Comment j'ajoute le SSL à WordPress en quelques minutes (certificat gratuit, sans code) 

Besoin d'ajouter le SSL à WordPress pour que votre site affiche le cadenas sécurisé HTTPS ?

La plupart des hébergeurs WordPress incluent désormais un certificat SSL gratuit avec chaque forfait. Il vous suffit de l'activer dans votre tableau de bord d'hébergement et de forcer WordPress à charger via HTTPS.

Dans ce guide, je vous expliquerai chaque étape, y compris comment utiliser le plugin gratuit Really Simple SSL et comment corriger les avertissements « Non sécurisé » dans Chrome.

Qu'est-ce qu'un certificat SSL sur WordPress ?

Un certificat SSL est un petit fichier de données qui chiffre la connexion entre le navigateur d'un visiteur et votre site WordPress. SSL est l'acronyme de Secure Sockets Layer, le protocole de sécurité qui protège les informations lors de leur transfert entre les deux.

Nous partageons tous des données lorsque nous naviguons, et sur les sites de commerce électronique, il s'agit souvent d'informations sensibles comme les détails de carte bancaire ou les identifiants de connexion.

Le HTTP simple envoie ces données à découvert, ce qui les expose à quiconque surveille la connexion. Un certificat SSL, également appelé HTTPS, comble cette lacune.

Votre site a besoin d'un certificat délivré par une autorité de certification reconnue. Une fois vérifié, votre navigateur affiche un cadenas dans la barre d'adresse et l'URL passe de HTTP à HTTPS.

La protection provient du chiffrement. Lorsque vous visitez un site certifié SSL, votre navigateur vérifie le certificat, puis brouille vos données avec la clé publique du site afin que personne entre les deux ne puisse les lire. Le site les déchiffre à l'arrivée à l'aide d'une clé privée correspondante.

Pourquoi chaque site WordPress a besoin du SSL

Chaque site devrait fonctionner en SSL/HTTPS, car Google considère désormais une connexion sécurisée comme une norme web de base.

Environ 95 % ou plus de tout le trafic Chrome est désormais chargé via HTTPS, selon le rapport de transparence HTTPS de Google. Si votre site est toujours en HTTP, Chrome peut afficher un avertissement « Non sécurisé » qui érode la confiance des visiteurs.

Le SSL est le plus important lorsque vous collectez l'un des éléments suivants :

• Détails de carte de crédit
• Informations de paiement
• Identifiants de connexion

Un certificat vérifié protège ces données, et de nombreux services de paiement exigent le HTTPS avant de vous autoriser à accepter des paiements. Si vous gérez une boutique, le SSL est un élément d'un travail plus large, il est donc utile de savoir comment sécuriser une boutique WooCommerce de bout en bout.

Ce drapeau « Non sécurisé » fait plus que simplement avoir mauvaise allure. Il incite les gens à partir avant même d'avoir lu un mot, ce qui réduit silencieusement l'engagement et les conversions. Le SSL est une base, pas la totalité du travail, il s'associe donc naturellement aux mesures plus larges pour protéger l'ensemble de votre site contre les pirates.

La plupart des gens ajoutent le SSL juste au moment où ils configurent ou relancent un site, ce qui est le moment délicat que les visiteurs ne devraient pas voir. Je garde le front-end caché derrière une page « Bientôt disponible » personnalisée avec SeedProd pendant que j'active le certificat et que je corrige tout contenu mixte.

SeedProd est un constructeur de sites Web WordPress par glisser-déposer, et ses pages « Bientôt disponible » et « Maintenance » vous permettent de créer une page d'attente soignée en quelques minutes. Les visiteurs voient un message soigné « Nous lançons bientôt » au lieu d'un site inachevé affichant des avertissements de sécurité.

Faut-il acheter un certificat SSL ?

Pour la plupart des sites, non. Le certificat gratuit de votre hébergeur est suffisant, et vous n'avez pas besoin d'en acheter un.

