Niveau

Temps estimé 5 min

Objectif

Dans ce tutoriel, je vais vous montrer comment rediriger automatiquement les adresses URLs HTTP de votre site WordPress vers des adresses URLs HTTPS.

Disposer d’un site en HTTPS est devenu un des standards du web, depuis l’annonce de Google en 2014, de la prise en considération du critère HTTPS pour le référencement des sites internet. Dans cet article, je vais, tout d’abord, définir ce qu’est le protocole HTTPS et citer quelques avantages à le faire, pour les plus réticents. Enfin, j’expliquerai comment le mettre en place sur votre site WordPress.

Définitions SSL/TLS & HTTPS

Tout d’abord, il consent d’expliquer et de définir la signification et le fonctionnement de ces différents protocoles.

SSL (Secure Sockets Layer) est un protocole de sécurisation des échanges d’informations entre des appareils reliés à un réseau interne ou à Internet. Il a été développé à l’origine par Netscape en 1995 puis l’IETF (Internet Engineering Task Force) en a poursuivi le développement en le renommant TLS (Transport Layer Security). SST/TLS est le standard de sécurité permettant d’établir un lien crypté entre un serveur web et un navigateur. Ce lien assure :

  • L’authentification du serveur ou du programme avec lequel communique le client
  • La confidentialité des données échangées
  • L’intégrité des informations échangées

HTTPS (HyperText Transfer Protocol Secure) signifie littéralement « Protocole de transfert hypertexte sécurisé ». HTTPS représente la combinaison du protocole HTTP avec une couche de chiffrement SSL/TLS. Ce protocole garantit à l’internaute, l’identité du site internet auquel il accède, grâce à un certificat d’authentification émis par une autorité tierce, réputée fiable (GlobalSign, Trustico, …). Il garantit la confidentialité et l’intégrité des données envoyées par l’utilisateur (formulaires, paiements en ligne, …) et reçues du serveur.

Différents types de certificats SSL

Afin de vous aider à choisir le certificat SSL dont vous avez besoin pour votre site internet, je vais vous présenter les différents certificats SSL existants :

Le certificat SSL à validation du domaine (DV) est le plus simple à obtenir. Le certificat DV authentifie uniquement le nom de domaine, pour cela, la plupart du temps, il vous sera demandé de disposer un fichier à la racine de votre site via votre FTP (File Transfer Protocol) ou de valider un message via l’e-mail de votre domaine. Les délais de validation de ce certificat sont très rapides. Le certificat SSL à validation de domaine peut être contracté auprès de Let’s Encrypt gratuitement. Il se manifeste via un cadenas vert dans la barre de recherche URL de votre navigateur.

Le certificat SSL à validation de l’organisation (OV) s’obtient un peu plus difficilement que le certificat SSL DV. Pour ce type de certificat SSL, vous devez prouver à l’autorité de certification que votre entreprise, organisation ou association existe réellement en fournissant des documents officiels. Suite à la vérification de l’autorité de certification, le certificat SSL OV qui relie votre domaine à votre entreprise, organisation ou association vous est délivré. Malheureusement, les navigateurs web ne différencient pas de prime abord, un certificat SSL OV d’un certificat SSL DV. Pour voir la différence entre les deux certificats SSL, il faut accéder aux informations en cliquant sur le petit cadenas vert de la barre de recherche URL.

Le certificat SSL à validation étendue (EV) fournit le niveau de sécurité SSL le plus élevé puisqu’il dispose du plus haut niveau d’identification. La validation de ce type de certificat prend entre 2 à 10 jours suivant les autorités de certification. Le certificat SSL à validation étendue est principalement recommandé aux entreprises, établissements publics ou sites e-commerce. Le certificat SSL EV est reconnaissable par la barre d’adresse verte, le cadenas et l’affichage de la raison sociale de l’entreprise ou le nom du site internet, dans la barre d’adresse de la plupart des navigateurs Internet (Google Chrome, Firefox, Edge, Safari).

Pourquoi migrer son site web en HTTP vers HTTPS ?

