Comment passer son blog WordPress en HTTPS sans tout casser ?


Si vous suivez un peu l’actualité du Web, vous avez peut-être entendu parler du HTTPS. Vous avez peut-être lu qu’il fallait « passer son site en HTTPS », que WordPress allait forcer ses utilisateurs à adopter le HTTPS, que c’était mieux pour le référencement, que Google Chrome signalait les sites en HTTP comme étant non sécurisés…

Alors aujourd’hui… suspense… nous allons parler… du HTTPS ! Je vais d’abord vous expliquer dans les grandes lignes à quoi ça correspond, pourquoi ça prend de plus en plus d’importance sur le web et dans un second temps, je vous montrerai comment passer son site en HTTPS sans détruire son référencement à tout jamais (musique dramatique).

Comment passer son blog WordPress en HTTPS (presque) sans douleur ?
Comment passer son blog WordPress en HTTPS (presque) sans douleur ?

Le HTTPS, c’est quoi ?

Je vais juste vous donner quelques informations pour comprendre à quoi ça correspond dans les grandes lignes. Si le sujet vous intéresse, une recherche Google vous dévoilera tout (et plus encore).

Quand vous naviguez sur Internet, c’est grâce à un protocole que votre ordinateur est capable d’échanger des informations avec des serveurs où sont stockés les sites web que vous visitez. Le protocole est une sorte de communication entre votre ordinateur et tous ces serveurs.

Le protocole de base sur le web est le « Hypertext Transfer Protocol »… alias le « HTTP ». C’est pour ça que traditionnellement, les adresses des pages web commencent par http://

Le web s’est beaucoup développé, il y a aujourd’hui des pratiques qui n’existaient pas il y a 20 ans et qui exigent plus de sécurité et de confidentialité : vous achetez sur Internet, vous y gérez souvent vos comptes bancaires, vous pouvez même échanger avec des administrations sur des sujets confidentiels comme la santé ou les impôts.

Pour ça, on a créé le SSL (Secure Socket Layer), un système de chiffrement sécurisé :

  • Il permet d’abord de garantir l’identité du site avec lequel on communique. Si je vais par exemple sur le site de ma banque, je vois dans la barre d’adresse que la banque possède un certificat à son nom. Ca me prouve que c’est bien ma banque qui tient ce site.
    Protocole sécurisé de la BNP Paribas
  • Ça permet également d’assurer la confidentialité et l’intégrité des informations échangées entre votre ordinateur et un serveur : grâce au SSL, personne ne peut intercepter ces informations et personne ne peut les modifier à votre insu. Ça évite par exemple qu’un pirate s’empare de vos coordonnées bancaires au moment où elles transitent vers le site où vous faites vos achats.

Le HTTPS, c’est tout simplement la réunion entre le protocole HTTP traditionnel et le SSL. HTTP + SSL = HTTPS. Ça permet donc une navigation plus sécurisée sur le web. Concrètement, tous les grands acteurs du web poussent les propriétaires de sites à adopter ce protocole, c’est pour cette raison qu’il est intéressant de s’y pencher.

2017 : une année charnière pour WordPress et le HTTPS

Le 1er décembre 2016, WordPress a annoncé qu’à compter de 2017, certaines fonctionnalités exigeront que les sites soient en HTTPS. De même, ils ont fait part de leur intention d’arrêter de promouvoir les hébergeurs qui ne proposent pas le HTTPS à leurs clients.

Par ailleurs, l’équipe qui gère Google Chrome a annoncé le 8 septembre 2016 qu’à partir de 2017, Google Chrome allait progressivement afficher des avertissements pour signaler les sites en HTTP comme « non sécurisés ». avec une augmentation progressive de la visibilité de cet avertissement :

  • Au départ, une simple icône à côté de l’URL du site en HTTP pour attirer l’attention sur son niveau de sécurité bas.
  • Ensuite, on verra une icône + une mention indiquant « non sécurisé ».
  • Par la suite, cette mention pourrait s’afficher en couleur pour alerter l’internaute.
Site en HTTP non sécurisé sur Chrome
Site en HTTP non sécurisé sur Chrome

Que faire avant de passer son site en HTTPS ?

Dans ce tutoriel, je vais vous montrer comment passer un blog WordPress en HTTPS.

Avant de commencer, je vous conseille de lire le tutoriel en entier. On vous a sûrement répété cette consigne à l’école en vous disant de ne pas commencer un exercice avant de l’avoir lu jusqu’au bout ! C’est particulièrement vrai pour le HTTPS. Ça reste une manipulation technique et si vous vous rendez compte au beau milieu du tutoriel que vous n’y comprenez rien et que vous êtes bloqué, c’est quand même dommage :)

Ensuite, je vous conseille de faire une sauvegarde de votre base de données comme avant toute modification importante de votre blog. Je vous recommande aussi de désactiver votre plugin de cache si vous en utilisez un.

