Comment passer son blog WordPress en HTTPS sans tout casser ?



Si vous suivez un peu l’actualité du Web, vous avez peut-être entendu parler du HTTPS. Vous avez peut-être lu qu’il fallait « passer son site en HTTPS », que WordPress allait forcer ses utilisateurs à adopter le HTTPS, que c’était mieux pour le référencement, que Google Chrome signalait les sites en HTTP comme étant non sécurisés…

Alors aujourd’hui… suspense… nous allons parler… du HTTPS ! Je vais d’abord vous expliquer dans les grandes lignes à quoi ça correspond, pourquoi ça prend de plus en plus d’importance sur le web et dans un second temps, je vous montrerai comment passer son site en HTTPS sans détruire son référencement à tout jamais (musique dramatique).

Comment passer son blog WordPress en HTTPS (presque) sans douleur ?
Comment passer son blog WordPress en HTTPS (presque) sans douleur ?

Le HTTPS, c’est quoi ?

Je vais juste vous donner quelques informations pour comprendre à quoi ça correspond dans les grandes lignes. Si le sujet vous intéresse, une recherche Google vous dévoilera tout (et plus encore).

Quand vous naviguez sur Internet, c’est grâce à un protocole que votre ordinateur est capable d’échanger des informations avec des serveurs où sont stockés les sites web que vous visitez. Le protocole est une sorte de communication entre votre ordinateur et tous ces serveurs.

Le protocole de base sur le web est le « Hypertext Transfer Protocol »… alias le « HTTP ». C’est pour ça que traditionnellement, les adresses des pages web commencent par http://

Le web s’est beaucoup développé, il y a aujourd’hui des pratiques qui n’existaient pas il y a 20 ans et qui exigent plus de sécurité et de confidentialité : vous achetez sur Internet, vous y gérez souvent vos comptes bancaires, vous pouvez même échanger avec des administrations sur des sujets confidentiels comme la santé ou les impôts.

Pour ça, on a créé le SSL (Secure Socket Layer), un système de chiffrement sécurisé :

  • Il permet d’abord de garantir l’identité du site avec lequel on communique. Si je vais par exemple sur le site de ma banque, je vois dans la barre d’adresse que la banque possède un certificat à son nom. Ca me prouve que c’est bien ma banque qui tient ce site.
    Protocole sécurisé de la BNP Paribas
  • Ça permet également d’assurer la confidentialité et l’intégrité des informations échangées entre votre ordinateur et un serveur : grâce au SSL, personne ne peut intercepter ces informations et personne ne peut les modifier à votre insu. Ça évite par exemple qu’un pirate s’empare de vos coordonnées bancaires au moment où elles transitent vers le site où vous faites vos achats.

Le HTTPS, c’est tout simplement la réunion entre le protocole HTTP traditionnel et le SSL. HTTP + SSL = HTTPS. Ça permet donc une navigation plus sécurisée sur le web. Concrètement, tous les grands acteurs du web poussent les propriétaires de sites à adopter ce protocole, c’est pour cette raison qu’il est intéressant de s’y pencher.

2017 : une année charnière pour WordPress et le HTTPS

Le 1er décembre 2016, WordPress a annoncé qu’à compter de 2017, certaines fonctionnalités exigeront que les sites soient en HTTPS. De même, ils ont fait part de leur intention d’arrêter de promouvoir les hébergeurs qui ne proposent pas le HTTPS à leurs clients.

Par ailleurs, l’équipe qui gère Google Chrome a annoncé le 8 septembre 2016 qu’à partir de 2017, Google Chrome allait progressivement afficher des avertissements pour signaler les sites en HTTP comme « non sécurisés ». avec une augmentation progressive de la visibilité de cet avertissement :

  • Au départ, une simple icône à côté de l’URL du site en HTTP pour attirer l’attention sur son niveau de sécurité bas.
  • Ensuite, on verra une icône + une mention indiquant « non sécurisé ».
  • Par la suite, cette mention pourrait s’afficher en couleur pour alerter l’internaute.
Site en HTTP non sécurisé sur Chrome
Site en HTTP non sécurisé sur Chrome

Que faire avant de passer son site en HTTPS ?

Dans ce tutoriel, je vais vous montrer comment passer un blog WordPress en HTTPS.

Avant de commencer, je vous conseille de lire le tutoriel en entier. On vous a sûrement répété cette consigne à l’école en vous disant de ne pas commencer un exercice avant de l’avoir lu jusqu’au bout ! C’est particulièrement vrai pour le HTTPS. Ça reste une manipulation technique et si vous vous rendez compte au beau milieu du tutoriel que vous n’y comprenez rien et que vous êtes bloqué, c’est quand même dommage :)

Ensuite, je vous conseille de faire une sauvegarde de votre base de données comme avant toute modification importante de votre blog. Je vous recommande aussi de désactiver votre plugin de cache si vous en utilisez un.

Enfin, vous pouvez mettre votre site en maintenance en utilisant un plugin comme « Coming Soon Page & Maintenance Mode by SeedProd » si vous voulez effectuer vos modifications en toute tranquillité sans avoir peur que vos visiteurs tombent sur une page d’erreur.

1. Activer le SSL chez son hébergeur

La première étape de la manipulation ne se passe pas sur votre blog mais chez votre hébergeur. Dans le meilleur des cas, votre hébergeur vous propose un certificat SSL gratuit que vous pouvez activer vous-même depuis l’administration de votre compte. Les certificats ont une durée de validité limitée dans le temps et le gros avantage quand c’est votre hébergeur qui s’en occupe, c’est que vous n’avez pas besoin de le renouveler.

C’est le cas chez OVH, chez O2 Switch ou chez Infomaniak par exemple.

Sachez qu’il existe différents types de certificats avec des niveaux de sécurité variés. Sur No Tuxedo, je m’adresse à des blogueurs donc un certificat gratuit convient parfaitement mais si vous avez un site qui traite des données particulièrement confidentielles, il faut se tourner vers des formules beaucoup plus sécurisées (et payantes).

Mais j’imagine que si c’est votre cas, vous n’êtes pas en train de lire mon blog et vous avez un développeur web très compétent pour faire ce travail à votre place ;)

Chez o2switch, mon hébergeur

Je suis pour ma part, hébergée chez o2switch à l’heure où j’écris cet article et ce n’est pas bien compliqué d’activer le SSL, il suffit d’aller dans la rubrique « Let’s Encrypt™ SSL » et de cliquer sur « Générer » à côté du nom de domaine pour lequel vous voulez obtenir un certificat SSL. Épuisant, non ? :)

Générer un certificat SSL chez o2switch
Générer un certificat SSL chez o2switch

C’est quasi immédiat. Ce n’est pas toujours le cas et chez mon ancien hébergeur par exemple, on tombait au départ sur une page d’erreur :

Erreur : connexion pas privée
Erreur : connexion pas privée

Il fallait attendre quelques minutes pour que la page soit disponible en HTTPS (cf ci-dessous) ! Par conséquent, ne paniquez pas si l’effet n’est pas immédiat.

Site actif en HTTPS
Site actif en HTTPS

Le HTTPS chez OVH

Comme j’ai quelques sites sur OVH, j’en profite pour vous montrer où activer le SSL chez cet hébergeur. En réalité, OVH installe par défaut un certificat SSL sur tous ses hébergements web, il faut donc simplement vérifier qu’il est activé.

Vous vous connectez à votre manager puis vous allez dans la rubrique Hébergement et vous vérifiez que la ligne « Certificat SSL » indique bien « Oui ». Ça signifie que le SSL est disponible pour votre nom de domaine.

Certificat SSL chez OVH
Certificat SSL chez OVH

Allez ensuite dans le deuxième onglet (en restant sur cette même page), un onglet qui s’intitule « Multisite ». Là encore, la ligne « SSL » correspondant au nom de domaine doit afficher « Activé ».

SSL activé sur OVH
SSL activé sur OVH

Si ce n’est pas le cas, cliquez sur le crayon et cochez la case SSL puis cliquez sur « Regénérer le certificat SSL » sur la droite de la page.

Activer le SSL chez OVH
Activer le SSL chez OVH

Chez d’autres hébergeurs

Je vous conseille de consulter d’abord la rubrique d’aide de votre hébergeur afin de chercher s’il existe une procédure pour le passage au HTTPS.

Si vous ne trouvez aucune information, faites une recherche sur Google en précisant le nom de l’hébergeur : vous trouverez peut-être des personnes qui ont déjà effectué ce transfert et ont écrit des tutoriels sur le sujet. Si ce n’est pas le cas, tournez-vous vers l’hébergeur lui-même en lui demandant comment procéder.


