Table des matières:
Pourquoi passer votre site WordPress en HTTPS est indispensable
Si vous gérez un site WordPress, vous avez probablement entendu parler de HTTPS. Ce protocole sécurise les échanges entre le navigateur de vos visiteurs et votre serveur. Sans lui, les données circulent en clair et peuvent être interceptées. Google affiche d’ailleurs un avertissement « Non sécurisé » sur les pages en HTTP. Depuis 2014, HTTPS est un signal de classement pour Google. En 2024, c’est un standard : tout site digne de ce nom doit être en HTTPS.
Dans ce guide complet, nous allons voir comment configurer votre site WordPress en HTTPS, que vous soyez débutant ou un peu plus avancé. Vous apprendrez à obtenir un certificat SSL, à l’installer, à modifier les réglages de WordPress, à gérer les anciennes URL et à vérifier que tout fonctionne. Suivez les étapes dans l’ordre pour éviter les erreurs courantes.
Qu’est-ce qu’un certificat SSL et lequel choisir ?
Le HTTPS repose sur un certificat SSL (Secure Sockets Layer) ou TLS (Transport Layer Security). Ce certificat est un fichier numérique qui lie une clé cryptographique aux informations de votre site. Il permet de chiffrer les données et de vérifier l’identité du site.
Types de certificats SSL
- DV (Domain Validation) : validation basique, seulement la propriété du domaine. Gratuit chez Let’s Encrypt, Cloudflare, etc. Suffisant pour la plupart des sites.
- OV (Organization Validation) : vérifie aussi l’organisation. Plus cher, utile pour les sites professionnels.
- EV (Extended Validation) : vérification poussée. Affiche le nom de l’organisation dans la barre d’adresse. Recommandé pour les sites e-commerce et bancaires.
Pour un blog ou un site vitrine, un certificat DV gratuit est parfait. Pour une boutique en ligne, un OV ou EV peut rassurer les clients.
Obtenir un certificat SSL gratuit avec Let’s Encrypt
Let’s Encrypt est une autorité de certification gratuite, ouverte et automatisée. La plupart des hébergeurs proposent une intégration simple. Voici comment faire selon votre hébergeur :
Hébergement mutualisé (cPanel, DirectAdmin)
La plupart des panneaux de contrôle incluent un outil « SSL/TLS » ou « Let’s Encrypt ». Connectez-vous à votre cPanel, cherchez la section Sécurité, cliquez sur « Let’s Encrypt » ou « SSL/TLS », sélectionnez votre domaine et demandez le certificat. L’installation est automatique.
Hébergement VPS ou serveur dédié
Si vous avez un accès SSH, installez Certbot (le client officiel de Let’s Encrypt). Par exemple sur Ubuntu :
sudo apt update
sudo apt install certbot python3-certbot-apache
sudo certbot --apache -d votredomaine.com -d www.votredomaine.com
Certbot configure automatiquement Apache ou Nginx. Si vous utilisez Nginx, installez python3-certbot-nginx.
Configurer WordPress pour utiliser HTTPS
Une fois le certificat SSL installé, vous devez dire à WordPress de fonctionner en HTTPS. Deux méthodes : via les réglages généraux ou via un plugin.
Méthode 1 : Modifier les URL dans les réglages WordPress
- Connectez-vous à votre tableau de bord WordPress.
- Allez dans Réglages > Général.
- Modifiez les deux champs « Adresse web de WordPress (URL) » et « Adresse web du site (URL) » en remplaçant
http://parhttps://. - Enregistrez les modifications.
- Déconnectez-vous et reconnectez-vous avec la nouvelle URL.
Attention : si vous n’avez pas bien configuré le certificat, vous risquez de bloquer l’accès à l’administration. Dans ce cas, modifiez les URL via le fichier wp-config.php :
define('WP_HOME','https://votredomaine.com');
define('WP_SITEURL','https://votredomaine.com');
Méthode 2 : Utiliser un plugin (recommandé pour les débutants)
Des plugins comme Really Simple SSL ou SSL Insecure Content Fixer détectent automatiquement votre certificat et mettent à jour les URL. Installez le plugin, activez-le, et suivez les instructions. Really Simple SSL, par exemple, modifie les réglages et corrige les liens en HTTP.