Comme vous avez pu le lire dans les paragraphes précédents, le protocole HTTPS permet de sécuriser l’échange de données entre votre site internet et l’internaute. Outre ce point majeur, je tiens à vous présenter d’autres avantages liés à la mise en place du HTTPS sur votre site web :

  • Référencement naturel (SEO : Search Engine Optimization) : comme évoqué au début de l’article, le grand maître des moteurs de recherche Google a annoncé, il a de ça quelques années déjà, que le protocole HTTPS devenait un critère de pertinence algorithmique pour le positionnement des sites dans ses pages de résultats (SERP : Search Engine Result Page).
    Donc, le fait de mettre en place le protocole HTTPS sur votre site, lui octroie un petit avantage.
  • E-réputation : la présence du petit cadenas vert et de l’inscription « Secure » juste avant la barre d’url de votre navigateur va tout de suite rassurer, mettre en confiance votre client et lui laisser une bonne image de votre site internet ou de votre marque. Cette inscription est d’autant plus impérative si vous possédez un site e-commerce.
    A savoir que lorsqu’un internaute se trouve sur une page non protégée par HTTPS, Google et plus précisément le navigateur Google Chrome, alerte depuis Juillet 2018 l’internaute via une notion « Non sécurisé ».
  • Prix : il existe de nombreuses autorités de certification payantes tels que COMODO (50$ par an) ou encore GeoTrust’s RapidSSL (20$ par an) qui vous délivrent des certificats SSL pour votre site internet. Mais, ils en existent aussi des gratuites, dont une très populaire, nommée Let’s Encrypt. Let’s Encrypt est une autorité de Certification qui distribue gratuitement, automatiquement et exclusivement des certificats SSL DV. Elle présente beaucoup moins d’avantages que certaines autorités de certification payantes mais si vous ne représentez pas une entreprise ou que vous possédez un petit blog cela conviendra parfaitement. A savoir que la société OVH l’utilise pour ces hébergements Web.
  • Comment migrer son site WordPress vers HTTPS ?

    Entrons maintenant dans le vif du sujet, la migration de votre site internet WordPress du protocole HTTP vers HTTPS. Cette étape intervient une fois le choix, l’achat et l’installation de votre certificat SSL effectués.

    Pour rediriger toutes vos adresses URLs en HTTP vers des adresses URLs en HTTPS, il existe plusieurs modules sur WordPress qui vont faire le travail à votre place. Dans cet article, je vais vous en présenter un, Easy HTTPS (SSL) Redirection. Cette extension à l’heure où j’écris cet article est en version 1.9.1, elle est compatible avec la dernière version de WordPress 5.6 et compte plus de 100 000 installations actives. Easy HTTPS (SSL) Redirection vous offre plusieurs options :

    • Enable automatic redirection to the « HTTPS » : ce paramétrage vous permet de forcer l’affichage de vos pages en HTTPS. C’est à dire que si un internaute recherche une adresse URL en HTTP dans la barre de recherche de son navigateur, l’extension va automatiquement la rediriger vers la version HTTPS de cette adresse URL.
    • Apply HTTPS redirection on : cette option vous donne la possibilité d’activer la redirection soit sur le domaine en entier, soit sur un échantillon d’adresses URLs que vous devez bien entendu rentrer à la main.
    • Force resources to use HTTPS URL : enfin cette dernière option, si vous la cochez, vous permet de forcer le chargement des ressources statiques de votre site internet en HTTPS. Par exemple, si vous avez une image liée à une adresse URL en HTTP, intégrée dans votre contenu, Easy HTTPS (SSL) Redirection va changer son adresse URL en HTTPS.

    Une fois ces paramétrages terminés vous n’avez plus qu’à appuyer sur le bouton « Enregistrer les modifications » et le tour est joué. Pour les curieux, vous pouvez aller consulter votre fichier .htaccess sur votre FTP pour voir les modifications apportées par l’extension Easy HTTPS (SSL) Redirection.

    Remarque

    Petite indication, si vous avez un système de cache sur votre site (par exemple les extensions W3 Total Cache ou WP Super Cache), il faudra vider votre cache une fois les modifications faites sinon la manœuvre risque de ne pas fonctionner.