2. Adapter votre blog WordPress au HTTPS

Lorsque le HTTPS est activé sur votre blog, vous allez constater un premier changement : si vous êtes connecté à votre administration, vous allez être déconnecté car l’URL de votre blog a changé. De même, si vous aviez mémorisé votre mot de passe dans votre navigateur, celui-ci vous demandera à nouveau s’il doit l’enregistrer.

Il est parfois nécessaire de modifier soi-même l’URL dans la rubrique Réglages > Général de WordPress, en indiquant l’URL en https comme ceci :

Changer l'URL par défaut de WordPress

A ce stade, votre site fonctionne plus ou moins donc la tentation est grande de se dire « Ça y est, c’est réglé ! Je m’arrête là ». En réalité, il reste pas mal de choses à faire pour éviter de pénaliser votre référencement et pour que votre site soit fonctionnel.

Quelles vérifications faire maintenant ?

Rediriger HTTP vers HTTPS

À ce stade, vous avez deux adresses qui coexistent : votre blog existe à la fois en HTTP et en HTTPS. Google peut être amené à considérer ça comme du contenu dupliqué étant donné que les mêmes informations se retrouvent accessibles à deux adresses différentes.

Pour ma part, une redirection des adresses en HTTP vers les adresses en HTTPS a été créée automatiquement (parce que j’ai un type de certificat particulier, avec HSTS). Si ce n’est pas votre cas, il faut ajouter quelques lignes au fichier .htaccess qui se trouve à la racine de votre blog sur votre FTP.

Vous n’avez peut-être pas l’habitude d’aller sur le FTP mais souvenez-vous, c’est là que vous avez mis les fichiers de WordPress lors de la première installation. Les codes pour se connecter au FTP doivent vous avoir été fournis par votre hébergeur et on s’y connecte en utilisant un client FTP (FileZilla ou WinSCP sont gratuits et très bien).

Faites un clic droit sur le fichier .htaccess puis choisissez l’option permettant de le modifier. Vous pouvez ajouter le code qui suit au tout début du fichier afin d’être sûr qu’il n’y aura aucun conflit entre ces instructions et le reste de votre fichier. Ce code est celui que conseille OVH pour une redirection de HTTP vers HTTPS :

RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.votredomaine.fr/$1 [R=301,L]

Bien sûr, remplacez « www.votredomaine.fr » par votre propre nom de domaine avec ou sans www selon ce que vous utilisez.

Vérifier qu’il n’y a plus de trace du HTTP

C’est peut-être l’étape qui vous donnera le plus de fil à retordre si vous n’êtes pas à l’aise avec la technique. Il faut comprendre que pour que le protocole HTTPS fonctionne, il faut que toutes les ressources dont le site a besoin pour fonctionner (les images, les feuilles de style, les polices d’écriture, etc.) soient en HTTPS.

Sinon, vous vous retrouvez avec des pages qui mélangent du HTTP et du HTTPS : c’est ce qu’on appelle du contenu mixte ou du « mixed content » et ces pages ne sont pas considérées comme sécurisées.

Elles afficheront alors une adresse en HTTPS mais le cadenas ne sera pas présent. J’ai eu le cas sur mon site et voilà à quoi ça ressemble :

Du HTTPS sans cadenas : le problème du contenu mixte
Du HTTPS sans cadenas : le problème du contenu mixte

Il existe un outil qui peut scanner votre site pour détecter la présence de contenu mixte : le SSL Check de Jitbit. En version gratuite, il ne scannera que 200 pages mais ce n’est pas un problème, vous pourrez au moins voir si vous avez ce souci ou non.

Détecter le mixed content sur votre site en HTTPS
Détecter le mixed content sur votre site en HTTPS

Nous allons agir à deux niveaux pour régler ce problème :

  • D’abord, passer en revue tout le contenu de la base de données pour remplacer les adresses en HTTP par des adresses en HTTPS.
  • Ensuite, si vous rencontrez encore des problèmes, ça peut venir directement de votre thème WordPress. Il faudra donc chercher ce qui est encore en HTTP dans les fichiers du thème.

Le HTTP dans la base de données

Nous allons devoir explorer la base de données de votre blog pour savoir si elle renferme encore quelques adresses en HTTP égarées, qui n’ont plus rien à faire là. Vous allez me dire : au secours, je n’ai jamais touché à une base de données !

Déjà, si vous avez écouté mes conseils, vous avez fait une sauvegarde de votre base de données. Dites-vous donc que s’il y a le moindre problème, il suffira de remettre en place cette sauvegarde pour récupérer votre blog. Ensuite, je ne vais pas vous envoyer manipuler votre base de données à la main.

On va utiliser un plugin WordPress pour ça : j’utilise le même depuis longtemps donc je vous le conseille aussi, il s’agit de Better Search Replace. Installez-le depuis le menu Extensions > Ajouter de WordPress et activez-le.

Le plugin Better Search Replace
Le plugin Better Search Replace

Allez ensuite dans le menu Outils > Better Search Replace.

Vous allez rechercher l’adresse de votre blog commençant par HTTP et la remplacer par la même adresse avec HTTPS au début. Ne mettez pas de slash à la fin. Et sélectionnez toutes les tables de votre base de données (chaque table stocke un type précis d’information : les commentaires de votre blog, le contenu des posts, etc).

WordPress conseille de ne jamais « remplacer les GUID » donc ne cochez pas cette case à moins de savoir exactement ce que vous faites.

Pour ne prendre aucun risque et éviter les bêtises dans votre base de données, nous allons dans un premier temps faire un simple test en cochant la case « Juste faire un test ? » (elle est normalement cochée par défaut).

Rechercher et remplacer une expression dans la base de données
Rechercher et remplacer une expression dans la base de données

Cliquez ensuite sur « Rechercher/Remplacer ». Le plugin Better Search Replace va vous indiquer combien de changements il aurait pu effectuer dans votre base de données mais ne va pas les faire pour de vrai. C’est le moment de vérifier que vous avez bien orthographié votre nom de domaine.

Dans mon cas, il a tout de même trouvé 8780 endroits à mettre à jour ! (« 8780 chaînes trouvées qui peuvent être mises à jour »). Il indique aussi que « 0 modifications auraient pu être apportées », tout simplement parce que nous sommes en mode Test et que le plugin ne peut donc pas modifier quoi que ce soit.

Better Search Replace en mode test
Better Search Replace en mode test

Si tout vous paraît normal, vous pouvez refaire la manipulation en décochant cette fois-ci la case « Juste faire un test ? »

Les changements se font très rapidement et vous risquez à nouveau d’être déconnecté de l’administration. Ne vous inquiétez pas, reconnectez-vous simplement et vous devriez alors voir s’afficher sur la page du plugin le nombre de modifications effectuées. Je pense que quand vous voyez ces chiffres, vous comprenez mieux pourquoi il n’est pas question de le faire à la main !

Corriger votre thème WordPress si nécessaire

Si l’absence de cadenas persiste sur certaines pages, ça laisse entendre qu’il reste du contenu mixte. Le problème peut provenir, dans certains cas, de la publicité que vous insérez sur le site (ça arrive parfois sur mon propre blog !). Mais la plupart du temps, il provient de l’autre composante essentielle de WordPress : les fichiers.

Votre thème peut comporter certains liens pour charger des ressources (polices d’écriture, etc), qui sont écrits directement dans le code et qui sont en HTTP. Pour les voir, vous pouvez afficher le code source de la page (tous les navigateurs Web vous permettent de le faire) et rechercher le terme http://. Vous verrez alors les liens encore présents en HTTP.

Dans mon cas, c’est entièrement de ma faute car c’est moi qui ai créé le thème :) Mais ça peut aussi vous arriver si vous avez acheté votre thème ou installé un thème gratuit sur votre blog. Vous avez deux options : soit vous vous amusez à ouvrir chaque fichier de votre thème pour voir s’il comporte un lien en HTTP, soit vous réglez le problème en bloc.

Je suis d’avis qu’il faut parfois être fainéant :) J’ai donc choisi la deuxième méthode. J’ai tout simplement téléchargé le dossier entier du thème sur le bureau de mon ordinateur. Sur le FTP, on va dans wp-content > themes… et on récupère le dossier entier du thème. Je vous conseille d’en faire une copie. Ainsi, s’il y a le moindre problème, vous aurez une sauvegarde sous la main.

Télécharger le dossier de son thème WordPress
Télécharger le dossier de son thème WordPress

Ensuite, on va utiliser un logiciel génial pour trouver en un clic tous les liens en HTTP. Je l’utilise depuis sa création et il est gratuit : TextCrawler.

Dans un premier temps, je commence par changer toutes les URL de mon nom de domaine présentes dans mon thème de HTTP vers HTTPS. On sélectionne le dossier du thème, le type de fichier à vérifier (php).