Corriger le contenu mixte (mixed content)
Le contenu mixte se produit lorsque votre page est chargée en HTTPS mais contient des ressources (images, scripts, CSS) en HTTP. Le navigateur bloque alors certains éléments, ce qui peut casser l’affichage. Pour résoudre ce problème :
- Utilisez un plugin de correction : Really Simple SSL inclut une option pour forcer HTTPS sur toutes les ressources.
- Recherchez manuellement : dans la base de données, cherchez les occurrences de
http://votredomaine.comet remplacez parhttps://votredomaine.com. Utilisez un outil comme Better Search Replace. - Activez le HTTPS forcé : dans le fichier
.htaccess, ajoutez une redirection 301 de HTTP vers HTTPS (voir section suivante).
Rediriger le trafic HTTP vers HTTPS
Pour que tous les visiteurs soient automatiquement redirigés vers la version sécurisée de votre site, vous devez configurer une redirection 301. Deux méthodes courantes :
Via le fichier .htaccess (Apache)
Ajoutez ces lignes en début de fichier :
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]
Via le fichier de configuration Nginx
Dans le bloc server pour le port 80, ajoutez :
return 301 https://$server_name$request_uri;
Testez la redirection en visitant http://votredomaine.com : vous devez être redirigé vers https://votredomaine.com.
Mettre à jour votre Google Search Console et Analytics
Après le passage en HTTPS, informez Google de la nouvelle version de votre site :
- Dans Google Search Console, ajoutez une nouvelle propriété avec l’URL en HTTPS.
- Vérifiez la propriété (via le fichier DNS ou un fichier HTML).
- Soumettez un nouveau sitemap (le même que précédemment, mais avec l’URL en HTTPS).
- Dans Google Analytics, mettez à jour l’URL par défaut de la propriété dans les réglages.
- Vérifiez que les redirections sont bien en place pour éviter une perte de trafic.
Vérifier que tout fonctionne correctement
Après la configuration, effectuez ces vérifications :
- Testez le certificat SSL : utilisez SSL Labs pour noter votre certificat.
- Vérifiez l’absence de contenu mixte : ouvrez la console de développement de votre navigateur (F12) et cherchez les avertissements.
- Parcourez votre site : cliquez sur plusieurs pages, articles, images. Tout doit s’afficher correctement avec le cadenas vert.
- Testez les redirections : utilisez un outil comme Redirect Checker pour confirmer que HTTP redirige vers HTTPS.
- Vérifiez le classement : dans Google Search Console, surveillez les performances après quelques jours.
Erreurs fréquentes à éviter
- Oublier de mettre à jour les URL dans la base de données : beaucoup d’images et de liens internes restent en HTTP. Utilisez Better Search Replace.
- Ne pas forcer HTTPS dans .htaccess : certains visiteurs peuvent encore accéder à la version HTTP.
- Utiliser un certificat auto-signé : les navigateurs afficheront un avertissement de sécurité. Préférez Let’s Encrypt ou un certificat payant.
- Négliger les CDN : si vous utilisez un CDN comme Cloudflare, activez le SSL flexible ou strict selon votre configuration.
Checklist de migration vers HTTPS
| Étape | Action | Statut |
|---|---|---|
| 1 | Obtenir un certificat SSL (Let’s Encrypt, etc.) | ☐ |
| 2 | Installer le certificat sur le serveur | ☐ |
| 3 | Modifier les URL de WordPress (Réglages > Général) | ☐ |
| 4 | Corriger le contenu mixte (plugin ou base de données) | ☐ |
| 5 | Configurer la redirection 301 de HTTP vers HTTPS | ☐ |
| 6 | Mettre à jour Google Search Console et Analytics | ☐ |
| 7 | Tester le certificat SSL et les redirections | ☐ |
| 8 | Vérifier l’absence d’erreurs sur tout le site | ☐ |
Questions fréquentes sur la configuration HTTPS de WordPress
Combien de temps faut-il pour passer en HTTPS ?
L’installation du certificat prend quelques minutes. La mise à jour des URL et la correction du contenu mixte peuvent prendre de 30 minutes à quelques heures selon la taille du site.
Mon site va-t-il perdre du trafic après le passage en HTTPS ?
Si les redirections sont correctement mises en place, vous ne perdrez pas de trafic. Google traite le changement comme une migration de site. Assurez-vous de soumettre le nouveau sitemap.
Dois-je changer mon nom de domaine ?
