Tutoriel : Activer HTTPS et un certificat SSL sur WordPress

L’activation de HTTPS sur WordPress est essentielle pour garantir la sécurité des échanges entre votre site et ses visiteurs. Un site WordPress non sécurisé (affiché avec « Non sécurisé » dans la barre d’adresse) peut faire fuir les internautes et nuire à votre référencement. Google privilégie les sites en HTTPS, et certains navigateurs bloquent désormais les sites en HTTP. Dans ce tutoriel, découvrez comment activer HTTPS sur WordPress, avec ou sans plugin, et résoudre les éventuels problèmes rencontrés.

Qu’est-ce qu’un certificat SSL et pourquoi est-il essentiel pour WordPress ?

Un certificat SSL (Secure Sockets Layer) est un protocole de chiffrement qui sécurise les données échangées entre votre site et vos visiteurs. Lorsqu’un site utilise HTTPS (HyperText Transfer Protocol Secure), toutes les informations transmises (identifiants, mots de passe, données bancaires, formulaires) sont cryptées et ne peuvent pas être interceptées par un attaquant.

Pourquoi passer un site WordPress en HTTPS avec un certificat SSL ?

• Sécuriser votre site WordPress : Un site sans HTTPS est vulnérable aux attaques de type « man-in-the-middle », où un pirate peut intercepter les données envoyées par vos utilisateurs. Si votre site a déjà été compromis, voici quoi faire en cas de piratage WordPress.
• Améliorer la confiance des visiteurs : Les navigateurs comme Chrome et Firefox affichent une alerte « Non sécurisé » sur les sites HTTP, ce qui peut dissuader vos visiteurs.
• Optimiser votre référencement : Google privilégie les sites en HTTPS dans les résultats de recherche. Un site WordPress sécurisé peut ainsi gagner en visibilité sur les moteurs de recherche.
• Accéder à certaines fonctionnalités : Certains APIs et fonctionnalités avancées de WordPress nécessitent un certificat SSL pour fonctionner correctement (paiement en ligne, intégrations API…).

Aujourd’hui, tout site WordPress doit être en HTTPS pour assurer une navigation sécurisée et inspirer confiance aux visiteurs. Dans la section suivante, voyons comment déployer un certificat SSL et activer HTTPS sur votre site.

Passer votre site en HTTPS est une étape clé pour sécuriser WordPress, mais ce n’est qu’une partie de la protection globale. Découvrez d’autres bonnes pratiques pour sécuriser votre site WordPress.

Déployer un certificat SSL chez votre hébergeur avant d’activer HTTPS sur WordPress

Avant de configurer WordPress pour activer HTTPS, il est impératif d’installer un certificat SSL sur votre hébergement. Cette étape garantit que votre site peut fonctionner en HTTPS et que les échanges de données sont sécurisés.

Comment vérifier si SSL est actif sur votre site WordPress ?

• Ouvrez un navigateur et tapez https://votredomaine.fr.
• Vérifiez la présence du cadenas dans la barre d’adresse. Si votre site affiche « Connexion sécurisée », votre certificat SSL est actif.
• Si votre site affiche une erreur de sécurité ou reste en HTTP, suivez les étapes ci-dessous pour activer SSL selon votre hébergeur.

Comment activer SSL chez votre hébergeur ?

Voici comment installer un certificat SSL selon votre prestataire d’hébergement :

• Chez O2Switch, l’activation de Let’s Encrypt SSL se fait depuis cPanel en quelques clics. Consultez le guide O2Switch pour activer SSL.
• Sur OVH, vous devez accéder à l’onglet « Multisite » de votre espace client et activer le SSL pour votre domaine. Suivez le tutoriel d’OVH pour installer un certificat SSL.
• Chez Ionos, l’activation du SSL se fait directement dans les paramètres de votre hébergement. Vous pouvez suivre les étapes détaillées dans ce guide Ionos sur la sécurisation en SSL.
• Avec Infomaniak, il suffit d’activer Let’s Encrypt SSL dans la section « Sites & Domaines » de votre Manager. Retrouvez les instructions dans le guide Infomaniak sur l’installation SSL.
• Chez Hostinger, SSL peut être activé via le tableau de bord dans la section « Certificats SSL ». Voici un tutoriel détaillé pour installer SSL à vie chez Hostinger.

Autres hébergeurs : Si votre hébergeur n’est pas mentionné, consultez sa documentation ou contactez son support client pour obtenir des instructions détaillées.

Une fois le SSL activé, vous pouvez maintenant forcer WordPress à utiliser HTTPS et vérifier que toutes les pages de votre site sont bien sécurisées. Passons à la configuration dans WordPress.