Enfin, vous pouvez mettre votre site en maintenance en utilisant un plugin comme « Coming Soon Page & Maintenance Mode by SeedProd » si vous voulez effectuer vos modifications en toute tranquillité sans avoir peur que vos visiteurs tombent sur une page d’erreur.

1. Activer le SSL chez son hébergeur

La première étape de la manipulation ne se passe pas sur votre blog mais chez votre hébergeur. Dans le meilleur des cas, votre hébergeur vous propose un certificat SSL gratuit que vous pouvez activer vous-même depuis l’administration de votre compte. Les certificats ont une durée de validité limitée dans le temps et le gros avantage quand c’est votre hébergeur qui s’en occupe, c’est que vous n’avez pas besoin de le renouveler.

C’est le cas chez OVH, chez O2 Switch ou chez Infomaniak par exemple.

Sachez qu’il existe différents types de certificats avec des niveaux de sécurité variés. Sur No Tuxedo, je m’adresse à des blogueurs donc un certificat gratuit convient parfaitement mais si vous avez un site qui traite des données particulièrement confidentielles, il faut se tourner vers des formules beaucoup plus sécurisées (et payantes).

Mais j’imagine que si c’est votre cas, vous n’êtes pas en train de lire mon blog et vous avez un développeur web très compétent pour faire ce travail à votre place ;)

Chez o2switch, mon hébergeur

Je suis pour ma part, hébergée chez o2switch à l’heure où j’écris cet article et ce n’est pas bien compliqué d’activer le SSL, il suffit d’aller dans la rubrique « Let’s Encrypt™ SSL » et de cliquer sur « Générer » à côté du nom de domaine pour lequel vous voulez obtenir un certificat SSL. Épuisant, non ? :)

Générer un certificat SSL chez o2switch
Générer un certificat SSL chez o2switch

C’est quasi immédiat. Ce n’est pas toujours le cas et chez mon ancien hébergeur par exemple, on tombait au départ sur une page d’erreur :

Erreur : connexion pas privée
Erreur : connexion pas privée

Il fallait attendre quelques minutes pour que la page soit disponible en HTTPS (cf ci-dessous) ! Par conséquent, ne paniquez pas si l’effet n’est pas immédiat.

Site actif en HTTPS
Site actif en HTTPS

Le HTTPS chez OVH

Comme j’ai quelques sites sur OVH, j’en profite pour vous montrer où activer le SSL chez cet hébergeur. En réalité, OVH installe par défaut un certificat SSL sur tous ses hébergements web, il faut donc simplement vérifier qu’il est activé.

Vous vous connectez à votre manager puis vous allez dans la rubrique Hébergement et vous vérifiez que la ligne « Certificat SSL » indique bien « Oui ». Ça signifie que le SSL est disponible pour votre nom de domaine.

Certificat SSL chez OVH
Certificat SSL chez OVH

Allez ensuite dans le deuxième onglet (en restant sur cette même page), un onglet qui s’intitule « Multisite ». Là encore, la ligne « SSL » correspondant au nom de domaine doit afficher « Activé ».

SSL activé sur OVH
SSL activé sur OVH

Si ce n’est pas le cas, cliquez sur le crayon et cochez la case SSL puis cliquez sur « Regénérer le certificat SSL » sur la droite de la page.

Activer le SSL chez OVH
Activer le SSL chez OVH

Chez d’autres hébergeurs

Je vous conseille de consulter d’abord la rubrique d’aide de votre hébergeur afin de chercher s’il existe une procédure pour le passage au HTTPS.

Si vous ne trouvez aucune information, faites une recherche sur Google en précisant le nom de l’hébergeur : vous trouverez peut-être des personnes qui ont déjà effectué ce transfert et ont écrit des tutoriels sur le sujet. Si ce n’est pas le cas, tournez-vous vers l’hébergeur lui-même en lui demandant comment procéder.

2. Adapter votre blog WordPress au HTTPS

Lorsque le HTTPS est activé sur votre blog, vous allez constater un premier changement : si vous êtes connecté à votre administration, vous allez être déconnecté car l’URL de votre blog a changé. De même, si vous aviez mémorisé votre mot de passe dans votre navigateur, celui-ci vous demandera à nouveau s’il doit l’enregistrer.

Il est parfois nécessaire de modifier soi-même l’URL dans la rubrique Réglages > Général de WordPress, en indiquant l’URL en https comme ceci :

Changer l'URL par défaut de WordPress

A ce stade, votre site fonctionne plus ou moins donc la tentation est grande de se dire « Ça y est, c’est réglé ! Je m’arrête là ». En réalité, il reste pas mal de choses à faire pour éviter de pénaliser votre référencement et pour que votre site soit fonctionnel.

