Table des matières:
Pourquoi un certificat SSL est indispensable pour votre site WordPress
Un certificat SSL (Secure Sockets Layer) chiffre les données échangées entre le navigateur de vos visiteurs et votre serveur. Sans SSL, les informations sensibles (mots de passe, données bancaires) transitent en clair, vulnérables aux interceptions. Google pénalise les sites non sécurisés en affichant un avertissement « Non sécurisé » et en réduisant leur classement dans les résultats de recherche. De plus, depuis 2014, Google utilise le HTTPS comme signal de classement. Configurer un certificat SSL sur WordPress n’est donc pas une option, mais une nécessité pour la sécurité, la confiance des utilisateurs et le référencement.
Types de certificats SSL : lequel choisir pour votre site WordPress ?
Avant de configurer un certificat SSL, il faut choisir le type adapté à vos besoins. Voici les principaux :
- SSL à validation de domaine (DV) : le plus simple et rapide. L’autorité de certification vérifie uniquement que vous contrôlez le domaine. Idéal pour les blogs et petits sites.
- SSL à validation d’organisation (OV) : vérifie également l’existence légale de l’organisation. Affiche le nom de l’entreprise dans le certificat. Recommandé pour les sites professionnels et e-commerce.
- SSL à validation étendue (EV) : niveau de vérification le plus élevé. Affiche le nom de l’organisation en vert dans la barre d’adresse. Utilisé par les grandes entreprises et les banques.
- Wildcard SSL : sécurise un domaine principal et tous ses sous-domaines (exemple : *.mondomaine.com). Pratique si vous avez plusieurs sous-domaines.
- SSL multi-domaines (SAN) : permet de sécuriser plusieurs noms de domaine avec un seul certificat.
Pour la plupart des sites WordPress, un certificat DV gratuit (via Let’s Encrypt) ou payant (environ 10 à 50 €/an) suffit. Les sites e-commerce ou traitant des données sensibles devraient opter pour un OV ou EV.
Étape 1 : Obtenir un certificat SSL
Vous pouvez obtenir un certificat SSL gratuitement ou l’acheter auprès d’une autorité de certification (CA). Les options gratuites les plus courantes sont Let’s Encrypt et Cloudflare (SSL flexible). De nombreux hébergeurs proposent une installation automatique via cPanel ou leur tableau de bord.
Option gratuite : Let’s Encrypt
Let’s Encrypt est une autorité de certification gratuite, automatisée et ouverte. La plupart des hébergeurs l’intègrent directement. Si votre hébergeur ne le propose pas, vous pouvez utiliser un plugin WordPress comme Really Simple SSL ou SSL Zen pour faciliter l’installation.
Option payante : Achat auprès d’une CA
Vous pouvez acheter un certificat SSL auprès de fournisseurs comme Comodo, DigiCert, GlobalSign ou Sectigo. Après l’achat, vous recevrez un fichier de certificat (fichier .crt) et une clé privée (fichier .key).
Étape 2 : Installer le certificat SSL sur votre serveur
L’installation dépend de votre hébergeur et de l’interface de gestion. Voici les méthodes les plus fréquentes.
Installation via cPanel
- Connectez-vous à votre cPanel.
- Recherchez la section « SSL/TLS » ou « Certificats SSL ».
- Cliquez sur « Installer et gérer les certificats SSL ».
- Collez le contenu de votre certificat (fichier .crt) dans le champ « Certificat (CRT) ».
- Collez la clé privée (fichier .key) dans le champ « Clé privée (KEY) ».
- Si vous avez un bundle CA, collez-le dans le champ « Certificat intermédiaire (CABUNDLE) ».
- Cliquez sur « Installer le certificat ».
Installation via un hébergeur avec installation automatique
Des hébergeurs comme SiteGround, Bluehost, OVH, ou Hostinger proposent une option « Installer SSL gratuit » en un clic dans le tableau de bord. Activez-la simplement.
Installation manuelle sur un serveur dédié (Nginx ou Apache)
Si vous administrez votre serveur, vous devrez modifier les fichiers de configuration. Pour Apache, ajoutez dans le fichier .htaccess ou la configuration du VirtualHost :
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]Pour Nginx, redirigez le trafic HTTP vers HTTPS dans le bloc server :
server {
listen 80;
server_name votredomaine.com www.votredomaine.com;
return 301 https://$server_name$request_uri;
}Étape 3 : Configurer WordPress pour utiliser HTTPS
Une fois le certificat installé, il faut indiquer à WordPress de fonctionner en HTTPS. Plusieurs méthodes :
Méthode 1 : Modifier les URLs dans les réglages WordPress
- Allez dans Réglages > Général dans votre tableau de bord WordPress.
