Comment configurer un site WordPress avec un certificat SSL gratuit ? Guide complet 2025

Pourquoi sécuriser votre site WordPress avec un certificat SSL gratuit est indispensable

Si vous avez un site WordPress, vous avez probablement entendu parler du SSL (Secure Sockets Layer). Ce protocole de sécurité chiffre les données échangées entre le navigateur de vos visiteurs et votre serveur. Sans SSL, les informations sensibles (mots de passe, données bancaires) peuvent être interceptées. Depuis 2018, Google Chrome affiche clairement les sites non sécurisés avec un avertissement « Non sécurisé ». De plus, le SSL est un critère de référencement : Google favorise les sites en HTTPS. Heureusement, il est tout à fait possible d’obtenir un certificat SSL gratuit et de le configurer sur WordPress sans compétences techniques avancées.

Dans ce guide, nous allons voir comment configurer un site WordPress avec un certificat SSL gratuit, étape par étape. Que vous utilisiez un hébergement mutualisé, un VPS ou un hébergement cloud, les solutions gratuites comme Let’s Encrypt ou ZeroSSL vous permettent de passer en HTTPS en quelques minutes.

Comprendre les certificats SSL gratuits : Let’s Encrypt et autres options

Avant de commencer la configuration, il est utile de connaître les différentes sources de certificats SSL gratuits. Le plus connu est Let’s Encrypt, une autorité de certification ouverte et automatisée. Il est supporté par la plupart des hébergeurs et peut être installé via des plugins WordPress ou directement via le panneau de contrôle de votre hébergement.

D’autres options incluent ZeroSSL, qui propose une interface web plus simple, et Cloudflare, qui offre un SSL flexible via son CDN. Selon votre hébergeur, vous pourriez aussi avoir accès à un certificat gratuit via votre panneau cPanel (AutoSSL).

Prérequis avant d’installer un certificat SSL sur WordPress

Avant de configurer votre certificat SSL, assurez-vous de disposer des éléments suivants :

• Un nom de domaine actif pointant vers votre hébergement.
• Un accès à votre panneau d’hébergement (cPanel, Plesk, DirectAdmin, etc.) ou à votre serveur via SSH.
• Un site WordPress installé et fonctionnel.
• Un accès administrateur à WordPress pour modifier les réglages après l’installation du certificat.

Si votre hébergeur propose une installation en un clic (comme chez OVH, Infomaniak, Hostinger, etc.), la configuration sera encore plus simple.

Méthode 1 : Installer un certificat SSL gratuit via votre hébergeur (recommandée)

La plupart des hébergeurs modernes intègrent Let’s Encrypt directement dans leur interface. Voici comment procéder dans les cas courants :

Sur cPanel (AutoSSL ou Let’s Encrypt)

Connectez-vous à votre cPanel, recherchez la section « Sécurité » ou « SSL/TLS ». Cliquez sur « Let’s Encrypt » ou « AutoSSL ». Sélectionnez votre domaine et lancez l’installation. Le certificat sera automatiquement renouvelé tous les 90 jours.

Sur OVH (hébergement mutualisé)

Dans votre espace client OVH, allez dans la section « Hébergement », sélectionnez votre domaine, puis l’onglet « Certificats SSL ». Cliquez sur « Commander un certificat SSL » et choisissez l’option « Gratuit (Let’s Encrypt) ». Suivez les étapes, le certificat sera installé automatiquement.

Sur Hostinger

Dans le panneau hPanel, allez dans « SSL » et activez le certificat gratuit pour votre domaine. Le renouvellement est automatique.

Méthode 2 : Installer un certificat SSL gratuit avec un plugin WordPress

Si votre hébergeur ne propose pas d’installation simplifiée, vous pouvez utiliser un plugin WordPress pour générer et installer un certificat Let’s Encrypt. Les plugins les plus populaires sont :

• Really Simple SSL : le plus simple, il détecte le certificat et configure WordPress pour HTTPS.
• SSL Zen : génère et installe un certificat Let’s Encrypt directement depuis WordPress.
• Free SSL Certificate & HTTPS Redirect : similaire à SSL Zen.