Quelles vérifications faire maintenant ?

Rediriger HTTP vers HTTPS

À ce stade, vous avez deux adresses qui coexistent : votre blog existe à la fois en HTTP et en HTTPS. Google peut être amené à considérer ça comme du contenu dupliqué étant donné que les mêmes informations se retrouvent accessibles à deux adresses différentes.

Pour ma part, une redirection des adresses en HTTP vers les adresses en HTTPS a été créée automatiquement (parce que j’ai un type de certificat particulier, avec HSTS). Si ce n’est pas votre cas, il faut ajouter quelques lignes au fichier .htaccess qui se trouve à la racine de votre blog sur votre FTP.

Vous n’avez peut-être pas l’habitude d’aller sur le FTP mais souvenez-vous, c’est là que vous avez mis les fichiers de WordPress lors de la première installation. Les codes pour se connecter au FTP doivent vous avoir été fournis par votre hébergeur et on s’y connecte en utilisant un client FTP (FileZilla ou WinSCP sont gratuits et très bien).

Faites un clic droit sur le fichier .htaccess puis choisissez l’option permettant de le modifier. Vous pouvez ajouter le code qui suit au tout début du fichier afin d’être sûr qu’il n’y aura aucun conflit entre ces instructions et le reste de votre fichier. Ce code est celui que conseille OVH pour une redirection de HTTP vers HTTPS :

RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.votredomaine.fr/$1 [R=301,L]

Bien sûr, remplacez « www.votredomaine.fr » par votre propre nom de domaine avec ou sans www selon ce que vous utilisez.

Vérifier qu’il n’y a plus de trace du HTTP

C’est peut-être l’étape qui vous donnera le plus de fil à retordre si vous n’êtes pas à l’aise avec la technique. Il faut comprendre que pour que le protocole HTTPS fonctionne, il faut que toutes les ressources dont le site a besoin pour fonctionner (les images, les feuilles de style, les polices d’écriture, etc.) soient en HTTPS.

Sinon, vous vous retrouvez avec des pages qui mélangent du HTTP et du HTTPS : c’est ce qu’on appelle du contenu mixte ou du « mixed content » et ces pages ne sont pas considérées comme sécurisées.

Elles afficheront alors une adresse en HTTPS mais le cadenas ne sera pas présent. J’ai eu le cas sur mon site et voilà à quoi ça ressemble :

Du HTTPS sans cadenas : le problème du contenu mixte
Du HTTPS sans cadenas : le problème du contenu mixte

Il existe un outil qui peut scanner votre site pour détecter la présence de contenu mixte : le SSL Check de Jitbit. En version gratuite, il ne scannera que 200 pages mais ce n’est pas un problème, vous pourrez au moins voir si vous avez ce souci ou non.

Détecter le mixed content sur votre site en HTTPS
Détecter le mixed content sur votre site en HTTPS

Nous allons agir à deux niveaux pour régler ce problème :

  • D’abord, passer en revue tout le contenu de la base de données pour remplacer les adresses en HTTP par des adresses en HTTPS.
  • Ensuite, si vous rencontrez encore des problèmes, ça peut venir directement de votre thème WordPress. Il faudra donc chercher ce qui est encore en HTTP dans les fichiers du thème.

Le HTTP dans la base de données

Nous allons devoir explorer la base de données de votre blog pour savoir si elle renferme encore quelques adresses en HTTP égarées, qui n’ont plus rien à faire là. Vous allez me dire : au secours, je n’ai jamais touché à une base de données !

Déjà, si vous avez écouté mes conseils, vous avez fait une sauvegarde de votre base de données. Dites-vous donc que s’il y a le moindre problème, il suffira de remettre en place cette sauvegarde pour récupérer votre blog. Ensuite, je ne vais pas vous envoyer manipuler votre base de données à la main.

On va utiliser un plugin WordPress pour ça : j’utilise le même depuis longtemps donc je vous le conseille aussi, il s’agit de Better Search Replace. Installez-le depuis le menu Extensions > Ajouter de WordPress et activez-le.

Le plugin Better Search Replace
Le plugin Better Search Replace

Allez ensuite dans le menu Outils > Better Search Replace.

Vous allez rechercher l’adresse de votre blog commençant par HTTP et la remplacer par la même adresse avec HTTPS au début. Ne mettez pas de slash à la fin. Et sélectionnez toutes les tables de votre base de données (chaque table stocke un type précis d’information : les commentaires de votre blog, le contenu des posts, etc).

WordPress conseille de ne jamais « remplacer les GUID » donc ne cochez pas cette case à moins de savoir exactement ce que vous faites.

Pour ne prendre aucun risque et éviter les bêtises dans votre base de données, nous allons dans un premier temps faire un simple test en cochant la case « Juste faire un test ? » (elle est normalement cochée par défaut).

