Il y a quelques semaines, j’ai fait la migration de mon blog vers le HTTPS. A vrai dire, j’aurais dû sécuriser mon site dès sa création, j’étais bien consciente de l’importance du petit cadenas vert mais en tant que nouvelle blogueuse, j’avais d’autres priorités, comme choisir un thème pour mon blog, écrire des articles et expérimenter toutes les options de WordPress.
En voulant sauter le pas vers le HTTPS, j’ai naturellement consultés des blogs spécialisés dans la matière. Certes, j’ai trouvé de très bons articles très détaillés et des vidéos très complètes. Mais ces explications ne s’appliquaient pas forcément à mon cas et je me suis vite trouvée submergée et un peu découragée par la quantité des informations disponibles.
J’ai donc décidé de créer une check-list toute simple pour synthétiser toutes ces informations et pour pouvoir effectuer cette démarche (un peu trop technique pour moi tout de même) en toute sérénité.
Pourquoi faut-il passer en HTTPS ?
Si vous êtes en train de lire cet article, vous êtes probablement convaincue de l’intérêt de passer votre blog ou votre site en HTTPS ! Si vous hésitez encore, voici 4 bonnes raisons pour passer à l’action :
- Le HTTPS permet de protéger les données personnelles de vos lecteurs des hackers et garantit l’intégrité des données.
- Le HTTPS est un gage de confiance pour vos visiteurs. Le petit cadenas vert permet de rassurer vos lecteurs et donnera une image sérieuse et de bonne qualité de votre site.
- Améliorer le référencement naturel de votre blog. En migrant vers le HTTPS, votre positionnement dans les résultats de recherche de Google sera amélioré.
- Cela est devenu obligatoire. Google Chrome émet des messages d’alerte aux internautes qui se connectent aux sites non sécurisés.
Que faut-il savoir sur le HTTPS ?
- HTTPS est la version sécurisée du protocole HTTP. Les données échangées en HTTPS deviennent cryptées.
- Le certificat SSL/TLS est le protocole de sécurisation qui crypte les échanges de données auquel est associé le HTTPS.
- Il y a plusieurs types de certificats SSL/TLS, il faut choisir celui qui conviendra le mieux à votre site:
- Les certificats « Domain validation » : Ils permettent seulement de crypter les échanges de données, sans aucunes authentifications.
- Les certificats « à validation de l’organisation » : Ils permettent de crypter et authentifier des internautes et des serveurs.
- Les certificats « à validation étendue » : Ils permettent une sécurité maximale. Conviennent aux sites d’e-commerce qui collectent des données bancaires et personnelles.
LA CHECK-LIST A SUIVRE POUR PASSER EN HTTPS
1. Obtenir un certificat SSL/TLS
La plupart des hébergeurs proposent un certificat SSL/TLS gratuit avec leur offre d’hébergement. Il y a donc des fortes chances que vous possédez déjà un certificat SSL/TLS ! Il y a 2 manières pour le savoir :
Connectez-vous à votre espace client et ensuite à la rubrique Certificat SSL/TLS pour vérifier que vous en avez un.
Tapez le nom de votre domaine commençant par HTTPS dans le navigateur, si vous tombez sur une page 404 vous allez devoir vous procurer un certificat SSL/TLS.
Vous pouvez commander un certificat SSL chez votre hébergeur ou chez un organisme de certification appelé Autorité de Certification tel que Let’s Encrypt.
Configurer le certificat SSL/TLS. La plupart des hébergeurs et autorités de certification, proposent une installation automatique et/ou gratuite. Si vous voulez le configurer vous-même, vous trouverez certainement des instructions avec votre certificat.
2. Changer l’URL du site sur WordPress
Commencez par faire une sauvegarde complète de votre site. Vous n’aurez probablement pas à récupérer ces données mais cela vous sera très utile en cas de problèmes rencontrés lors de la migration de votre site.
Maintenant il faut notifier à WordPress votre nouvelle adresse sécurisée. Pour cela, rendez-vous dans l’onglet Réglages > Général et Ajoutez tout simplement un « s » à votre URL dans la barre Adresse Web de WordPress et la barre Adresse web du site.
N’oubliez pas d’enregistrer les modifications.
3. Rediriger le contenu HTTP à l’adresse en HTTPS
Pour l’instant, votre site est à la fois accessible en HTTP et en HTTPS. Il faut que le contenu de la version HTTP ainsi que tous vos liens renvoient vers le site HTTPS. Sinon vous aurez une situation de contenu dupliqué qui nuira à votre référencement SEO.
Pour cela, il faudra forcer le visiteur à passer en HTTPS en créant (ou modifiant) le fichier htaccess qui se trouve dans votre console d’administration.
Vous pouvez en savoir plus sur le fichier htaccess et à quoi il sert ici.
Vous trouvez la marche à suivre pour la création et à la mise en place du fichier htaccess chez l’hébergeur 1&1 ici.
4. Mettre à jour les URL des images et des liens internes
Connectez-vous à votre site avec votre adresse en HTTPS et vérifier si vous voyez un cadenas vert à côté de l’adresse de votre site. Si le cadenas est jaune, cela signifie que votre navigateur a bloqué du contenu non sécurisé sur votre site.
Pour y remédier, vous devez mettre à jour toutes les URLs de votre site. Vous pouvez procéder manuellement en parcourant votre contenu (vos images, articles et liens internes) pour modifier les URLs. C’est ce que j’ai fait car je n’avais pas beaucoup de contenu à l’époque.
Une autre façon de faire est d’utiliser un outil en ligne comme jitbit qui scannera votre contenu à la recherche des éléments non sécurisé.
Si vous avez une grande base de données et beaucoup de contenu, vous pouvez installer un script comme Search-Replace-DB qui remplacera les URL non sécurisées de votre site par des URLs en HTTPS.
5. Tester la redirection du site de HTTP à HTTPS
Vous trouverez plusieurs outils sur le web qui permettent de tester la redirection d’un site web. Mon préféré est Links Spy.
Il suffit de saisir votre nom de domaine pour la tester. Links Spy vous sortira un rapport de 4 critères qui doivent être verts et vous expliquera ce qui ne va pas.
Faites les corrections si nécessaire.
6. Mettre à jour la Google Search Console et Google Analytics
Google considère votre nouveau domaine en HTTPS comme un nouveau site complétement différent de sa version en HTTP, il faudra donc mettre à jour votre URL.
Google Analytics : Dans l’onglet Administration > Propriétés, sélectionnez Paramètres de propriétés ==> URL par défaut et choisir « HTTPS ».
Google Search Console : Connectez-vous à votre compte revalider votre URL avec le HTTPS.
Enfin, mettez à jour la sitemap de votre site avec la version HTTPS.
Si vous avez un compte Google Ads, n’oubliez pas de mettre à jour votre URL.
7. Mettre à jour les liens des réseaux sociaux
Connectez-vous à vos comptes des réseaux sociaux et mettez à jours les liens qui renvoient vers votre site.
Vous constaterez que vos compteurs de partage des médias sociaux ont été remis à zéro ce qui est normal car les sites des réseaux sociaux considèrent votre nouvelle URL comme étant un nouveau site. Il existe des plugins qui permettent de récupérer ces données.
Dites-moi dans les commentaires comment avez-vous procédé pour passer votre site en HTTPS, avez-vous eu des difficultés ?