Attention : Ces plugins nécessitent souvent que votre site soit déjà accessible via HTTP pour valider le domaine. Assurez-vous que votre domaine pointe vers votre serveur.

Étapes avec le plugin Really Simple SSL

1. Installez et activez le plugin Really Simple SSL depuis le répertoire WordPress.
2. Avant de l’activer, assurez-vous d’avoir un certificat SSL installé sur votre serveur (via votre hébergeur ou un autre plugin).
3. Allez dans Réglages > Really Simple SSL et cliquez sur « Activer SSL ».
4. Le plugin mettra à jour votre URL de site (http vers https) et configurera les redirections.

Méthode 3 : Installation manuelle avec Let’s Encrypt (via SSH)

Pour les utilisateurs avancés disposant d’un accès SSH, vous pouvez installer Certbot (le client officiel de Let’s Encrypt) pour générer un certificat. Cette méthode est idéale si vous gérez un VPS ou un serveur dédié.

1. Connectez-vous à votre serveur en SSH.
2. Installez Certbot : sudo apt install certbot python3-certbot-apache (pour Apache) ou python3-certbot-nginx (pour Nginx).
3. Exécutez sudo certbot --apache -d votredomaine.com -d www.votredomaine.com.
4. Suivez les instructions : choisissez l’option de redirection HTTP vers HTTPS.
5. Certbot configurera automatiquement le renouvellement via une tâche cron.

Après l’installation, vérifiez que votre site est accessible en HTTPS. Si ce n’est pas le cas, passez à l’étape suivante.

Configurer WordPress pour utiliser HTTPS

Une fois le certificat SSL installé, vous devez modifier les paramètres de WordPress pour qu’il utilise HTTPS. Voici les étapes :

Mettre à jour l’URL du site dans les réglages WordPress

Allez dans Réglages > Général et modifiez les deux champs :

• Adresse web de WordPress : remplacez http:// par https://
• Adresse web du site : idem

Enregistrez les modifications. Si vous n’arrivez plus à accéder à votre site, utilisez FTP ou le fichier wp-config.php pour corriger (voir la section Erreurs courantes).

Forcer les redirections HTTP vers HTTPS

Pour que tous les visiteurs soient redirigés vers la version sécurisée, ajoutez ces lignes dans votre fichier .htaccess (à la racine de WordPress) :

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]
</IfModule>

Si vous utilisez Nginx, ajoutez plutôt une directive de redirection dans votre configuration serveur.

Utiliser un plugin pour gérer les redirections et le contenu mixte

Le plugin Really Simple SSL gère automatiquement les redirections et corrige les problèmes de contenu mixte (ressources chargées en HTTP sur une page HTTPS). Sinon, vous pouvez utiliser SSL Insecure Content Fixer.

Vérifier que votre certificat SSL est correctement installé

Après la configuration, effectuez ces vérifications :

• Accédez à votre site en HTTPS : le cadenas doit apparaître dans la barre d’adresse.
• Utilisez des outils en ligne comme SSL Labs (ssllabs.com/ssltest) pour analyser la validité et la force de votre certificat.
• Vérifiez qu’il n’y a pas de contenu mixte : ouvrez la console de votre navigateur (F12) et cherchez des avertissements.
• Testez le renouvellement : les certificats Let’s Encrypt sont valables 90 jours. Assurez-vous que le renouvellement automatique est actif (vérifiez les tâches cron).

Erreurs courantes et comment les résoudre

Voici les problèmes les plus fréquents lors de la configuration d’un certificat SSL gratuit sur WordPress :

Erreur : « Trop de redirections »

Cela se produit souvent quand une boucle de redirection est créée entre HTTP et HTTPS. Solution : désactivez temporairement les redirections dans .htaccess et vérifiez les paramètres de votre plugin de cache ou de sécurité. Utilisez un outil comme Redirect Checker pour tracer les redirections.

Erreur : Le site devient inaccessible après modification des URLs

Si vous ne pouvez plus accéder à l’administration, connectez-vous via FTP ou le gestionnaire de fichiers de votre hébergement, ouvrez le fichier wp-config.php et ajoutez ces lignes :

define('WP_HOME','https://votredomaine.com');
define('WP_SITEURL','https://votredomaine.com');

Remplacez votredomaine.com par votre domaine.