Rechercher et remplacer une expression dans la base de données
Rechercher et remplacer une expression dans la base de données

Cliquez ensuite sur « Rechercher/Remplacer ». Le plugin Better Search Replace va vous indiquer combien de changements il aurait pu effectuer dans votre base de données mais ne va pas les faire pour de vrai. C’est le moment de vérifier que vous avez bien orthographié votre nom de domaine.

Dans mon cas, il a tout de même trouvé 8780 endroits à mettre à jour ! (« 8780 chaînes trouvées qui peuvent être mises à jour »). Il indique aussi que « 0 modifications auraient pu être apportées », tout simplement parce que nous sommes en mode Test et que le plugin ne peut donc pas modifier quoi que ce soit.

Better Search Replace en mode test
Better Search Replace en mode test

Si tout vous paraît normal, vous pouvez refaire la manipulation en décochant cette fois-ci la case « Juste faire un test ? »

Les changements se font très rapidement et vous risquez à nouveau d’être déconnecté de l’administration. Ne vous inquiétez pas, reconnectez-vous simplement et vous devriez alors voir s’afficher sur la page du plugin le nombre de modifications effectuées. Je pense que quand vous voyez ces chiffres, vous comprenez mieux pourquoi il n’est pas question de le faire à la main !

Corriger votre thème WordPress si nécessaire

Si l’absence de cadenas persiste sur certaines pages, ça laisse entendre qu’il reste du contenu mixte. Le problème peut provenir, dans certains cas, de la publicité que vous insérez sur le site (ça arrive parfois sur mon propre blog !). Mais la plupart du temps, il provient de l’autre composante essentielle de WordPress : les fichiers.

Votre thème peut comporter certains liens pour charger des ressources (polices d’écriture, etc), qui sont écrits directement dans le code et qui sont en HTTP. Pour les voir, vous pouvez afficher le code source de la page (tous les navigateurs Web vous permettent de le faire) et rechercher le terme http://. Vous verrez alors les liens encore présents en HTTP.

Dans mon cas, c’est entièrement de ma faute car c’est moi qui ai créé le thème :) Mais ça peut aussi vous arriver si vous avez acheté votre thème ou installé un thème gratuit sur votre blog. Vous avez deux options : soit vous vous amusez à ouvrir chaque fichier de votre thème pour voir s’il comporte un lien en HTTP, soit vous réglez le problème en bloc.

Je suis d’avis qu’il faut parfois être fainéant :) J’ai donc choisi la deuxième méthode. J’ai tout simplement téléchargé le dossier entier du thème sur le bureau de mon ordinateur. Sur le FTP, on va dans wp-content > themes… et on récupère le dossier entier du thème. Je vous conseille d’en faire une copie. Ainsi, s’il y a le moindre problème, vous aurez une sauvegarde sous la main.

Télécharger le dossier de son thème WordPress
Télécharger le dossier de son thème WordPress

Ensuite, on va utiliser un logiciel génial pour trouver en un clic tous les liens en HTTP. Je l’utilise depuis sa création et il est gratuit : TextCrawler.

Dans un premier temps, je commence par changer toutes les URL de mon nom de domaine présentes dans mon thème de HTTP vers HTTPS. On sélectionne le dossier du thème, le type de fichier à vérifier (php).

Modifier le dossier d'un thème en bloc
Modifier le dossier d’un thème en bloc

Puis on entre les noms à rechercher/remplacer dans les champs « Find » et « Replace ».

Remplacer l'URL en HTTP par celle en HTTPS
Remplacer l’URL en HTTP par celle en HTTPS

Mais il reste encore un problème : le thème fait des liens en HTTP vers d’autres ressources extérieures à mon propre site.

Si vous êtes dans ce cas, TextCrawler peut vous fournir une liste de toutes les adresses en HTTP qui restent dans vos fichiers, il suffit de chercher le terme http:// dans le dossier du thème (vous remplissez juste le champ « Find » et laissez le champ « Replace » vide.

Chercher toutes les URL en HTTP
Chercher toutes les URL en HTTP

Ensuite, il suffit de faire un double-clic sur le nom du fichier pour l’ouvrir avec un éditeur de texte et remplacer l’adresse HTTP par une adresse en HTTPS si elle existe.

Trouver toutes les adresses en HTTP
Trouver toutes les adresses en HTTP

Il se trouve que certains sites n’existent pas en HTTPS. Dans ce cas :

  • Soit il faut accepter que certaines pages de votre site auront du contenu mixte (la page ne sera donc pas pleinement sécurisée) ;
  • Soit il faut trouver des solutions de contournement : un autre lien plus sécurisé, etc.