Activer HTTPS sur WordPress : plugin ou configuration manuelle ?

Utiliser un plugin est recommandé si :

• Vous cherchez une solution rapide et sans configuration technique.
• Vous ne souhaitez pas modifier manuellement la base de données ou les fichiers de votre site.
• Vous voulez un correctif immédiat pour les erreurs de contenu mixte.

La configuration manuelle est préférable si :

• Vous voulez éviter d’ajouter un plugin supplémentaire qui alourdit votre site.
• Vous cherchez une solution permanente, qui reste fonctionnelle même après la désactivation du plugin.
• Vous êtes à l’aise avec la modification des fichiers WordPress et de la base de données.

Pour une optimisation complète et durable, je recommande la configuration manuelle. Cependant, si vous souhaitez une mise en place rapide, Really Simple SSL ou SSL Insecure Content Fixer peuvent être des solutions efficaces.

Une maintenance régulière est essentielle pour garantir la sécurité et la performance de votre site WordPress. Je propose un service de maintenance WordPress qui inclut les mises à jour, la surveillance et la correction des erreurs techniques.

Configurer HTTPS sans plugin

Configurer HTTPS manuellement dans WordPress offre plusieurs avantages : cela réduit la dépendance aux plugins, améliore les performances globales du site et garantit un contrôle total sur la transition vers HTTPS. Cependant, cette procédure implique des modifications techniques, il est donc recommandé de mettre votre site en mode maintenance avant d’effectuer les changements.

Corriger les URLs d’un site WordPress non sécurisé (passer de HTTP à HTTPS)

WordPress stocke les URLs du site dans sa base de données, notamment dans les articles, les pages, les réglages et les métadonnées. Si vous ne mettez pas à jour ces URLs, certaines ressources (images, scripts, styles) pourraient encore être chargées en HTTP, générant des avertissements de sécurité et affectant votre référencement.

Étapes pour modifier les URLs dans la base de données

• Accédez à votre base de données via phpMyAdmin (ou un autre gestionnaire de base de données fourni par votre hébergeur).
• Faites une sauvegarde complète avant toute modification :
  • Exportez votre base de données en format SQL.
  • Conservez une copie de secours non modifiée.
• Remplacez les URLs HTTP par HTTPS :
  • Ouvrez le fichier .sql avec un éditeur de texte (comme Notepad++ ou Sublime Text).
  • Utilisez la fonction « Rechercher et Remplacer » pour modifier les liens :
    • Remplacez http://votredomaine.fr par https://votredomaine.fr.
    • Remplacez http:\\/\\/votredomaine.fr par https:\\/\\/votredomaine.fr (certaines entrées utilisent ce format avec des antislashs).
• Importez la base de données modifiée :
  • Supprimez les anciennes tables.
  • Chargez la nouvelle base de données mise à jour avec HTTPS.

Alternative plus simple : Utiliser WP-CLI

Si vous avez accès à WP-CLI, vous pouvez exécuter la commande suivante pour remplacer les URLs directement :

wp search-replace 'http://votredomaine.fr' 'https://votredomaine.fr' --precise --recurse-objects

Cela permet de modifier l’ensemble des entrées sans avoir à exporter et modifier manuellement la base de données.

Forcer la redirection HTTP vers HTTPS sur WordPress (htaccess & Nginx)

Après avoir mis à jour la base de données, il est essentiel de rediriger automatiquement toutes les requêtes HTTP vers HTTPS. Sans cette redirection, les visiteurs pourraient encore accéder à la version non sécurisée de votre site, et Google pourrait indexer plusieurs versions, ce qui pénalise votre référencement.

Forcer HTTPS via le fichier .htaccess (serveurs Apache)

Si votre site est hébergé sur Apache, vous devez modifier le fichier .htaccess situé à la racine de votre site.

• Connectez-vous à votre serveur via FTP.
• Localisez et ouvrez le fichier .htaccess.
• Ajoutez le code suivant au début du fichier, en remplaçant votredomaine.fr par votre propre nom de domaine :

RewriteEngine On
RewriteCond %{HTTPS} off [OR]
RewriteCond %{HTTP_HOST} !^www\.votredomaine\.fr$ [NC]
RewriteRule ^(.*)$ https://www.votredomaine.fr/$1 [L,R=301]

Explication du code :

• RewriteCond %{HTTPS} off → Si la requête n’est pas en HTTPS, elle est redirigée.
• RewriteCond %{HTTP_HOST} !^www.votredomaine.fr$ → Si la requête ne contient pas « www. », elle est également redirigée.
• RewriteRule → Applique la redirection 301 vers HTTPS.