Modifier le dossier d'un thème en bloc
Modifier le dossier d’un thème en bloc

Puis on entre les noms à rechercher/remplacer dans les champs « Find » et « Replace ».

Remplacer l'URL en HTTP par celle en HTTPS
Remplacer l’URL en HTTP par celle en HTTPS

Mais il reste encore un problème : le thème fait des liens en HTTP vers d’autres ressources extérieures à mon propre site.

Si vous êtes dans ce cas, TextCrawler peut vous fournir une liste de toutes les adresses en HTTP qui restent dans vos fichiers, il suffit de chercher le terme http:// dans le dossier du thème (vous remplissez juste le champ « Find » et laissez le champ « Replace » vide.

Chercher toutes les URL en HTTP
Chercher toutes les URL en HTTP

Ensuite, il suffit de faire un double-clic sur le nom du fichier pour l’ouvrir avec un éditeur de texte et remplacer l’adresse HTTP par une adresse en HTTPS si elle existe.

Trouver toutes les adresses en HTTP
Trouver toutes les adresses en HTTP

Il se trouve que certains sites n’existent pas en HTTPS. Dans ce cas :

  • Soit il faut accepter que certaines pages de votre site auront du contenu mixte (la page ne sera donc pas pleinement sécurisée) ;
  • Soit il faut trouver des solutions de contournement : un autre lien plus sécurisé, etc.

Un simple lien externe n’empêchera pas la page d’être correctement sécurisée : par exemple, No Tuxedo fait un lien vers Copyright France qui n’existe pas en HTTPS à ce jour et ça n’empêche pas la page de passer les tests de sécurité avec succès. Le plus important, c’est de corriger les liens qui chargent des ressources sur le site (images, frames, scripts, etc). Le reste est facultatif.

Une fois que tous les changements sont faits, vous pouvez remettre en ligne le dossier du thème ainsi modifié à la place de l’ancien.

Je peux maintenant réactualiser la page qui présentait un contenu mixte et comme vous pouvez le voir, le petit cadenas vert apparaît bien à côté du HTTPS. Le problème est résolu et la page est maintenant correctement sécurisée !

Page HTTPS correctement sécurisée
Page HTTPS correctement sécurisée

3. A faire après le passage en HTTPS

Là, vous pensiez peut-être pouvoir vous reposer mais il nous reste encore quelque détails à régler !

Le fichier robots.txt

Si vous avez un fichier robots.txt à la racine de votre site qui comporte un lien vers un sitemap, pensez à modifier ce lien pour le mettre lui aussi en HTTPS.

Les redirections

Si vous avez mis en place des redirections vers votre blog, vérifiez qu’elles dirigent aussi les visiteurs vers la version en HTTPS. Par exemple, mes articles du blog Allée des Curiosités se trouvaient au départ sur no Tuxedo. J’ai donc des redirections depuis les anciennes adresses sur No Tuxedo vers les nouvelles adresses sur Allée des Curiosités. Et quand on regarde de plus près… elles sont toutes en HTTP !

Redirections en HTTP
Redirections en HTTP

Ça veut dire qu’un visiteur va d’abord être dirigé vers la version en HTTP puis redirigé une nouvelle fois vers la version en HTTPS. La redirection multiple est une pratique à éviter sur le web parce que ça ralentit la navigation.

Vous commencez à connaître le principe comme des pros, on remplace tout simplement l’adresse du site en HTTP par son équivalent en HTTPS :)

Google AdSense

Si vous affichez des annonces publicitaires Google AdSense sur votre site, vérifiez que le code des annonces comporte bien des liens compatibles avec HTTPS (plus d’informations sur le site de Google).

Il n’y a aucun problème pour utiliser AdSense avec HTTPS : « les éditeurs qui possèdent des sites sécurisés par le biais du protocole HTTPS peuvent utiliser le code d’annonce AdSense pour diffuser des annonces conformes à la norme SSL ».

Il y a encore deux ans, Google déconseillait aux éditeurs AdSense de migrer leur site vers HTTPS. Certains ont d’ailleurs subi des baisses de revenus conséquentes en effectuant cette migration. J’ai l’impression que ce n’est plus le cas et sur mes sites qui sont passés au HTTPS, je n’ai pas constaté de baisse particulière de revenus, c’est même plutôt l’inverse.

Google Search Console

Vous avez peut-être inscrit votre blog sur Google Search Console pour suivre votre référencement et le comportement de Google sur vos pages de manière plus fine. Là aussi, il va falloir signaler à l’outil que votre site a changé d’adresse.

Google Search Console va traiter votre site en HTTPS comme s’il s’agissait d’un nouveau site. Vous allez donc devoir à nouveau ajouter votre site, en version HTTPS cette fois-ci.

Ça vous permettra de suivre l’indexation par Google de vos contenus en HTTPS au fil des semaines.

Ajouter un site sur Google Search Console
Ajouter un site sur Google Search Console

Google Analytics

Houston, nous avons (encore) un problème ! Google Analytics n’est pas au courant que le site a changé d’URL.

C’est très facile à modifier : vous allez dans l’administration de Google Analytics.

Administration de Google Analytics
Administration de Google Analytics

Dans la colonne du milieu, vous choisissez « Modifier la propriété » et vous n’avez plus qu’à choisir HTTPS dans le petit menu déroulant à votre disposition.

Signaler une URL en HTTPS à Google Analytics
Signaler une URL en HTTPS à Google Analytics

Le gros avantage de cette méthode, c’est que vous continuerez à accéder au même endroit à toutes vos données malgré le changement d’URL. Vous garderez ainsi la continuité de vos statistiques !

Pendant qu’on y est, nous allons refaire l’association entre Google Analytics et Google Search Console puisque ça se passe sur la même page ! Descendez tout en bas et cliquez sur le bouton « Paramétrer la Search Console » puis cliquez sur « Modifier » à côté de l’URL.

Associer Google Analytics à Google Search Console
Associer Google Analytics à Google Search Console

Associez votre site à l’URL en HTTPS. A ce moment précis, Google Analytics sera associé à l’adresse actuelle du site et plus à l’ancienne adresse, vous devriez recevoir deux mails pour vous confirmer ces changements.

Choisir l'URL en HTTPS
Choisir l’URL en HTTPS

Et plus si affinités ?

Chaque site a ses particularités et vous utilisez peut-être d’autres services qui exigent de mettre à jour l’URL de votre blog. Pensez-y au fur et à mesure !


4. Tester son certificat SSL et remettre le blog en ligne

Allez sur le test SSL Labs et entrez l’adresse de votre blog. Si tout s’est bien passé et que votre site est considéré comme sécurisé, voici le genre de joli score que vous obtiendrez :

Migration en HTTPS réussie
Migration en HTTPS réussie

Pour finaliser nos modifications, il ne reste plus qu’à désinstaller le plugin Better Search Replace dont nous n’avons plus besoin, à désactiver le mode maintenance si vous aviez choisi de mettre votre site en maintenance. Vous pouvez enfin réactiver votre éventuel plugin de cache.

Je vous conseille également de créer une annotation sur Google Analytics afin de garder en mémoire la date à laquelle vous avez effectué le passage au HTTPS. En effet, ça reste un changement important dans la vie d’un site et vous pouvez être confronté à une perte temporaire de trafic.

J’ai entendu plusieurs webmasters dire qu’ils avaient perdu du trafic suite à ce changement (10 à 20% en moyenne). Créer une annotation vous permettra de faire un lien entre cette baisse et le passage au HTTPS. La baisse est normalement temporaire (elle peut durer 2-3 mois).

Créer une annotation sur Google Analytics
Créer une annotation sur Google Analytics

Ultimes questions et réflexions

Vous vous demandez peut-être combien de temps ça prend de faire toutes ces manipulations. Je dirais que ça dépend de votre aisance avec la technique et de l’ampleur des problèmes rencontrés (si vous avez beaucoup d’adresses en HTTP à corriger à l’intérieur de votre thème, ça peut être un peu plus long).

Pour ma part, j’ai mis très précisément 1h25 à effectuer l’ensemble des étapes décrites dans le tutoriel… et à écrire le tutoriel au fur et à mesure ! Pour No Tuxedo (que j’ai passé en HTTPS sans écrire un tutoriel en même temps), il m’a fallu 20 minutes tout compris. Si vous êtes à l’aise avec la technique (et que vous n’écrivez pas de tutoriel en même temps), c’est donc très court.

Le HTTPS est-il vraiment révolutionnaire ?

Concrètement, je ne constate pas aujourd’hui de changement significatif sur mes sites qui sont passés au HTTPS. J’ai vécu comme beaucoup une perte temporaire de trafic, qui a duré un mois et demi environ (-10% de trafic). Je m’attends donc à la même chose pour mon blog culture qui m’a servi de cobaye dans cet article.