- Modifiez les champs « Adresse web de WordPress (URL) » et « Adresse web du site (URL) » en remplaçant
http://parhttps://. - Enregistrez les modifications.
Méthode 2 : Utiliser un plugin (recommandé pour les débutants)
Le plugin Really Simple SSL détecte automatiquement votre certificat SSL et configure WordPress pour utiliser HTTPS. Il gère également les redirections et corrige les contenus mixtes (mixed content).
- Installez et activez le plugin Really Simple SSL depuis le répertoire WordPress.
- Allez dans Réglages > Really Simple SSL.
- Cliquez sur « Activer SSL ».
- Le plugin met à jour les URLs et active la redirection 301.
Méthode 3 : Forcer HTTPS via wp-config.php
Ajoutez cette ligne dans votre fichier wp-config.php, juste avant la ligne /* That's all, stop editing! */ :
define('FORCE_SSL_ADMIN', true);Pour forcer HTTPS sur tout le site, ajoutez également :
if ($_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https') $_SERVER['HTTPS']='on';Étape 4 : Vérifier que le SSL fonctionne correctement
Après configuration, vérifiez que tout est en ordre :
- Accédez à votre site via
https://votredomaine.comet vérifiez le cadenas vert dans la barre d’adresse. - Utilisez des outils en ligne comme SSL Labs (www.ssllabs.com/ssltest) pour analyser la configuration de votre certificat.
- Vérifiez qu’il n’y a pas de contenu mixte (ressources chargées en HTTP sur une page HTTPS). L’outil Why No Padlock? ou la console du navigateur (F12 > Console) vous aidera à les identifier.
- Assurez-vous que les redirections HTTP vers HTTPS fonctionnent (301).
Problèmes courants et solutions
Erreur de certificat auto-signé
Si vous utilisez un certificat auto-signé (non délivré par une autorité de certification), les navigateurs afficheront un avertissement. Solution : utilisez un certificat signé par une CA (gratuit ou payant).
Contenu mixte (Mixed Content)
Certaines ressources (images, scripts, CSS) sont chargées en HTTP sur une page HTTPS. Corrigez en mettant à jour les URLs dans la base de données avec un plugin comme Better Search Replace ou Velvet Blues Update URLs. Recherchez http://votredomaine.com et remplacez par https://votredomaine.com.
Redirection en boucle (Redirect Loop)
Une boucle de redirection se produit lorsque les règles de redirection sont mal configurées (par exemple, à la fois dans .htaccess et dans le plugin). Désactivez les redirections dans .htaccess et laissez le plugin gérer, ou vice-versa. Videz le cache de votre navigateur.
Le cadenas ne s’affiche pas
Cela indique souvent un contenu mixte ou un certificat mal installé. Utilisez l’outil de vérification de SSL Labs pour diagnostiquer.
Checklist : étapes pour configurer SSL sur WordPress
| Étape | Action |
|---|---|
| 1 | Choisir le type de certificat (DV, OV, EV, Wildcard, SAN) |
| 2 | Obtenir le certificat (gratuit via Let’s Encrypt ou achat) |
| 3 | Installer le certificat sur le serveur (cPanel, hébergeur, manuel) |
| 4 | Modifier les URLs WordPress en HTTPS (Réglages ou plugin) |
| 5 | Forcer la redirection HTTP vers HTTPS (plugin ou .htaccess) |
| 6 | Vérifier l’absence de contenu mixte |
| 7 | Tester avec SSL Labs |
| 8 | Mettre à jour les URLs dans la base de données si nécessaire |
FAQ : questions fréquentes sur la configuration SSL WordPress
1. Puis-je installer SSL gratuitement sur WordPress ?
Oui, de nombreux hébergeurs offrent des certificats SSL gratuits via Let’s Encrypt. Vous pouvez également utiliser Cloudflare pour un SSL flexible gratuit.
2. Mon site était en HTTP, vais-je perdre mon référencement après le passage en HTTPS ?
Non, si vous mettez en place une redirection 301 de HTTP vers HTTPS, Google transférera la majorité de votre autorité de lien. Assurez-vous de mettre à jour votre sitemap et de soumettre la nouvelle version dans Google Search Console.
3. Que faire si mon plugin de cache pose problème après SSL ?
Videz le cache de votre plugin (W3 Total Cache, WP Rocket, etc.) et régénérez les fichiers. Si le problème persiste, désactivez temporairement le cache.