Un simple lien externe n’empêchera pas la page d’être correctement sécurisée : par exemple, No Tuxedo fait un lien vers Copyright France qui n’existe pas en HTTPS à ce jour et ça n’empêche pas la page de passer les tests de sécurité avec succès. Le plus important, c’est de corriger les liens qui chargent des ressources sur le site (images, frames, scripts, etc). Le reste est facultatif.

Une fois que tous les changements sont faits, vous pouvez remettre en ligne le dossier du thème ainsi modifié à la place de l’ancien.

Je peux maintenant réactualiser la page qui présentait un contenu mixte et comme vous pouvez le voir, le petit cadenas vert apparaît bien à côté du HTTPS. Le problème est résolu et la page est maintenant correctement sécurisée !

Page HTTPS correctement sécurisée
Page HTTPS correctement sécurisée

3. A faire après le passage en HTTPS

Là, vous pensiez peut-être pouvoir vous reposer mais il nous reste encore quelque détails à régler !

Le fichier robots.txt

Si vous avez un fichier robots.txt à la racine de votre site qui comporte un lien vers un sitemap, pensez à modifier ce lien pour le mettre lui aussi en HTTPS.

Les redirections

Si vous avez mis en place des redirections vers votre blog, vérifiez qu’elles dirigent aussi les visiteurs vers la version en HTTPS. Par exemple, mes articles du blog Allée des Curiosités se trouvaient au départ sur no Tuxedo. J’ai donc des redirections depuis les anciennes adresses sur No Tuxedo vers les nouvelles adresses sur Allée des Curiosités. Et quand on regarde de plus près… elles sont toutes en HTTP !

Redirections en HTTP
Redirections en HTTP

Ça veut dire qu’un visiteur va d’abord être dirigé vers la version en HTTP puis redirigé une nouvelle fois vers la version en HTTPS. La redirection multiple est une pratique à éviter sur le web parce que ça ralentit la navigation.

Vous commencez à connaître le principe comme des pros, on remplace tout simplement l’adresse du site en HTTP par son équivalent en HTTPS :)

Google AdSense

Si vous affichez des annonces publicitaires Google AdSense sur votre site, vérifiez que le code des annonces comporte bien des liens compatibles avec HTTPS (plus d’informations sur le site de Google).

Il n’y a aucun problème pour utiliser AdSense avec HTTPS : « les éditeurs qui possèdent des sites sécurisés par le biais du protocole HTTPS peuvent utiliser le code d’annonce AdSense pour diffuser des annonces conformes à la norme SSL ».

Il y a encore deux ans, Google déconseillait aux éditeurs AdSense de migrer leur site vers HTTPS. Certains ont d’ailleurs subi des baisses de revenus conséquentes en effectuant cette migration. J’ai l’impression que ce n’est plus le cas et sur mes sites qui sont passés au HTTPS, je n’ai pas constaté de baisse particulière de revenus, c’est même plutôt l’inverse.

Google Search Console

Vous avez peut-être inscrit votre blog sur Google Search Console pour suivre votre référencement et le comportement de Google sur vos pages de manière plus fine. Là aussi, il va falloir signaler à l’outil que votre site a changé d’adresse.

Google Search Console va traiter votre site en HTTPS comme s’il s’agissait d’un nouveau site. Vous allez donc devoir à nouveau ajouter votre site, en version HTTPS cette fois-ci.

Ça vous permettra de suivre l’indexation par Google de vos contenus en HTTPS au fil des semaines.

Ajouter un site sur Google Search Console
Ajouter un site sur Google Search Console

Google Analytics

Houston, nous avons (encore) un problème ! Google Analytics n’est pas au courant que le site a changé d’URL.

C’est très facile à modifier : vous allez dans l’administration de Google Analytics.

Administration de Google Analytics
Administration de Google Analytics

Dans la colonne du milieu, vous choisissez « Modifier la propriété » et vous n’avez plus qu’à choisir HTTPS dans le petit menu déroulant à votre disposition.

Signaler une URL en HTTPS à Google Analytics
Signaler une URL en HTTPS à Google Analytics

Le gros avantage de cette méthode, c’est que vous continuerez à accéder au même endroit à toutes vos données malgré le changement d’URL. Vous garderez ainsi la continuité de vos statistiques !

Pendant qu’on y est, nous allons refaire l’association entre Google Analytics et Google Search Console puisque ça se passe sur la même page ! Descendez tout en bas et cliquez sur le bouton « Paramétrer la Search Console » puis cliquez sur « Modifier » à côté de l’URL.

Associer Google Analytics à Google Search Console
Associer Google Analytics à Google Search Console

Associez votre site à l’URL en HTTPS. A ce moment précis, Google Analytics sera associé à l’adresse actuelle du site et plus à l’ancienne adresse, vous devriez recevoir deux mails pour vous confirmer ces changements.

Choisir l'URL en HTTPS
Choisir l’URL en HTTPS

Et plus si affinités ?