J’ai constaté que j’avais perdu des places sur Google sur certaines requêtes, en particulier sur des sujets avec une forte concurrence. J’ai aujourd’hui retrouvé mon positionnement initial.

Sur certains sites, j’ai eu aussi quelques problèmes avec des plugins qui géraient mal le HTTPS mais à l’heure où je mets à jour ce tutoriel, tout est rentré dans l’ordre. De même, depuis mon passage au HTTPS, le site Hellocoton ne fonctionne plus correctement avec mon blog (problème d’affichage des images, bouton « J’aime » qui ne marche plus, etc).

Faut-il passer au HTTPS ?

Ce qu’il faut retenir, c’est que le HTTPS est une pratique recommandée, poussée par les grands acteurs du web au point que ça devient une norme…

  • 1. Pour le référencement – Google a indiqué que c’était un critère de référencement : il a à ce jour très peu de poids donc la plupart des sites ne voient pas d’impact positif particulier en passant au HTTPS. Mais Google a clairement exprimé son intention « d’encourager tous les propriétaires de sites à passer du HTTP au HTTPS ».
  • 2. Parce que sur certaines thématiques, c’est tout simplement indispensable pour rassurer vos visiteurs sur votre sérieux : je pense notamment aux sites e-commerce.
  • 3. Parce que ça fait partie des évolutions majeures du web que tout le monde adopte peu à peu : si vous regardez les plus grands sites, vous constaterez que la plupart d’entre eux sont passés progressivement au HTTPS (WordPress.com, Blogspot.com, etc).

Malgré tous ces aspects positifs, il faut être conscient que ce n’est pas un changement anodin. Vous modifiez l’adresse de votre site donc ça entraîne des redirections, ça remet à zéro les compteurs de vos boutons de partage, ça implique une certaine technicité avec laquelle tout le monde n’est pas à l’aise… Je peux donc comprendre ceux qui souhaitent encore attendre, en particulier quand il s’agit d’un blog de contenu sans dimension e-commerce.

J’espère que cet article vous aidera si vous décidez de sauter le pas !


Poster un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Lorsque vous postez un commentaire sur le blog, le nom indiqué dans la case "Prénom" ainsi que votre message apparaîtront publiquement. Votre adresse e-mail restera confidentielle.

327 commentaires sur “Comment passer son blog WordPress en HTTPS sans tout casser ?

  • Florian

    Merci beaucoup pour ce tutoriel, mon blog est désormais en HTTPS ! Merci :-)

    Répondre à Florian
  • Julie S.

    Bonsoir Marlène, ton article a été mon phare dans la tempête… Un énorme merci ! J’ai pris des sueurs froides cet après-midi pensant que je n’y arriverai jamais… Et grâce à ton tutoriel, tout fonctionne. Gratitude, gratitude, gratitude… Je suis juste pas trop sûre pour refaire l’association entre Google Analytics et Google Search Console. Quand je clique sur le bouton “Paramétrer la Search Console”, puis sur “Modifier” à côté de l’URL. J’ai juste la possibilité de supprimer l’url en http. C’est normal ? Je n’ai pas osé cliquer sur « Supprimer ». Je dois supprimer et remplacer par l’adresse en https ? Merci par avance.

    Répondre à Julie
    • Marlène

      Hello Julie, merci pour ton message :) Pour la Search Console, je te conseille de créer une seconde propriété car on ne peut pas modifier l’URL (contrairement à Google Analytics où on change simplement l’adresse en conservant ses données). Quand tu constateras qu’il n’y a plus aucune donnée sur le compte Search Console en http et que tu auras toutes les données collectées sur le compte en https, tu pourras supprimer le vieux compte.

      Répondre à Marlène
  • Ophélie G.

    Salut Marlène !

    Un grand merci pour ce tuto, avec toi, tout a l’air toujours plus simple.

    J’ai néanmoins un souci. J’ai bien suivi toutes les étapes que tu préconises, mais je rencontre le problème suivant. Dans la partie Réglages généraux, l’adresse de mon blog est restée coincée en http. Et le truc, c’est que les deux cases « Adresse web de WordPress (URL) » et « Adresse web du site (URL) » sont grisées – impossible de changer quoi que ce soit donc. Sauf que, quand je rédige un nouvel article, le permalien a une adresse en http:// que je ne peux modifier. Du coup, impossible d’avoir un aperçu de l’article en question avant la publication… Aurais-tu une idée de la source du problème ? Mon blog est hébergé par OVH.

    Je ne sais pas si je suis très claire dans mes explications.. x) Merci d’avance ! :D xx

    Répondre à Ophélie
    • Marlène

      Hello, je vois bien ton problème, il me semble que les champs sont grisés quand tu as utilisé une autre méthode pour définir les URLs du site. Par exemple, si tu as inséré dans ton fichier wp-config.php ces lignes :

      define('WP_HOME','http://example.com');
      define('WP_SITEURL','http://example.com');

      Ça bloque la possibilité de modifier les URLs dans le menu Réglages.

      Répondre à Marlène
    • Ophélie G.

      Merci de m’avoir répondu si rapidement. Il y a en effet ces lignes dans le fichier wp-config.php. J’ai essayé de les enlever, puis de changer avec https, mais ça ne fonctionne pas du tout.. A quoi servent ces lignes ? #jesuisunenoob :D

      Répondre à Ophélie
    • Ophélie G.

      Oublie ce que j’ai dit, c’est bon ! Mille fois mercis <3

      Répondre à Ophélie
  • Danilo

    Bonjour Marlène,

    Merci pour cet article très complet !!!

    J’ai réussi ma migration vers le https tant redoutée. J’ai eu quelques soucis avec le contenu dupliqué (du coup l’https n’était pas en vert) mais c’est réglé.

    J’ai juste deux questions :

    1) J’ai bien un fichier robots.txt que j’ai trouvé via Yoast SEO, mais il ne contient pas ma sitemap, je ne dois rien faire dans ce cas ?

    2) J’ai bien enregistré une nouvelle propriété dans google search console (https://www.daniloduchesnes.com) et je l’ai lié à mon Google Analytics. C’était très bien spécifié dans ton article (et pas dans d’autres). J’ai aussi envoyé mes sitemaps pour cette propriété.
    Mais est-ce que pour autant je dois supprimer l’ancienne propriété (http://www.daniloduchesnes.com) ? C’est quelque chose que je ne comprends pas. Comment Google traite ces 2 propriétés ?

    Mon site a seulement 4 mois.

    Répondre à Danilo
    • Marlène

      Hello, idéalement le lien du sitemap doit figurer dans le robots.txt. A défaut, on peut fournir le lien du sitemap à Google via Google Search Console.

      Concernant la gestion des deux URLs dans Search Console, c’est plutôt un choix personnel : tu peux soit laisser les deux jusqu’à ne plus avoir de data qui remonte sur l’ancienne URL, soit créer un ensemble de propriétés (en rassemblant dans cet ensemble les deux URLs pour une visualisation plus facile), soit supprimer l’ancienne propriété si tu n’as pas d’intérêt à visualiser la data.

      Pour ma part j’avais créé un ensemble et au bout de 90 jours, j’ai supprimé les anciennes URLs car il n’y avait plus rien d’intéressant qui remontait.

      Répondre à Marlène
    • Danilo

      Bonjour,

      Merci pour tes réponses, je vais retirer la propriété http bientôt alors ! Merci

      Répondre à Danilo
  • Orianna

    MERCI !!! Je procrastinais sur le passage en https depuis des mois… Quand je suis tombée sur cet article, j’ai su que j’allais enfin passer le cap. Et je l’ai fait avec fluidité. Aucune étape n’est oubliée dans le tuto, même pas la réactivation du plugin de cache (que j’aurais oublié sinon !).
    C’est vraiment top !!
    J’ai juste un peu galéré pour refaire l’association entre Google Analytics et Google Search Console, là j’ai demandé de l’aide à un ami.

    Répondre à Orianna
  • Deborah

    Merci pour cet article très complet , grace à vous j’ai réussie !

    Répondre à Deborah
  • Votre carnet de voyage

    Un grand merci pour ce super tutoriel ! J’ai découvert le site en effectuant justement une recherche pour passer mon blog de http en https, et c’est une mine d’informations.
    Ce tutoriel est particulièrement bien fait, clair, précis ce qu’il faut, sans noyer l’utilisateur débutant. A travers les différentes étapes, j’ai pu faire la manipulation facilement.
    Encore un grand merci !

    Répondre à Votre
    • Marlène

      Mais de rien, je suis très contente que ça ait pu t’aider !