4. Dois-je installer SSL sur mon site de développement ?
Ce n’est pas obligatoire, mais recommandé pour tester les fonctionnalités HTTPS. Vous pouvez utiliser un certificat auto-signé ou un service comme ngrok.
5. Comment savoir si mon certificat SSL est valide ?
Vérifiez la date d’expiration dans votre navigateur (cliquez sur le cadenas) ou utilisez un outil en ligne comme SSL Checker.
6. Puis-je utiliser un certificat SSL pour plusieurs sites WordPress ?
Oui, avec un certificat multi-domaines (SAN) ou un Wildcard si les sites sont sur le même domaine principal.
Recommandations finales pour une configuration SSL réussie
Configurer un certificat SSL sur WordPress est un processus simple si vous suivez les étapes dans l’ordre : obtenez le certificat, installez-le sur votre serveur, mettez à jour les URLs de WordPress, forcez la redirection HTTPS, et vérifiez qu’il n’y a pas de contenu mixte. N’oubliez pas de tester régulièrement la validité de votre certificat et de le renouveler avant expiration (Let’s Encrypt le fait automatiquement si configuré). Une fois le SSL en place, votre site sera plus sécurisé, gagnera la confiance des visiteurs et bénéficiera d’un meilleur classement dans les moteurs de recherche.
Si vous rencontrez des difficultés, n’hésitez pas à consulter la documentation de votre hébergeur ou à faire appel à un développeur. La sécurité de votre site en vaut la peine.
Photo by Rahadiansyah on Unsplash
Merci pour les explications claires. J’ai suivi les étapes pour Let’s Encrypt, mais mon hébergeur ne propose pas l’installation automatique. Le plugin Really Simple SSL peut-il vraiment générer le certificat ?
Bonjour, oui, Really Simple SSL peut faciliter la configuration après installation, mais il ne génère pas le certificat lui-même. Il vous aide à activer HTTPS et à corriger les contenus mixtes. Pour obtenir le certificat, vous devrez utiliser un client ACME comme Certbot ou demander à votre hébergeur de l’installer manuellement. Certains plugins comme SSL Zen intègrent Let’s Encrypt et peuvent générer le certificat directement depuis WordPress.
Article très utile, merci. Une remarque : j’ai eu un problème de ‘trop de redirections’ après avoir activé HTTPS. Une astuce pour l’éviter ?
Bonjour, ce problème arrive souvent quand une boucle de redirection se crée entre HTTP et HTTPS. Pour l’éviter, assurez-vous de configurer la redirection soit dans le fichier .htaccess, soit via votre hébergeur, mais pas les deux. Si vous utilisez un plugin, désactivez toute redirection manuelle. Vous pouvez aussi vérifier les paramètres ‘Site URL’ et ‘WordPress Address’ dans les réglages généraux de WordPress : ils doivent commencer par https://. Enfin, videz le cache du navigateur.
J’ai un certificat DV gratuit depuis des années, aucun souci. Mais je me demande si passer à un OV améliorerait vraiment le référencement ?
Bonjour, le type de certificat (DV, OV, EV) n’a pas d’impact direct sur le référencement. Google ne fait pas de différence tant que vous utilisez HTTPS. L’OV apporte surtout un gage de confiance visuel (nom de l’entreprise affiché) et peut rassurer les visiteurs, mais pour le SEO, un DV gratuit via Let’s Encrypt est parfaitement suffisant.
Super article ! Une question : j’utilise Cloudflare avec leur SSL flexible. Est-ce suffisant pour un site e-commerce avec paiement en ligne ?
Merci ! Le SSL flexible de Cloudflare chiffre le trafic entre le visiteur et Cloudflare, mais pas entre Cloudflare et votre serveur. Pour un site e-commerce manipulant des données bancaires, ce n’est pas recommandé car la connexion interne reste en clair. Préférez un certificat Full (strict) ou installez un certificat SSL directement sur votre serveur, de type OV ou EV pour plus de confiance.
Bonjour, merci pour ce guide très complet. J’ai installé un certificat Let’s Encrypt via cPanel, mais mon site affiche toujours ‘Non sécurisé’ dans Chrome. Que faire ?
Bonjour, merci pour votre question. Ce problème survient souvent si certaines ressources (images, scripts) sont encore chargées en HTTP. Utilisez un plugin comme Really Simple SSL qui force le HTTPS et corrige les URL mixtes. Videz ensuite le cache de votre navigateur et celui de votre site. Si le problème persiste, vérifiez que le certificat est bien actif et que la redirection HTTP vers HTTPS est configurée.