Chaque site a ses particularités et vous utilisez peut-être d’autres services qui exigent de mettre à jour l’URL de votre blog. Pensez-y au fur et à mesure !

4. Tester son certificat SSL et remettre le blog en ligne

Allez sur le test SSL Labs et entrez l’adresse de votre blog. Si tout s’est bien passé et que votre site est considéré comme sécurisé, voici le genre de joli score que vous obtiendrez :

Migration en HTTPS réussie
Migration en HTTPS réussie

Pour finaliser nos modifications, il ne reste plus qu’à désinstaller le plugin Better Search Replace dont nous n’avons plus besoin, à désactiver le mode maintenance si vous aviez choisi de mettre votre site en maintenance. Vous pouvez enfin réactiver votre éventuel plugin de cache.

Je vous conseille également de créer une annotation sur Google Analytics afin de garder en mémoire la date à laquelle vous avez effectué le passage au HTTPS. En effet, ça reste un changement important dans la vie d’un site et vous pouvez être confronté à une perte temporaire de trafic.

J’ai entendu plusieurs webmasters dire qu’ils avaient perdu du trafic suite à ce changement (10 à 20% en moyenne). Créer une annotation vous permettra de faire un lien entre cette baisse et le passage au HTTPS. La baisse est normalement temporaire (elle peut durer 2-3 mois).

Créer une annotation sur Google Analytics
Créer une annotation sur Google Analytics

Ultimes questions et réflexions

Vous vous demandez peut-être combien de temps ça prend de faire toutes ces manipulations. Je dirais que ça dépend de votre aisance avec la technique et de l’ampleur des problèmes rencontrés (si vous avez beaucoup d’adresses en HTTP à corriger à l’intérieur de votre thème, ça peut être un peu plus long).

Pour ma part, j’ai mis très précisément 1h25 à effectuer l’ensemble des étapes décrites dans le tutoriel… et à écrire le tutoriel au fur et à mesure ! Pour No Tuxedo (que j’ai passé en HTTPS sans écrire un tutoriel en même temps), il m’a fallu 20 minutes tout compris. Si vous êtes à l’aise avec la technique (et que vous n’écrivez pas de tutoriel en même temps), c’est donc très court.

Le HTTPS est-il vraiment révolutionnaire ?

Concrètement, je ne constate pas aujourd’hui de changement significatif sur mes sites qui sont passés au HTTPS. J’ai vécu comme beaucoup une perte temporaire de trafic, qui a duré un mois et demi environ (-10% de trafic). Je m’attends donc à la même chose pour mon blog culture qui m’a servi de cobaye dans cet article.

J’ai constaté que j’avais perdu des places sur Google sur certaines requêtes, en particulier sur des sujets avec une forte concurrence. J’ai aujourd’hui retrouvé mon positionnement initial.

Sur certains sites, j’ai eu aussi quelques problèmes avec des plugins qui géraient mal le HTTPS mais à l’heure où je mets à jour ce tutoriel, tout est rentré dans l’ordre. De même, depuis mon passage au HTTPS, le site Hellocoton ne fonctionne plus correctement avec mon blog (problème d’affichage des images, bouton « J’aime » qui ne marche plus, etc).

Faut-il passer au HTTPS ?

Ce qu’il faut retenir, c’est que le HTTPS est une pratique recommandée, poussée par les grands acteurs du web au point que ça devient une norme…

  • 1. Pour le référencement – Google a indiqué que c’était un critère de référencement : il a à ce jour très peu de poids donc la plupart des sites ne voient pas d’impact positif particulier en passant au HTTPS. Mais Google a clairement exprimé son intention « d’encourager tous les propriétaires de sites à passer du HTTP au HTTPS ».
  • 2. Parce que sur certaines thématiques, c’est tout simplement indispensable pour rassurer vos visiteurs sur votre sérieux : je pense notamment aux sites e-commerce.
  • 3. Parce que ça fait partie des évolutions majeures du web que tout le monde adopte peu à peu : si vous regardez les plus grands sites, vous constaterez que la plupart d’entre eux sont passés progressivement au HTTPS (WordPress.com, Blogspot.com, etc).

Malgré tous ces aspects positifs, il faut être conscient que ce n’est pas un changement anodin. Vous modifiez l’adresse de votre site donc ça entraîne des redirections, ça remet à zéro les compteurs de vos boutons de partage, ça implique une certaine technicité avec laquelle tout le monde n’est pas à l’aise… Je peux donc comprendre ceux qui souhaitent encore attendre, en particulier quand il s’agit d’un blog de contenu sans dimension e-commerce.

J’espère que cet article vous aidera si vous décidez de sauter le pas !


Poster un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Lorsque vous postez un commentaire sur le blog, le nom indiqué dans la case "Prénom" ainsi que votre message apparaîtront publiquement. Votre adresse e-mail restera confidentielle.