Cela perturbe beaucoup de monde. J'ai vu des propriétaires de sites acheter un certificat à 200 $ sans réaliser que celui gratuit de Let's Encrypt que leur hébergeur propose déjà aurait fait le même travail. Un certificat gratuit chiffre le trafic exactement de la même manière qu'un certificat payant.

Les certificats payants ont toujours leur place si vous souhaitez une validation supplémentaire ou une garantie. Les prix varient considérablement, allant de moins de 10 $ par an pour un certificat de base validé par domaine à plus de 100 $ pour une validation d'organisation ou étendue. Pour un blog standard ou un site de petite entreprise, cette dépense change rarement quelque chose à ce que voit un visiteur.

Un guide rapide des principaux types, si vous optez pour le payant :

• Validé par domaine (DV) : Convient aux blogs, sites personnels et à la plupart des sites de petites entreprises.
• Validation d'organisation ou étendue (OV/EV) : Utile pour les boutiques, les adhésions et les sites gérant des connexions ou des paiements.
• Wildcard ou multidomaine : Utile si vous utilisez des sous-domaines comme blog.example.com ou plusieurs domaines sous un même toit.

En cas de doute, commencez par le certificat gratuit. Vous pourrez toujours passer à une version supérieure plus tard. Voici comment activer celui qui est gratuit.

Comment obtenir un certificat SSL gratuit

La plupart des hébergeurs incluent désormais un certificat gratuit, donc dans la plupart des cas, il suffit d'actionner un interrupteur. Les certificats gratuits proviennent de Let's Encrypt, une autorité à but non lucratif qui a rendu le SSL gratuit et automatique pour les petits sites.

Ces sociétés d'hébergement WordPress incluent toutes un certificat SSL gratuit avec leurs forfaits :

• Bluehost
• SiteGround
• HostGator
• WP Engine
• InMotion Hosting

En prenant Bluehost comme exemple, allez dans la section Sites Web de votre tableau de bord et cliquez sur le bouton Paramètres sous votre site.

À partir de là, passez à l'onglet Sécurité et activez le certificat SSL gratuit. Dans la plupart des cas, Bluehost l'active automatiquement pour vous.

Si votre hébergeur n'est pas Bluehost, les étapes peuvent être légèrement différentes. Vous pouvez demander à votre fournisseur d'hébergement de l'activer si vous ne le trouvez pas dans votre espace d'administration ou votre cPanel.

Si votre hébergeur n'offre pas du tout de SSL, vous pouvez en acheter un auprès d'autorités telles que Comodo, GeoTrust, GlobalSign et RapidSSL, ou en obtenir un gratuit directement auprès de Let's Encrypt.

Une chose à savoir est que les certificats Let’s Encrypt expirent tous les 90 jours. Les hôtes gérés les renouvellent automatiquement, donc la plupart des gens ne touchent jamais au renouvellement. Si vous configurez vous-même le certificat sur votre propre serveur, vous devrez automatiser le renouvellement, sinon votre site tombera en panne le jour de son expiration.

Passons maintenant à l'affichage de WordPress via HTTPS avec votre nouveau certificat.

Comment ajouter le SSL à WordPress automatiquement (méthode avec plugin)

Une fois le certificat activé chez votre hébergeur, la prochaine étape consiste à faire en sorte que WordPress utilise HTTPS pour chaque URL de votre site.

La méthode la plus simple est le plugin Really Simple SSL. C’est l’un des meilleurs plugins WordPress pour cela, et il fait la majeure partie du travail pour vous. Si vous débutez dans l’installation de plugins, ce guide étape par étape vous accompagnera.

Après avoir activé le plugin, ouvrez ses paramètres depuis votre tableau de bord WordPress. Really Simple SSL détecte votre certificat, force HTTPS sur toutes vos URL, puis active automatiquement la redirection HTTP vers HTTPS.