      Répondre à Marlène
    • Bruno

      Merci beaucoup Marlène pour ce tutoriel bien explicite et bien détaillé qui m’a permis de passer un site wordpress en https. J’en ai encore 2 autres à faire que je vais pouvoir passer avec plus de confiance en https grâce à ce que tu a partagé. Bravo pour ton désir de transmettre ce que tu sais pour que d’autres en bénéficient aussi.
      C’est vrai que le petit cadenas vert ça rassure plus les visiteurs. Merci encore et passe un bon week-end

      Répondre à Bruno
    • Marlène

      Merci Bruno et bon dimanche !

      Répondre à Marlène
  • Maxime

    Article vraiment très intéressant. J’étais bloqué depuis quelques temps sur la redirection en HTTPS malgré plusieurs forums et plusieurs aides extérieures. Cette article m’a permis d’enfin passer mon site en HTTPS et ce grâce à une phrase clé:

    « Vous pouvez ajouter le code au tout début du fichier afin d’être sûr qu’il n’y aura aucun conflit entre ces instructions et le reste de votre fichier »

    C’était tout bête mais on y pense moins quand on développe… Merci encore !

    Répondre à Maxime
    • Marlène

      Quand on se fait avoir une fois, on retient l’astuce ensuite ;) Merci pour le commentaire !

      Répondre à Marlène
  • Guillaume

    Merci pour cet article détaillé !
    J’ai suivi à la lettre les procédures et cela fonctionne correctement chez moi.
    Après une heure de bidouille technique, je peux maintenant vous remercier pour ce post.

    Répondre à Guillaume
  • Armelle

    Encore une fois, un grand merci pour ces tutoriels ultra pédagogiques, exhaustifs et de qualité ! Je sais qu’en cas de problème avec mon blog (c-a-d, environ toutes les semaines :-), je peux me diriger les yeux fermés vers ton site ! Une totale confiance ! Un grand bravo à toi et merci de nous faire partager tes connaissances :-)

    Répondre à Armelle
  • Tahiti Le Blog

    Bonjour,
    En passant son site en HTTPS, est-ce que les liens en HTTP qui pointent vers lui, son encore valides et indexés par Google?
    Fabrice

    Répondre à Tahiti
    • Marlène

      Hello, si tu mets en place une redirection de tes liens en http vers les liens en https, Google va prendre en compte le changement sans problème. C’est progressif, en fonction de la fréquence à laquelle le robot Google passe sur tes pages. Quant aux backlinks effectués depuis des sites tiers, le trafic sera également redirigé.

      Répondre à Marlène
  • Véro

    Olá Marlène!
    J’ai enfin pris le temps pour passer mon site en https. Et je n’ai eu aucun problème grâce à ce pas à pas bien détaillé et compréhensible. Merci beaucoup pour ce tuto!

    Répondre à Véro
  • Kuzey

    Bonjour Marlène,
    premièrement, merci beaucoup pour le tuto.
    Une question concernant la redirection et le code à insérer dans le fichier htaccess.
    J’ai voulu inclure les quelques lignes comme indiqué dans ton article (comme on peut également trouver sur d’autres sites d’aide sur le même sujet) et ça a fait planter mon site. Donc j’ai supprimé l’ajout.
    Ensuite, j’ai contacté le support de mon hébergeur (nuxit) qui m’a dit qu’il n’y avait pas besoin d’ajouter quoique ce soit et que la redirection fonctionnait parfaitement.
    C’est vrai qu’actuellement, la redirection se passe bien.
    Dois-je changer quelque chose au fichier htaccess ou non ?
    Merci d’avance.

    Répondre à Kuzey
    • Marlène

      Bonjour, j’en parle dans l’article : il faut créer une redirection uniquement si celle-ci n’est pas faite par défaut. Les certificats Nuxit intègrent le HSTS qui prévoit déjà une redirection donc ce n’est pas utile d’en faire une dans le htaccess, il y aura effectivement une erreur « Too many redirects » :)

      Répondre à Marlène
    • Kuzey

      Effectivement, je n’avais pas été complètement attentif en lisant l’article…
      Donc tout va bien concernant la redirection du blog.
      Merci et bon dimanche.

      Répondre à Kuzey
  • Mylene

    Vraiment merci !!! Depuis plusieurs semaines je travaille dessus et je tombe sur ton article et là le bonheur. Je pensais que je n’allais pas m’en sortir et grâce à ton tuto tout c’est passé nickel. Je suis très fière d’avoir obtenu mon A+ à la fin . Un grand merci et ton site va vite devenir indispensable.

    Répondre à Mylene
    • Marlène

      Bravo, c’est mieux de s’y mettre en plus car les avertissements liés au https dans les navigateurs sont de plus en plus nombreux, ça devient un peu incontournable.

      Répondre à Marlène
  • Lubiie

    Merciiiiiiiiiiiiii Marlène pour ce super tuto ! Il est clair et efficace car en suivant le pas à pas, j’ai réussi à obtenir le précieux cadenas vert et je suis plutôt nulle dans ce genre de discipline et j’y suis arrivée.
    juste merci

    Répondre à Lubiie
    • Marlène

      Bien joué ! L’avantage c’est qu’on le fait une fois pour toutes et qu’on est tranquille ensuite !

      Répondre à Marlène
  • castman

    Super tutoriel.
    Merci pour votre travail qui m’a permis de finaliser le passage de mon site http en https que j’avais débuté, il y a plus de 2 mois et en le lisant aujourd’hui, j’ai enfin finalisé la transition, même si j’avais le A+ avec SSL Report, il restait des liens etc. en http.
    C’est cool, je n’ai même pas besoin de faire un tutoriel sur le sujet, je parlerais prochainement de votre travail avec un lien vers votre article, sur mon site.
    Merci encore…

    Répondre à castman
    • Marlène

      Contente que le tuto ait pu rendre service et merci pour le message :)

      Répondre à Marlène
  • Jak

    Salut,

    Tuto suivi à lettre, rien à redire. Impeccable.

    Site maintenant sécurisé.

    Merci beaucoup

    Répondre à Jak
  • PATRICE INFORMATIQUE

    Un grand merci pour ce tuto qui m’a fait gagner un temps précieux

    Merci
    Patrice

    Répondre à PATRICE
  • Laura HANTZ

    Coucou !

    Merci pour ce tuto parfaitement détaillé. Je suis une quiche niveau technique, du coup, je galère comme pas permis !

    J’ai un souci au niveau de Search Console, dans le menu déroulant j’ai bien cliqué sur https:// mais pour search console, ça reste toujours en http:// comment faire ?

    Merci beaucoup !

    Répondre à Laura
    • Laura HANTZ

      Ha j’ai trouvé la solution, j’avais oublier de faire l’étape « Ajouter un site »

      Répondre à Laura
    • Laura HANTZ

      Du coup, j’ai un A et je suis dans le vert.
      Par contre, mon plugin pour avoir mes photos Instagram en bas de mon blog ne fonctionne plus, il devient payant en https, en connaitrait tu un de fiable qui fonctionne bien ?

      Je rencontre également un souci avec mes boutons de partage sur mes articles, Facebook n’apparaît plus et Hellocoton reste inlassablement en « chargement ». Une idée ?

      Merci et belle soirée,

      Répondre à Laura
    • Marlène

      Hello, alors, déjà, bien joué pour le passage en https !

      J’utilisais le plugin Instagram Feed sur mon blog voyage et il fonctionnait sans problème en https, une amie à moi l’utilise toujours sur son site https donc pas de souci a priori. Pour Hellocoton, leur site a beaucoup de mal à gérer le https, j’ai retiré les boutons « J’aime » de mes articles car ils ne fonctionnent hélas pas du tout en https. Il y avait aussi un problème sur les images au départ (elles ne se partageaient plus sur Hellocoton), que l’équipe Hellocoton a résolu entre temps… mais leur site a besoin d’évoluer techniquement sur ce point.

      Concernant les boutons de partage enfin, pour ma part je vois bien le bouton Facebook chez toi mais il met plus longtemps à s’afficher que les autres, ça arrive parfois et je ne pense pas qu’il y ait un lien avec le https.

      Répondre à Marlène
    • Laura HANTZ

      Bonsoir Marlène,

      Merci beaucoup pour ta réponse.
      Je pense du coup retirer le bouton « J’aime » d’Hellocoton, car il ne sert plus à rien pour le moment.

      J’espère avoir bien procéder pour mettre ne place le HTTPS. Je n’ai pas fait la partie avec le thème, car je ne me sens carrément pas à l’aise avec. Apparemment je fais appel à des images extérieures, par exemple, sur ma page d’accueil, mais ça, je ne sais pas comment modifier, c’est trop complexe pour moi ha ha.