263 commentaires sur “Comment passer son blog WordPress en HTTPS sans tout casser ?

  • Virginie

    Merci mille fois pour cet article topissime.
    Je croyais que j’allais y passer le weekend et grâce à toi, ça a été bouclé en 1 heure.
    Tu m’as sauvé mon weekend :-)

    Répondre à Virginie
    • Marlène

      Tant mieux alors ;) Pour ma part, je suis en plein passage de tous mes blogs à la version 5 de WordPress, histoire de sauver mon propre week-end ha ha !

      Répondre à Marlène
  • Willy

    Un grand merci pour l’astuce du « Better Search Replace » ! Mon cadenas avait disparus depuis quelques semaines. C’est maintenant corrigé grâce à vous. J’ai toutefois omis la table « Yoast », qui contenait une soixantaine de « http:// », je me suis dis qu’il y avait une bonne raison d’en avoir (?)
    Merci
    Willy

    Répondre à Willy
    • Marlène

      Hello Willy, c’est une remarque très intéressante et il faudrait sans doute que je le mentionne dans une future mise à jour de cet article : quand on possède un plugin de redirections par exemple, ça peut être pertinent d’ommettre la table du plugin… c’est du cas par cas mais ça vaut le coup de se pencher sur la question !

      Répondre à Marlène
  • Ryan Helse

    Hello,

    Merci beaucoup pour cet article très détaillé. J’ai suivi étape par étape et j’ai réussi à passer d’un site http à https . Merci infiniment ! Malheureusement, je n’ai toujours pas le cadenas. Pourtant je pense avoir tout fait à la lettre . Je suis sur Mac du coup j’ai du changer le http:// manuellement dans chaque fichier. J’ai revérifié pour voir si je n’avais pas fait d’erreur, mais je n’ai rien vu. Je ne sais pas d’où peut venir le problème.

    Répondre à Ryan
    • Marlène

      Hello, utilise le site Why No Padlock, tu vas voir qu’il y a pas mal d’éléments de ton site encore en http. As-tu bien suivi l’étape du rechercher/remplacer dans la base de données car tes images semblent être encore en http ?

      Répondre à Marlène
    • Ryan Helse

      Merci beaucoup pour votre réponse. En effet, il y a encore pas mal d’images en HTTP. Je vais essayer de modifier tout cela en reprenant l’étape rechercher/remplacer. Merci encore

      Répondre à Ryan
    • Ryan Helse

      Yeees !! j’ai réussi à mettre le cadenas.
      MERCI BEAUCOUP :).
      Vos articles m’aident vraiment, et le tuto pas à pas est bien expliqué . Et facile même si on n’est pas familiarisé au code.

      Répondre à Ryan
  • Perrine

    Merci pour ce super billet d’explications. Je doit renouveler mon nom de blog avec OVH et je compte changer de nom de domaine. Du coup autant faire tout d’un coup non ? Changer le nom avec OVH et mettre le tout en HTTPS ? J’ai vu ton tuto sur le changement de nom de domaine et ça avait l’air de rejoindre un peu ce changement. As-tu des astuces ou des conseils en plus ? Merci, Perrine

    Répondre à Perrine
    • Marlène

      La seule clé de ce genre de changement, c’est une bonne gestion des redirections ;) En gros, il faut que les visiteurs qui tapent la vieille adresse du blog en HTTP soient bien redirigés sur la nouvelle en HTTPS et qu’il n’y ait pas coexistence de multiples adresses pour une même page.

      Répondre à Marlène
  • Virginie

    Bonjour Marlène et merci pour ce formidable tuto très bien expliqué.

    Je viens de passer mon site en HTTPS tout est au vert cool. J’ai un petit soucis de chaînes de redirections multiples mais à la lecture de votre article je pense que cela vient de mes anciennes redirection de page du .htaccess je vais vérifier demain.

    Sinon ma question est la suivante au sujet de la Google search console
    Après avoir mis le site https en nouvelle propriété j’ai proposé le nouveau sitemap.xml.
    J’ai donc
    http://monsite.com
    https://monsite.com
    Mais dois je aussi créer les propriétés avec les www ?
    Si oui je met quel sitemap ? Pour ces propriétés ?
    Faut il a un moment donné supprimer le sitemap de la première version du site en http ?
    Google va prendre lequel des 4 propriétés crées ?
    Bon désolée les questions fusent.
    Merci par avance de votre soutien. Bonne fin de journée. Virginie

    Répondre à Virginie
    • Marlène

      Hello Virginie, si tes redirections sont bien faites tu n’as qu’une URL (avec ou sans http://www... et du coup en https). C’est celle-là qu’il faut créer dans Search Console.