Le plugin réécrit également les anciennes URL HTTP intégrées dans vos articles et paramètres, les corrigeant à la volée lors du chargement des pages. Cela vous évite une recherche et un remplacement manuels dans la base de données, étape que la plupart des gens oublient.

Même une seule URL HTTP restante fait qu'un navigateur traite la page comme non sécurisée. Really Simple SSL s'en charge pour vous, mais si une URL échappe à son contrôle, l'outil d'inspection du navigateur vous la signalera.

Comment ajouter le SSL à WordPress manuellement (avancé)

La méthode du plugin ci-dessus est la plus simple. Mais vous pourriez vouloir migrer votre site de HTTP vers HTTPS manuellement.

Cela implique de modifier des fichiers WordPress, alors ne suivez cette méthode que si vous êtes à l'aise avec le copier-coller d'extraits de code.

Tout d'abord, allez à la page Réglages » Général dans votre tableau de bord. Changez les champs Adresse WordPress et Adresse du site de HTTP à HTTPS.

Après avoir enregistré, WordPress vous déconnecte et vous devrez vous reconnecter.

Mettez à jour les URL codées en dur dans votre base de données : Ces deux champs ne couvrent que l'adresse principale de votre site. Les anciens sites ont également des URL HTTP enregistrées dans les articles, les pages et les options, et celles-ci ne seront pas mises à jour automatiquement.

C'est l'étape que les adeptes de la méthode manuelle oublient le plus souvent, et c'est pourquoi ils voient encore du contenu mixte par la suite. Exécutez une recherche et un remplacement dans la base de données pour échanger http:// contre https://, en utilisant un plugin comme Better Search Replace ou la commande WP-CLI wp search-replace 'http://example.com' 'https://example.com'. Sauvegardez votre base de données au préalable.

Redirigez HTTP vers HTTPS sur Apache : Ajoutez ceci à votre fichier .htaccess afin que chaque visiteur atterrisse sur la version sécurisée.

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

Une mise en garde : si votre hébergeur termine le SSL au niveau d'un proxy ou si vous utilisez le SSL flexible de Cloudflare, cette règle peut considérer votre connexion comme non sécurisée et créer une boucle de redirection. Sur ces configurations, laissez votre hébergeur ou Really Simple SSL gérer la redirection au lieu de modifier .htaccess.

Redirection HTTP vers HTTPS sur Nginx : Si votre site fonctionne sur Nginx, ajoutez ceci à votre fichier de configuration à la place. Remplacez « example.com » par votre propre domaine.

server {
listen 80;
server_name example.com www.example.com;
return 301 https://example.com$request_uri;
}

Ces redirections empêchent l'erreur « WordPress HTTPS ne fonctionne pas », car chaque page se charge désormais via HTTPS.

Forcer le SSL sur les pages d'administration et de connexion : Pour sécuriser vos pages de connexion, ajoutez cette ligne à wp-config.php, juste au-dessus de la ligne « C'est tout, arrêtez de modifier ! ».

define('FORCE_SSL_ADMIN', true);

Cela force le SSL et HTTPS sur toute la zone d'administration de WordPress.

Correction des problèmes SSL courants (erreurs de contenu mixte)

Une fois que votre site est en SSL, vous pouvez toujours rencontrer des erreurs de contenu mixte. Celles-ci se produisent lorsque des images, des scripts ou des feuilles de style se chargent toujours via HTTP, ce qui empêche le cadenas de s'afficher même si votre certificat est actif.

Certains navigateurs bloquent les ressources non sécurisées et affichent une notification dans la barre d'adresse à la place.

Pour trouver ce qui est encore en HTTP, ouvrez l'outil d'inspection de votre navigateur et vérifiez la console. Chaque élément de contenu mixte apparaît comme un avertissement avec l'URL incriminée.

La plupart d'entre eux sont des images, des iframes et des galeries, avec un script ou une feuille de style occasionnelle provenant d'un plugin ou d'un thème.