      Belle soirée,

      Laura,

      Répondre à Laura
  • grisélidis

    Hello !
    Tiens tite question. J’ai remarqué que dans les fichiers thèmes, ce sont parfois les fichiers de Fonts/polices qui remontent en mixed content. Notamment avec le constructeur de pages siteorigin. T’as déjà croisé ce pb ?

    Répondre à grisélidis
    • Marlène

      Je pense que c’est lié au fait que beaucoup de thèmes mettent ces liens « en dur » avec un préfixe http ou https, d’ailleurs j’avais fait la même erreur sur mon propre thème.

      On peut éviter le problème en enlevant tout préfixe (c’est aux créateurs de thèmes de faire ce travail !) et en remplaçant par un double slash. On écrit par exemple //fonts.googleapis.com au lieu de spécifier un protocole précis comme https://fonts.googleapis.com.

      Répondre à Marlène
  • Flobogo

    Bonjour, et MERCI pour ce tuto très complet !
    J’ai consulté 3 autres tutos (bien faits aussi, et sur des sites d’aide connus pour WordPress), mais le tien est le seul où j’ai trouvé le conseil pour « checker » le thème qui m’a été bien utile.
    Globalement, tout s’est bien passé, il me reste encore quelques pages avec du contenu mixte, mais je sais à peu près pourquoi, et j’affinerai dans les prochains jours. Pareil pour les outils Google Search, je ne suis pas sûre d’avoir tout bien fait, mais j’y reviendrai dans quelques jours.
    Ça fait déjà plaisir de voir le petit cadenas vert sur l’accueil et la plupart des pages.
    Parce qu’on est quand même fortement poussé à implanter ce fameux protocole HTTPS : depuis quelques jours, la version 52 de Firefox m’affichait un message rien que sur ma page de login, pour dire que la connexion n’est pas sécurisée, c’était un peu agaçant. C’est ce qui m’a poussée à y m’y mettre, alors que j’ai un site non-commercial (site informatif sur la Bourgogne)
    Merci encore, pour tous vos tutos très clairs.

    Répondre à Flobogo
    • Marlène

      Oui, j’ai constaté ça aussi et c’est apparu très récemment sur les formulaires…

      Pour le contenu mixte, on ne peut pas toujours tout résoudre. Par exemple, je teste en ce moment sur deux de mes blogs une régie publicitaire, pour peut-être en parler sur No Tuxedo ensuite… et beaucoup de publicités sont chargées en http. L’entreprise m’a expliqué que tout le monde était loin d’être passé au HTTPS chez les professionnels de la publicité en ligne.

      Répondre à Marlène
  • lemondedejustine

    Bonjour Marlène, j’ai suivi le tuto puis je me suis embrouillée du coup ça faisait 5 h que je cherchais une solution, j’ai trouvé une super vidéo , il existe un plugin maintenant qui fait ça en 2 minutes, voici le lien ça pourrait être utile pour les personnes qui voudraient passer le site en https : https://www.youtube.com/watch?v=asNSYdH9Grs

    Mais en tout cas tes explications étaient très claires c’était au niveau de la modification des liens http dans le dossier thème où j’ai pas du bien comprendre et faire des conneries.

    Bonne soirée :)

    Répondre à lemondedejustine
    • Marlène

      Oui, je connais ce plugin ! Je n’ai pas eu l’occasion de le tester mais il a l’air de couvrir pas mal d’étapes. Il faut ensuite penser à tout l’aspect Google Analytics/Google Search Console… et je ne sais pas ce qui se passe si on le désactive par la suite (le blog reste-t-il en HTTPS ou revient-il à son « état initial » ?).

      Répondre à Marlène
  • Adélie

    Salut Marlène, super tuto!
    Mais j’ai quand même tout cassé haha!
    Le site s’affiche bien en https et en cela pas de soucis.
    Le problème c’est que je ne peux plus rien modifier sur mon blog/site, je ne peux plus modifier les articles en leur rajoutant des images car quand elles chargent, un message d’erreur qui me signale qu’elles sont en http m’empêche de les charger et des les mettre dans les articles. Je ne peux plus modifier les menus, les widgets, … je ne peux plus personnaliser le thème depuis le tableau de bord.
    Je suis chez Nuxit, donc comme indiqué dans ton tuto j’ai coché la case ssl et à partir de la plus rien ne marche.
    Si tu as des idées de solutions je suis preneuse!
    En tout cas merci à tous tes articles c’est grace à ça que j’ai sauté le pas pour migrer mon blog vers wordpress.org! Alors merci beaucoup!

    Répondre à Adélie
    • Marlène

      Hello, ton commentaire était passé en spam. As-tu bien changé toutes les URL de ta base de données en https ? Ainsi que les URL de la rubrique Réglages > Général ? Te connectes-tu bien à ton administration depuis l’URL en https (là par exemple, je vois que tu mets encore le lien en http dans ton commentaire) ? Normalement, quand tu mets en ligne une image, c’est un fichier (et pas une URL) donc je ne comprends pas bien l’origine du message d’erreur.

      Répondre à Marlène
  • Manon

    Bonjour Marlène,
    Nous avions échangé sur Twitter (je n’arrivais pas à accéder à mon administrateur après avoir mis en place la redirection dans le fichier .htaccess), du coup je reviens vers toi pour te faire un retour car j’ai finalement réussi à passer mon site en HTTPS !
    Avant de mettre en place la redirection, j’ai d’abord dû mettre l’adresse de mon site en ‘https’ dans « Réglages > Général », pour pouvoir accéder à mon administrateur en ‘https’, et seulement après mettre en place la redirection. Je me suis appuyée sur cet autre tutoriel : http://bit.ly/2l5dOLD
    Je me suis dis que j’allais t’en tenir informée, si tu prévois de faire une mise à jour de ton paragraphe « Rediriger HTTP vers HTTPS ».
    Je te souhaite un excellent week-end !

    Répondre à Manon
    • Marlène

      Hello, merci pour l’info. Je ne pense pas mettre à jour le paragraphe car sur les 8 sites que j’ai passés en HTTPS jusqu’à maintenant, chez 3 hébergeurs différents, je n’ai pas rencontré le même problème que celui dont tu m’as parlé. Je ne peux donc pas en faire un « cas général » ;) En revanche, si quelqu’un signale cette difficulté, je le renverrai vers ton commentaire.

      Répondre à Marlène
  • Maureen

    Salut Marlène,

    Grâce à ton tuto, j’ai enfin décidé de m’y mettre… et j’ai un souci lorsque j’essaie de rediriger le http vers le https depuis le .htaccess :/ En gros, voici ce qui est sur mon .htaccess :

    RewriteEngine On
    RewriteCond %{SERVER_PORT} 80
    RewriteRule ^(.*)$ https://www.maureen-coppens.fr/$1 [R,L]

    # BEGIN WordPress

    RewriteEngine On
    RewriteBase /
    RewriteRule ^index.php$ – [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]

    # END WordPress

    Le problème est le suivant : quand je vais ensuite sur https://www.maureen-coppens.fr, j’ai ce message qui apparait :

    « La page ne fonctionne pas
    http://www.maureen-coppens.fr vous a redirigé à de trop nombreuses reprises.
    ERR_TOO_MANY_REDIRECTS »

    J’ai cherché sur le web, d’autres personnes ont déjà eu ce souci et il suffit de changer la commande. J’en ai testé plusieurs, mais le problème reste entier :/

    Merci d’avance si tu as une idée de où ça peut venir, je m’arrache les cheveux :p

    Répondre à Maureen
    • Marlène

      Hey :) Tu fais simplement partie des gens qui ont un certificat avec HSTS… et le HSTS inclut déjà une redirection de http vers https donc forcément, quand tu ajoutes une redirection dans ton htaccess, elle est de trop donc ça plante. Tu n’as donc rien à faire en termes de redirection.

      Répondre à Marlène
    • Maureen

      Haha oui je l’ai compris après coup ! La manoeuvre est encore simplifiée ;)

      Répondre à Maureen
  • Isabelle

    Hé bien un grand merci!! Tout s’est parfaitement déroulé! je suis juste allée chercher un bout de code sur WP Marmite car celui donné par OVH n’a pas fonctionné. Merci aussi pour les outils proposés!

    Répondre à Isabelle
  • Pierre

    Bonsoir Marlène

    Cet article m’a permis de sécuriser mon site comme je le voulais et en suivant de fond en comble les instructions, sa marche. Merci beaucoup;))

    Répondre à Pierre
    • Marlène

      Bonjour Pierre, tant mieux si ça a fonctionné ! Bon dimanche :)

      Répondre à Marlène
  • fabien

    enorme tuto, bravo et 1000 mercis !!!