      Répondre à Marlène
  • Athéna

    Bonjour Marlène,
    merci pour ce super article (comme toujours). J’ai suivi pas à pas tes instructions, mon site est donc bien accessible en https. Mais il l’est aussi en http j’ai l’impression… est ce normal ? De plus le sitemap de XML sitemap propose encore http et non https. Enfin, je crois qu’en plus mon site est accessible en www. et sans les w… ça fait beaucoup de doublon et je suis un peu perdue… aurais tu des conseils à me donner ? par avance merci infiniment.

    Répondre à Athéna
    • Athéna

      petit détail, je n’ai pas fait l’étape textcrawler car je bosse sur mac et le logiciel est développé pour windows…

      Répondre à Athéna
    • Marlène

      Sur Mac tu n’as pas besoin de TextCrawler pour faire une recherche dans le contenu d’un fichier, normalement l’ordinateur peut le faire sans installer de logiciel.

      Répondre à Marlène
    • Marlène

      Pour que le site soit accessible à une seule adresse, il faut créer des redirections (c’est l’une des étapes du tutoriel, dans le paragraphe « rediriger HTTP vers HTTPS ». Pour ma part, je vois bien les URLs du sitemap en https :)

      Répondre à Marlène
  • Younès

    Bonjour Marlène,

    Dans la nuit, j’ai réussi de passer du http au https grâce à votre tuto, un grand merci. J’ai ajouté le nouveau l’url en https à goole search console et sitemaps…
    Par contre, j’ai constaté que quand je fais des recherches de certains de mes articles sur google, ces derniers s’ouvrent en http!!! Je peux aussi les ouvrir les mêmes via mon site en https.
    Si je comprends bien, la redirection doit se faire automatiquement http au https? ou c’est juste une question de temps avant le passage des robots?
    Par avance merci.

    Répondre à Younès
    • Marlène

      Bonjour Younès, non la redirection n’est pas automatique (sauf dans le cas où l’on dispose d’un type de certificat spécifique, qui crée des redirections). J’explique ça dans l’article ;)

      Répondre à Marlène
    • Younès

      Merci pour votre retour.
      Justement, j’ai ajouté le code de redirection 301 à mon fichier .htaccess. Le lien de mon site se redirige en 301 mais pas les liens des pages…
      J’utilise « Lets Encrypt » (gratuit) d’OVH, le teste de sécurité est ok « A »
      Depuis ce matin je cherche une solution mais en vain.

      Répondre à Younès
    • Marlène

      Est-ce qu’il y a un cache en place sur le site ? Sinon, il ne faut pas hésiter à contacter OVH.

      Répondre à Marlène
    • Younès

      oui, wp super cache. Je l’avais désactiver pendant le passage en https puis je l’ai activé. J’ai vidé le cache plusieurs fois.

      Répondre à Younès
    • Younès

      Le problème que j’avais est rentré dans l’ordre. J’avais déjà un plugin de redirection que j’utilisais pour mes liens modifiés et de passage dans les réglages par hasard, je vois une case à cocher pour forcer la redirection http vers https. Juste après la redirection (301) est valable pour les pages.

      Je tiens à vous remercier pour le travail effectué pour ce tuto et votre réactivité aux commentaires. Je reviendrai plus souvent ici. Tiens je vais m’abonner à la newsletter ;-)

      Répondre à Younès
  • Eymeric

    Bonjour,
    un grand merci pour cet article ; le passage en HTTPS me faisait peur, et j’ai réussi à tout faire grâce à toi en une soirée :).
    Bravo pour ton blog, auquel je me réfère très régulièrement et qui a à peu près réponse à tout quand on est blogueur !
    Merci encore,
    Eymeric

    Répondre à Eymeric
    • Marlène

      Merci pour le message et contente qu’il n’y ait pas eu de souci particulier !

      Répondre à Marlène
  • Younès

    Bonjour,

    Merci pour cet article bien détaillé. Je cherchais une solution pour me lancer et je pense que cela ne va pas tarder. Mais avant, je voudrais savoir si les démarches plus haut sont toujours d’actualité?

    Par avance merci.

    Répondre à Younès
  • Murielle

    Coucou, un grand merci pour cet article et ton blog de manière générale, je m’en sers tout le temps, une mine d’or! Je viens, enfin, de transférer mon blogger sur wordpress et j’en ai profité pour le passer en https :) Je n’ai pas obtenu de A+(grrr) mais mon blog est encore en chantier, est-ce que tu penses que ça a un impact?

    Merci beaucoup!

    Murielle

    Répondre à Murielle
    • Marlène

      Ton blog est bien sécurisé chez moi, je l’ai testé et il renvoie un A donc tout va bien :)

      Répondre à Marlène
Si vous aimez les articles du site, n'hésitez pas à faire vos achats sur Amazon.fr via ce lien ; il me permettra de toucher une commission grâce au programme Partenaires Amazon EU.