tu l’as copié, tu appuies sur la touche pour effacer le texte (comme quand tu effaces un texte sur Word, sur WordPress, etc) :)

      Répondre à Marlène
    • Chloé

      Je ne pouvais plus entrer dans mon tableau de bord donc c’est pour cela que je posais la question… Mais j’ai réussi en allant dans le FTP.
      Malheureusement, même si j’ai de nouveau accès à mon blog, un problème persiste : quand je tape mon URL donc moncarnetpivoine.com ça me dit qu’il y a une erreur mais quand je tape avec https ça marche… Je pensais que ça devait se rediriger normalement pourtant… J’ai sûrement du faire encore une erreur…

      Répondre à Chloé
    • Marlène

      Tu as ajouté le code préconisé par 1&1 dans mon commentaire précédent ? Là c’est normal que ça ne redirige plus puisque le code que je t’ai suggéré de retirer permettait la redirection, c’est ce code là qui provoquait l’erreur chez toi et que je te proposais de remplacer par le code de 1&1.

      Répondre à Marlène
    • Chloé

      Ce n’est pas le tien qui provoquait l’erreur, c’était justement un code que j’avais trouvé sur internet parce qu’avec le tien j’avais toujours mon blog en http et en https
      Du coup je ne sais pas trop quoi faire, il n’y a plus de visites sur mon blog alors qu’il fonctionne à nouveau…

      Répondre à Chloé
    • Marlène

      Es-tu sûre qu’il n’y a plus de visites ? As-tu pensé à changer l’adresse du site dans Analytics ?

      Répondre à Marlène
    • Chloé

      Il y en avait très peu mais tout est bon maintenant et je n’utilise pas Google Analytics

      Répondre à Chloé
    • Chloé

      Finalement j’ai mis ce code là :
      RewriteEngine on
      RewriteCond %{HTTPS} !=on
      RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

      Et ça a fonctionné!! Tout est revenu dans l’ordre! Peut-être que tu devrais inclure ce code pour les personnes qui n’ont pas OVH comme hébergeur?? Je ne sais pas si d’autres personnes avec 1&1 ont eu le même problème que moi…

      En tout cas merci pour la rapidité de tes réponses et pour ce tuto. Bonne journée :)

      Répondre à Chloé
Si vous aimez les articles du site, n'hésitez pas à faire vos achats sur Amazon.fr via ce lien ; il me permettra de toucher une commission grâce au programme Partenaires Amazon EU.