Forcer HTTPS via nginx.conf (serveurs Nginx)

Si votre site fonctionne sur Nginx, la redirection doit être configurée dans le fichier nginx.conf :

• Accédez au fichier de configuration de votre serveur (généralement /etc/nginx/nginx.conf).
• Ajoutez ces lignes dans le bloc server :

server { 
 listen 80; 
 server_name votredomaine.fr www.votredomaine.fr; 
 return 301 https://$server_name$request_uri; 
}

Explication du code :

• listen 80 → Indique que le serveur écoute les connexions HTTP classiques.
• return 301 → Applique une redirection permanente vers HTTPS.

Redémarrez Nginx pour appliquer les changements :

sudo systemctl restart nginx

Configurer HTTPS avec un plugin

Si vous recherchez une solution rapide et accessible, l’utilisation d’un plugin WordPress dédié peut vous permettre d’activer HTTPS sans configuration avancée.

Les meilleurs plugins pour activer SSL et HTTPS sur WordPress

Really Simple SSL

Ce plugin détecte automatiquement le certificat SSL et force l’utilisation de HTTPS sur l’ensemble du site.
Avantages :

• Facile à installer, ne nécessite aucune intervention technique.
• Active HTTPS et redirige les pages HTTP automatiquement.

Inconvénients :

• Ajoute des fonctionnalités supplémentaires qui peuvent être inutiles.
• Dépendance à un plugin : si vous le désactivez, la configuration HTTPS pourrait être affectée.

SSL Insecure Content Fixer

Utile pour corriger les erreurs de contenu mixte (éléments chargés en HTTP au lieu de HTTPS).
Avantages :

• Identifie et corrige automatiquement les contenus non sécurisés (images, scripts, styles).
• Plusieurs niveaux de correction selon vos besoins.

Inconvénients :

• Ne remplace pas les URLs dans la base de données (contrairement à une correction manuelle).
• Peut nécessiter un réglage supplémentaire selon la complexité du site.

Installation et configuration d’un plugin HTTPS

Si vous optez pour Really Simple SSL, voici comment l’installer et l’activer :

• Accédez à votre back-office WordPress.
• Allez dans Extensions > Ajouter une nouvelle extension.
• Recherchez « Really Simple SSL », puis installez et activez-le.
• Le plugin détectera automatiquement le certificat SSL. Cliquez sur « Activer SSL ».
• Vérifiez que votre site s’affiche bien en HTTPS et qu’aucune alerte de sécurité n’apparaît dans la barre d’adresse du navigateur.

Tester les redirections HTTPS sur WordPress et corriger les erreurs

Une fois votre site WordPress configuré pour fonctionner en HTTPS, il est essentiel de vérifier que toutes les versions de votre domaine redirigent correctement vers l’URL sécurisée principale (exemple : https://www.votredomaine.fr).

Pourquoi tester vos redirections HTTPS ? (SEO et sécurité)

• Éviter les duplications de contenu : Si plusieurs versions de votre site sont accessibles (HTTP et HTTPS, avec ou sans WWW), cela peut nuire à votre SEO.
• Garantir la sécurité des visiteurs : Une mauvaise configuration peut laisser certaines pages accessibles en HTTP, exposant des données sensibles.
• Prévenir les erreurs de navigation : Sans une redirection bien paramétrée, certains utilisateurs peuvent toujours accéder à une version non sécurisée.

Vérifier les redirections HTTPS sur WordPress

Testez ces quatre variantes de votre domaine pour voir si elles redirigent bien vers l’URL principale sécurisée (https://www.votredomaine.fr) :

Accédez manuellement à ces adresses dans votre navigateur :

• http://votredomaine.fr (HTTP sans WWW)
• http://www.votredomaine.fr (HTTP avec WWW)
• https://votredomaine.fr (HTTPS sans WWW)
• https://www.votredomaine.fr (HTTPS avec WWW)

Toutes ces variantes doivent automatiquement rediriger vers https://www.votredomaine.fr. Si ce n’est pas le cas, il y a un problème de configuration des redirections.

Site WordPress non sécurisé après HTTPS : comment corriger les erreurs ?

Cas 1 : Votre site reste accessible en HTTP
Vérifiez votre fichier .htaccess (Apache) ou nginx.conf (Nginx) et ajoutez une redirection 301 vers HTTPS.

Cas 2 : Certaines URLs ne redirigent pas correctement
Assurez-vous que votre hébergeur n’applique pas une redirection forcée différente dans son panneau de configuration.

Cas 3 : Des erreurs « Contenu mixte » s’affichent
Si certaines ressources (images, scripts, CSS) sont encore chargées en HTTP, utilisez SSL Insecure Content Fixer pour les corriger.