Erreur : Contenu mixte (Mixed Content)

Certaines ressources (images, scripts, feuilles de style) sont encore chargées en HTTP. Utilisez un plugin comme Better Search Replace pour remplacer toutes les occurrences de http:// par https:// dans la base de données. Sauvegardez d’abord votre base de données.

Erreur : Le certificat n’est pas reconnu ou expiré

Vérifiez que le renouvellement automatique fonctionne. Pour Let’s Encrypt, la tâche cron doit être active. Sur cPanel, AutoSSL gère le renouvellement. Si vous utilisez un plugin, assurez-vous qu’il est à jour.

Avantages supplémentaires d’un certificat SSL gratuit pour votre site WordPress

Au-delà de la sécurité et du référencement, le SSL apporte d’autres bénéfices :

• Confiance des visiteurs : le cadenas vert rassure.
• Compatibilité avec les navigateurs modernes : certains navigateurs bloquent les formulaires sur les sites HTTP.
• Nécessaire pour certaines fonctionnalités : paiements en ligne, API tierces, etc.
• Meilleur taux de conversion : les utilisateurs sont plus enclins à acheter sur un site sécurisé.

Questions fréquentes sur la configuration d’un certificat SSL gratuit sur WordPress

Quel est le meilleur certificat SSL gratuit pour WordPress ?

Let’s Encrypt est le plus recommandé car il est largement supporté, automatisé et gratuit. Il est compatible avec la plupart des hébergeurs et plugins.

Dois-je acheter un certificat SSL payant pour mon site WordPress ?

Non, un certificat gratuit comme Let’s Encrypt offre le même niveau de chiffrement qu’un certificat payant. Les certificats payants peuvent offrir des garanties supplémentaires (assurance, validation étendue) mais pour un site standard, le gratuit suffit.

Le certificat SSL gratuit affecte-t-il la vitesse du site ?

Le chiffrement ajoute une légère surcharge, mais grâce à l’accélération matérielle et aux protocoles modernes (HTTP/2), l’impact est négligeable. Le passage en HTTPS peut même améliorer la vitesse grâce à HTTP/2.

Comment renouveler un certificat SSL gratuit ?

La plupart des solutions (hébergeur, plugins, Certbot) renouvellent automatiquement le certificat. Vérifiez que le processus est actif. Pour Let’s Encrypt, le renouvellement est généralement configuré via une tâche cron.

Puis-je installer un certificat SSL gratuit sur un site WordPress multisite ?

Oui, mais la configuration peut être plus complexe. Utilisez un certificat wildcard (*.votredomaine.com) ou installez un certificat pour chaque sous-domaine. Certains hébergeurs proposent des certificats wildcard gratuits (via Let’s Encrypt).

Que faire si mon hébergeur ne supporte pas Let’s Encrypt ?

Changez d’hébergeur ou utilisez Cloudflare, qui offre un SSL flexible (en mode Flexible, le trafic entre Cloudflare et votre serveur n’est pas chiffré, mais le visiteur voit HTTPS). Pour un chiffrement complet, optez pour un hébergeur compatible.

Recommandations finales pour une configuration SSL réussie

Configurer un certificat SSL gratuit sur WordPress est à la portée de tous, surtout avec les hébergeurs modernes. Voici un récapitulatif des actions à mener :

1. Vérifiez si votre hébergeur propose une installation automatique (cPanel, OVH, etc.). Si oui, activez-la.
2. Sinon, utilisez un plugin comme Really Simple SSL après avoir installé le certificat via votre hébergeur.
3. Après l’installation, mettez à jour l’URL de votre site dans les réglages WordPress.
4. Forcez la redirection HTTP vers HTTPS via .htaccess ou un plugin.
5. Corrigez le contenu mixte avec un plugin de recherche et remplacement.
6. Vérifiez le bon fonctionnement avec SSL Labs et le navigateur.
7. Assurez-vous que le renouvellement automatique est actif.

En suivant ces étapes, votre site WordPress sera sécurisé, digne de confiance et mieux positionné dans les résultats de recherche. N’attendez plus pour passer en HTTPS !

Photo by olia danilevich on Pexels