Non, vous conservez le même nom de domaine. Seul le protocole change.
Que faire si mon certificat SSL expire ?
Let’s Encrypt délivre des certificats valables 90 jours. Si vous utilisez Certbot, la reconduction automatique est configurée. Sinon, renouvelez manuellement ou activez un rappel.
Puis-je utiliser Cloudflare pour le SSL gratuitement ?
Oui, Cloudflare propose un SSL flexible (chiffrement entre le visiteur et Cloudflare, mais pas entre Cloudflare et votre serveur). Pour un chiffrement de bout en bout, optez pour un certificat d’origine.
Comment vérifier que mon site est bien en HTTPS ?
Regardez la barre d’adresse : un cadenas vert doit apparaître. Vous pouvez aussi utiliser des outils en ligne comme Why No Padlock.
Recommandations finales pour un HTTPS réussi
Configurer un site WordPress en HTTPS n’est plus une option, c’est une nécessité. Suivez les étapes ci-dessus dans l’ordre : obtenez un certificat SSL, installez-le, modifiez les URL de WordPress, corrigez le contenu mixte, mettez en place les redirections, et informez Google. Utilisez la checklist pour ne rien oublier.
N’oubliez pas de surveiller régulièrement l’état de votre certificat. Un site sécurisé inspire confiance à vos visiteurs et améliore votre référencement. Si vous rencontrez des difficultés, faites appel à votre hébergeur ou à un développeur WordPress. Bonne migration !
Photo by Sammy-Sander on Pixabay
Très utile, merci. J’aurais aimé savoir comment gérer le mélange de contenu (mixed content) après le passage en HTTPS.
Bonne question ! Pour le mixed content, utilisez un plugin comme Really Simple SSL qui gère automatiquement la réécriture des ressources HTTP en HTTPS. Vous pouvez aussi vérifier manuellement avec l’outil ‘Inspecter’ du navigateur (onglet Console) pour repérer les ressources non sécurisées.
Super article ! J’ai suivi les étapes avec Certbot sur mon VPS Ubuntu et tout a fonctionné du premier coup. Merci !
Ravi que cela ait fonctionné ! N’oubliez pas de configurer le renouvellement automatique de Certbot (généralement via une tâche cron). Vous pouvez vérifier avec ‘sudo certbot renew –dry-run’.
Article clair et précis. Une petite remarque : il serait bien d’ajouter une étape sur la redirection 301 de HTTP vers HTTPS dans le .htaccess.
Merci du conseil ! En effet, c’est important. Pour ceux qui veulent le faire manuellement, ajoutez ce code dans .htaccess : RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]. Mais attention, faites-le après avoir vérifié que le HTTPS fonctionne.
Existe-t-il un risque de perdre son référencement en passant en HTTPS ?
Non, au contraire : HTTPS est un signal de classement positif. Pour éviter toute perte, assurez-vous de mettre en place des redirections 301 de chaque ancienne URL HTTP vers la nouvelle URL HTTPS. Informez aussi Google via Search Console du changement d’URL si vous changez de domaine.
J’ai modifié les URL dans les réglages WordPress, mais maintenant je n’arrive plus à accéder à l’admin. Que faire ?
Pas de panique, c’est un problème classique. Vous pouvez corriger en modifiant le fichier wp-config.php : ajoutez ces lignes : define(‘WP_HOME’,’https://votredomaine.com’); define(‘WP_SITEURL’,’https://votredomaine.com’);. Si l’accès est bloqué, utilisez un client FTP ou l’éditeur de fichiers de votre hébergeur.
Et pour ceux qui utilisent un hébergement mutualisé sans cPanel, comment faire ?
Bonjour, si votre hébergement n’a pas cPanel, contactez le support technique : la plupart proposent une installation SSL via leur interface ou manuellement. Vous pouvez aussi utiliser un plugin comme Really Simple SSL qui facilite la configuration après l’installation du certificat.
Merci pour ce guide très complet. J’ai une question : est-ce que je peux utiliser un certificat SSL gratuit pour un site e-commerce ou est-ce risqué ?
Bonjour, merci pour votre question. Un certificat DV gratuit (comme Let’s Encrypt) convient parfaitement pour un site e-commerce car il chiffre les données. Cependant, pour rassurer les clients sur l’identité de votre entreprise, un certificat OV ou EV peut être un plus. L’essentiel est d’avoir HTTPS activé.