    Répondre à fabien
  • grisélidis

    Hello Marlène,
    Perso, je n’ai pas été fan de la manière dont OVH a appliqué son fameux certif’ sur les hébergements mutualisés cet été. Parce que justement, ça a mixé pour ceux qui n’avaient pas eu l’info, le contenu vu qu’aucune action pour aligner les fichiers (images etc…) du http vers le https. Quant à la doc chez eux, idem, c’est light, façon plume de moineau ^^
    Tout ça pour dire, on apprend 100 fois plus avec ce super tuto qu’avec la doc OVH.
    Merki !
    Punaise que j’aimerai avoir le temps de faire le passage au HTTPS pour certains de mes blogs. Manque de temps. Fichtre !
    Bonnes fêtes et bonne année m’dame !

    Répondre à grisélidis
    • Marlène

      J’avoue que j’ai été surprise de voir qu’ils laissaient coexister les deux versions (http et https) sans prévenir personne (je n’ai reçu aucun mail à ce sujet pour mes sites qui sont sur OVH). Certes, le risque d’être pénalisé pour duplicate content est minime mais ça aurait été utile d’être informé. Ca me conforte dans l’idée que je suis ravie d’avoir quitté OVH pour les sites qui me tiennent le plus à cœur… même si j’ai d’autres complexités techniques à gérer chez Nuxit (le certificat est plus « fort » que celui d’OVH = meilleure sécurité mais quelques dysfonctionnements qui en découlent !).

      Passe un bon réveillon :)

      Répondre à Marlène
    • grisélidis

      Et donc j’ai passé un de mes sites en https avec ton tuto sous les n’yeux et ça s’est trop bien passé ! Merci x1000 !
      GG

      Répondre à grisélidis
    • Marlène

      Super ! Bien joué :) Le premier est le plus difficile, ensuite on est généralement rapide comme l’éclair !

      Répondre à Marlène
  • Lisa

    J’avais gardé cet article en mémoire pour le relire bien comme il faut pour commencer la procédure et OH ! Mon blog est déjà en https vu que j’utilise WordPress.com ! Donc aucune manip’ pour moi pour l’instant, mais je garde toutes ces infos le jour où je passerais chez un hébergeur au cas où !

    Répondre à Lisa
    • Marlène

      Si ça se trouve ça deviendra bientôt la norme pour les nouveaux comptes :) En plus, en ayant déjà ton nom de domaine en https le transfert sera bien plus simple si un jour tu passes chez un hébergeur. Bonne soirée du Nouvel An !

      Répondre à Marlène
  • Ludo

    Autant te dire d’avance que je ne suis pas presser de faire tout ça :p
    Je ne sais déjà pas ce qu’est un hébergeur et où le trouver, c’est pour te dire ^^
    Mais c’est vraiment obligatoire pour un blog amateur et puis… Il est déjà noté HTTPS sur mon site… Il n’y pas de différence avec toi. Je suis perplexe pour le coup…

    Répondre à Ludo
    • Marlène

      Tu es sur WordPress.com et pas WordPress.org, tu n’as donc pas à gérer ce genre de chose.

      Répondre à Marlène
    • Ludo

      Aaaaargh, je me fais à chaque fois avoir !
      Tu risque de me le répéter souvent :/

      Répondre à Ludo
  • Jean Luc

    Bonjour Marlène,
    Pour ma part je viens juste de faire la bascule avec vos précieux conseils, il y a eu un peu de casse réparée de suite (perdu mon .htaccess) une petite info pour accéder au .htaccess, sur wordpress, je n’ai pas eu besoin d’un client FTP, je suis passé par « outil de SEO (yoast), et j’ai pu avoir accès au .htaccess
    Bravo pour vos conseils si précieux.
    Aussi j’ai un autre problème j’ai configuré google search console qui ne veut pas me valider mon site, j’ai pris la méthode de Fournisseur de nom de domaine, que j’ai configuré avec eux (o2switch)
    Voilà, encore merci et très bonnes fêtes.
    Jean Luc

    Répondre à Jean
    • Marlène

      Bonjour Jean Luc, effectivement quand on a Yoast on peut le modifier depuis l’interface du plugin… mais je préfère pour ma part modifier les fichiers via le FTP, ça limite souvent les erreurs d’enregistrement (j’ai déjà eu plusieurs erreurs en passant par les éditeurs de fichiers intégrés à WordPress).

      Pour Search Console, il ne faut pas hésiter à tester une autre méthode, pour ma part je passe généralement par l’upload d’un fichier de vérification à la racine du site, c’est simple, rapide et efficace.

      Répondre à Marlène
    • Jean Luc

      Bonjour Marlène,
      Donc pour search Console; c’est ok petite erreur de ma part sur l’interface de mon hébergeur, j’aimerais tester une fonctionnalité (les marqueurs de données) il ne reconnait pas mon site, alors que l’adresse est correctement mentionnée.
      As-tu une idée sur la question ?
      Par avance merci et belle journée
      Jean Luc

      Répondre à Jean
    • Marlène

      Je ne comprends pas ce que tu cherches à faire. Pour valider le site, change simplement de méthode de validation :)

      Répondre à Marlène
    • Jean Luc

      le site est bien validé mais c’est la fonction marqueur de données qui ne fonctionne pas

      Répondre à Jean
    • Marlène

      Il faut intégrer les données structurées sur son blog avant d’utiliser l’outil Search Console pour vérifier le marquage. Je me souviens avoir testé la fonction « automatique » censée détecter sur une page un schéma-type de marquage, ça ne fonctionnait pas très bien.

      Répondre à Marlène
    • Jean Luc

      Merci Marlène, je vais étudier çà
      Bon réveillon
      Jean Luc

      Répondre à Jean
  • Mathilde

    Merci pour ce tuto ultra complet !! Je sais ce que je vais faire pendant les vacances de Noël !

    Répondre à Mathilde
    • Marlène

      J’espère que ça se passera bien sur ton blog alors :) Passe de belles fêtes !

      Répondre à Marlène
  • Betty Griffe

    Salut Marlène. Merci pour le tuto ! J’essaye, j’essaye mais je patauge un peu malgré tout. Tu dis « ajouter quelques lignes au fichier .htaccess »… j’ai ouvert Filezilla, j’ai bel et bien un fichier htacces dans la fenêtre de droite, mais je ne vois pas comment l’ouvrir (chaque fois que je clique dessus, il le transfère). Il faut dire que j’ai opté pour la démarche complètement automatisée d’installation de site avec OVH, donc je n’ai pas eu à chipoter là dedans. As-tu fait un tuto sur ces fichiers htacces ? Merci !

    Répondre à Betty
    • Marlène

      Non je n’ai pas encore écrit de tuto sur le sujet car on peut mettre tellement de choses dans un fichier htaccess qu’il faudrait des tutos ciblés sur chaque point :)

      Pour modifier le fichier tu as essayé le clic droit dessus et une option type « Modifier » dans le menu ?

      Répondre à Marlène
  • chinouk

    Merci pour ce tuto, j’ai plusieurs sites à passer en https et je suis fatiguée d’avance !! :) à priori on peut le faire ndd par ndd si j’ai bien tout lu ce qui m’arrange vu que j’ai un hébergement multi site chez ovh !

    En tout cas beau boulot bravo !

    Répondre à chinouk
    • Marlène

      Merci ! Oui, ça se gère NDD par NDD mais une fois que tu en as fait un et que tu sais comment ça se passe, c’est vraiment très rapide de s’occuper des autres.

      Répondre à Marlène
  • La Folie Des Fêtes

    Un grand merci pour ce tuto complet. Mon nouveau blog n’étant pas encore en ligne, je vais pouvoir faire le nécessaire dès le début … Finalement, contente que cela a pris du temps . Joyeuses Fêtes :D

    Répondre à La
    • Marlène

      Hello, c’est effectivement très pratique sur un nouveau blog et d’ailleurs, il est conseillé de lancer tout nouveau site directement en HTTPS. C’est pour ça que pour mon blog voyage lancé en octobre 2016, j’ai choisi un protocole sécurisé. Passe de belles fêtes !