Vous avez deux façons de les corriger. La plus simple est de laisser Really Simple SSL s'en charger, car il réécrit les ressources HTTP en HTTPS lors du chargement des pages. Si vous n'utilisez pas le plugin, effectuez une recherche et un remplacement dans la base de données (Better Search Replace ou WP-CLI) pour échanger chaque référence http:// contre https://, ce qui efface les URL à la source.

Si une seule ressource refuse toujours de se charger en toute sécurité, elle est généralement codée en dur dans un widget, une option de thème ou un embed externe. Mettez à jour cette URL unique manuellement et le cadenas réapparaît.

Comment tester si votre SSL fonctionne

Ne supposez pas que cela a fonctionné. Une vérification rapide confirme que le certificat est actif et que rien ne se charge encore via HTTP.

• Vérifiez le cadenas : Visitez votre site et recherchez le cadenas dans la barre d'adresse, avec l'URL commençant par https://.
• Exécutez un test SSL Labs : Entrez votre domaine sur SSL Labs (ssllabs.com/ssltest) pour un rapport complet sur votre certificat et votre configuration.
• Analysez le contenu mixte : Ouvrez quelques pages clés avec la console de l'outil d'inspection ouverte et confirmez qu'aucun avertissement HTTP n'apparaît.

Lorsque le cadenas s'affiche sur chaque page et que SSL Labs vous donne une note claire, votre site est entièrement en HTTPS.

FAQ sur l'ajout du SSL à WordPress

Combien de temps faut-il pour que le SSL fonctionne sur WordPress après son activation ?

Une fois que vous avez activé le certificat chez votre hébergeur, il s'active généralement en quelques minutes à quelques heures. Après cela, forcer HTTPS avec un plugin comme Really Simple SSL prend effet immédiatement.

Dois-je mettre à jour les URL de ma base de données après avoir ajouté le SSL, ou le plugin s'en charge-t-il ?

Really Simple SSL réécrit automatiquement les anciennes URL HTTP de votre contenu lors du chargement des pages, donc la plupart des gens ne touchent jamais à la base de données.

Si vous déplacez un site manuellement, vous aurez besoin d'une recherche et d'un remplacement dans la base de données avec un outil comme Better Search Replace ou WP-CLI pour échanger http:// contre https:// à la source.

L'ajout du SSL à un site WordPress existant va-t-il casser mes liens ou mes images ?

Ce ne devrait pas être le cas, tant que vous gérez correctement le changement d'URL. Really Simple SSL réécrit les liens internes et les images en HTTPS pour vous.

La seule chose à surveiller est le contenu mixte, où une image ou un script errant se charge toujours via HTTP. La correction de ces URL restaure le cadenas sans rien casser.

Mon certificat SSL se renouvelle-t-il automatiquement ou dois-je le faire moi-même ?

Si votre hébergeur a émis le certificat, il se renouvelle presque toujours automatiquement, vous n'avez donc jamais à y penser.

Les certificats Let's Encrypt expirent tous les 90 jours. Les hébergeurs gérés s'en occupent pour vous, mais si vous en avez installé un vous-même sur votre propre serveur, vous devrez configurer le renouvellement automatique.

Sécurisez entièrement votre site WordPress

C'est tout. Une fois que le cadenas s'affiche sur chaque page, les visiteurs font davantage confiance à votre site et vous arrêtez de les perdre à cause des avertissements "Non sécurisé".

Si vous configurez le SSL dans le cadre d'un lancement, SeedProd vous permet de garder le site derrière une page "Bientôt disponible" personnalisée pendant que vous terminez le travail. Commencez avec SeedProd et créez-en une en quelques minutes.

Si vous avez trouvé ce guide utile, vous pourriez également aimer nos tutoriels sur la configuration d'une adresse e-mail professionnelle et la création d'une page de destination dans WordPress.

Merci de votre lecture ! Nous serions ravis d'entendre vos réflexions, alors n'hésitez pas à rejoindre la conversation sur YouTube, X et Facebook pour plus de conseils et de contenu utiles pour développer votre entreprise.