      Répondre à Marlène
    • La Folie Des Fêtes

      Coucou Marlène, j’espère que les réveillons se sont bien passés ;)
      Alors, j’ai une tite question. Je croyais que ce serait simple mais bon suis pas une pro … :p
      En fait, j’ai regénéré le SSL chez OVH car apparemment pas d’office sur mon blog. J’ai toutefois un souci avec le fichier htaccess :/
      J’ai réussi à le retrouver, à réouvrir Filezilla. Mais à part ça, je n’ai aucune idée comment le réinjecter et si je dois effacer quelque chose ou non :( Tu n’aurais pas un mini tuto sous la main ? J’ai repris ton tuto pour créer un nouveau blog mais comme ici ce n’est pas un transfert simple mais plutôt une modification de fichiers… J’ai très peur de faire des bêtises . Je me demande si au final, ce ne serait pas plus simple d’effacer mon début de blog et tout recommencer ?! … Mais même ça, je ne suis pas sûre de savoir ce que je dois faire mdrrr (^^ , t’imagines … ) . Vraiment embêtant cette idée de laisser coexister les 2 adresses :( D’avance, un grand merci !!! :D

      Répondre à La
    • La Folie Des Fêtes

      Voilà j’ai trouvé le fichier htaccess (il n’y a pas la possibilité de modifier par clic droit mais bien afficher/éditer, ce que j’ai fait). Mais je ne sais pas où il faut mettre le code (à la première ligne ou après la première) ? Voici les lignes que j’ai :

      # BEGIN WordPress

      RewriteEngine On
      RewriteBase /
      RewriteRule ^index.php$ – [L]
      RewriteCond %{REQUEST_FILENAME} !-f
      RewriteCond %{REQUEST_FILENAME} !-d
      RewriteRule . /index.php [L]

      # END WordPress

      Une autre question : dois-je ensuite enregistrer puis réinjecter quelque part ?

      Un grand merci pour ton aide :D

      Répondre à La
    • Marlène

      Hello, déjà, fais bien une sauvegarde de ton fichier d’origine avant toute modification. Le .htaccess fait partie des fichiers « sensibles » où une erreur de manip peut rendre le blog inaccessible. Sur WordPress, il ne faut jamais copier de code entre les lignes # BEGIN WordPress et # END WordPress donc tu peux placer ton code juste avant.

      Il faut ensuite réenregistrer le fichier à la place de l’ancien (d’où l’intérêt de faire une sauvegarde !).

      Répondre à Marlène
    • La Folie Des Fêtes

      Ouh lala !!! mdrrr je n’ai encore fait aucune sauvegarde mdrrrr je sens que je vais vite fermer tout et sauvegarder avant de faire une grosse bêtise :p Je n’ai rien encore transféré en articles simplement de la mise en page et des essais mais bon ça m’embêterait … ;)
      Un grand merci pour ta rapidité et tes conseils :D Bon vais aller relire d’autres articles ;)

      Répondre à La
    • La Folie Des Fêtes

      Super ! Je viens de réussir cette partie :D et j’avais oublié que j’avais une sauvegarde automatique dans mon abonnement maintenant, je le retiens ;)
      Bon maintenant, il n’y a plus qu’à m’attaquer au reste étant donné que https apparaît mais pas mon cadenas et qu’il vaut mieux vérifier… Bon, je croise les doigts et te tiendrai au courant . Encore merci pour tout !!! Ton blog est une Bible ^^

      Répondre à La
    • La Folie Des Fêtes

      ça y est !!! Grâce à toi, j’ai mon petit cadenas vert … (enfin mon nouveau blog, nouveau nom) dès qu’il sera en place, je te le dirai… Ce qui est à faire après ce sera lorsque j’aurai terminé mes mises en pages et que j’aurai du contenu.
      Alors , un super méga grand merci !!! Sans toi … ben, j’y serai pas arrivée . Clair que j’y ai mis une bonne après-midi avec des peurs mais tout s’est bien passé grâce à tes conseils !!! Merciiiiiii :D

      Répondre à La
    • Marlène

      Bien joué ! Au moins tu es tranquille et tu pars sur de bonnes bases :)

      Répondre à Marlène
  • Pascal

    Cool ! Pour tous ceux qui ont un hébergement standard, c’est finalement simple ;) enfin, façon de parler…

    J’ai voulu y passer moi aussi :( mais sur mon VPS auto-géré, sans filet… bilan des courses, j’ai tout cassé (mais comme j’avais fait une sauvegarde avant, j’ai juste à tout réinstaller).

    N’empêche c’est agréable de voir le petit logo vert dans la barre d’adresse, au vu des avertissement Google sur le référencement…

    Merci pour tes conseils, c’est du pain béni – hors procédure technique je n’avais pensé ni à Google Analytics ni aux outils pour webmaster, par exemple.

    Répondre à Pascal
    • Marlène

      Sur un VPS le tuto de GDM Pixel est plutôt pas mal.

      Répondre à Marlène
    • Pascal

      Effectivement, je viens de le lire, c’est bien expliqué. Mais vu que je ne m’étais pas suffisamment documenté avant de tenter l’opération, j’ai opté une autre solution plus radicale : réinstallation du VPS, et gestion via CentOS Web Panel qui gère les certificats Let’s Encrypt… maintenant tout baigne :)

      Répondre à Pascal
  • asakura

    Pfff c’est quand même lourd tout ça sérieux quoi, d’autant plus que j’ai une installation bien particulière^^!… bon ben pas le choix… faut si mettre de toute façon.

    En tout cas grand merci, j’ai lu vite fait… je vais lire plus sérieusement avant d’aller me coucher.

    Répondre à asakura
    • Marlène

      Hello, c’est certain que ce n’est pas une mise à jour anodine, c’est pour ça que je pense qu’il n’y a pas d’urgence extrême à s’y mettre. Mieux vaut prendre le temps de lire plusieurs tutos, de se faire sa propre petite feuille de route synthétique…

      Répondre à Marlène
  • Game Of Beauty

    Merci pour cet article ça m’a permis de comprendre l’importance du https. J’ai un blog beauté sous blogger et j’ai acheté un nom de domaine. Blogger spécifie que le protocole https n’est pas disponible pour les noms de domaine personnalisés. Depuis que j’ai acheté un nom de domaine j’ai perdu mon référencement et en plus j’ai des bug. Je pense que je ferais appel à un webmaster parce que quand j’ai contacté ovh pour mon souci (quand j’essaye de me connecter à mon blog, la page « Félicitations pour l’achat de votre nom de domaine » s’affiche une fois sur 2), ovh m’a répondu qu’il ne pouvait rien faire !!!!
    Bref merci pour cet article.

    Répondre à Game
    • Marlène

      Tu as acheté ton nom il y a longtemps ? Quand c’est récent, il faut attendre ce qu’on appelle la « propagation des DNS » pour que le nom de domaine soit pleinement fonctionnel partout dans le monde. Normalement, Blogger met en place des redirections très propres pour les noms de domaine personnalisés donc tu as peut-être un élément qui te manque dans la procédure :/ Tu as suivi le tutoriel de Google ?

      Répondre à Marlène
    • Game Of Beauty

      Bonsoir
      Merci pour ta réponse rapide.
      J’ai acheté mon nom de domaine le 25 novembre et j’ai suivi le tutoriel sur Google, j’ai revérifié plusieurs fois pour voir si je n’avais pas fait d’erreur et non je pense que tout est bon. Par exemple ce matin je n’avais pas accès à mon blog, et maintenant si.

      Répondre à Game
    • Marlène

      Personnellement j’ai essayé plusieurs fois d’accéder à ton blog en HTTP et je ne rencontre aucun problème. Essaie peut-être de bien vider le cache de ton navigateur.

      Répondre à Marlène
    • Game Of Beauty

      Merci pour ton aide. Cela dépend des ordinateurs, sur mon ordinateur je n’arrive pas à accéder à mon blog et sur l’ordinateur d’une amie oui. C’est vraiment bizarre. Je vais faire appel à un webmaster pour voir le souci. C’est un souci que je ne comprends pas. J’ai vidé le cache de mon navigateur et c’est toujours pareil. C’est vraiment bizarre.

      Répondre à Game
  • tania

    Merci marlene pour cet article très complet. J avoue que je fais partie des personnes qui ont très peur de faire des manipulations de ce genre sur le blog. Mettre les mains dans le cambouis je l ai fait au début du blog pour ça a été très laborieux. Je suis partagée entre attendre ou le faire. J ai peur justement de tout casser et de repartir à 0.

    Répondre à tania
    • Marlène

      Tu peux toujours te donner encore le temps. Le web en http ne va pas s’arrêter du jour au lendemain le 1er janvier, c’est certain. Donc je pense que tu peux tout à fait continuer à lire sur le sujet à gauche à droite pour te familiariser avec l’idée, attendre un moment où tu auras du temps devant toi et de la motivation pour te lancer. Et bien faire une sauvegarde avant : comme ça, tu sais qu’au moindre problème tu peux revenir en arrière.

      Répondre à Marlène


Si vous aimez les articles du site, n'hésitez pas à faire vos achats sur Amazon.fr via ce lien ; il me permettra de toucher une commission grâce au programme Partenaires Amazon EU.