Passer en HTTPS un site WordPress chez OVH
rédigé par Lisa, le mars 3, 2017
Vous avez peut-être entendu dire que Google Chrome avait décidé d’indiquer que les sites étaient non sécurisés s’ils n’utilisaient pas la norme https. Ce protocole chiffrant les données est en effet bien plus sécurisé que le simple http.
Problème, la plupart des sites début 2017 utilisaient encore le protocole http. Pire encore, selon Builtwith, seulement 18,3 % des 10 000 plus gros sites web dans le monde utilisaient https.
Pourtant, il y a de nombreux avantages à utiliser https ! Dont une sécurité renforcée et un petit boost au niveau du référencement. En fait, il n’y a pour le moment pas vraiment d’impact (ou alors mineur) sur le référencement mais j’imagine que ce sera assez important d’ici quelques années !
Etant donné qu’il est facile de faire une migration https en utilisant WordPress, nous allons le faire ensemble, pas à pas, depuis un hébergement OVH.
Les étapes pour réussir sa migration HTTPS :
- Activer son certificat SSL
- Changer les URLs de WordPress en HTTPS
- Rediriger les URLs en HTTP vers des URLs en HTTPS
- Attention au mixed content
- Remplacer le mixed content à la main
- Un plugin WordPress pour chasser le mixed content
- HTTPS et Google Analytics
- Indexer son site HTTPS dans Search Console
- Tester son site HTTPS
- HTTPS et Google AdSense
Activer son certificat SSL
OVH propose depuis juillet dernier des certificats SSL let’s encrypt gratuits et pour tout le monde ! Il serait donc bête de s’en priver. Comme le précise OVH « aucune connaissance technique n’est requise. Le certificat SSL est dorénavant inclus dans toutes les offres Hébergement Web, et activera le protocole « HTTPS », par défaut et gratuitement. D’une durée de validité de 90 jours, il sera renouvelé automatiquement sans aucune intervention de la part de l’utilisateur. »
Bonne nouvelle, il n’y a donc rien à faire de notre côté, si ce n’est de bien vérifier qu’il est activé !
Par défaut, votre SSL devrait être activé et vous devriez voir apparaitre un « oui » à côté de la mention Certificat SSL.
Si ce n’est pas le cas, rendez-vous sur votre espace client. Sélectionnez votre hébergement dans la partie de gauche, puis cliquez sur « Commander un certificat SSL ».
Choisissez ensuite Certificat gratuit (Let’s encrypt) . Puis Suivant .
Une fois le certificat généré, le protocole HTTPS est disponible sous quelques heures, le temps de le déployer sur l’ensemble de l’infrastructure.
De mon côté, cela a pris environ 1 ou 2 h pour être activé. (Je l’avais désactivé car n’avais pas eu le temps de migrer mon blog quand l’option est sortie)
Si vous souhaitez désactiver votre SSL, il suffit de cliquer sur Supprimer le SSL, puis Valider.
Une fois le certificat supprimé, le protocole HTTPS devient indisponible sous quelques heures, le temps de le supprimer sur l’ensemble de l’infrastructure.
Si vous avez des multisites, OVH propose un tuto très simple ici.
Changer les URLS de WordPress en HTTPS
Bien que vous ayez activé votre certificat, vous verrez que toutes vos pages restent en http ! Pour modifier tout ça, il suffit de vous connecter à votre wp-admin, et accéder aux Réglages > Général
Vous verrez alors les deux URL de votre site en http. Il suffit en fait de les modifier pour qu’elles affichent désormais https.
Enregistrer vos modifications, WordPress vous demandera de vous reconnecter à votre tableau de bord. Pas de panique, c’est tout à fait normal !
Maintenant, naviguez sur votre site et magie ! Toutes vos URLs sont en https.
C’est maintenant que le gros du boulot commence ;-)
Rediriger les URLs HTTP vers des URLs en HTTPS
Comme vous avez pu le constater, c’est bien beau d’avoir un site en https mais toutes vos pages en http restent accessibles. Pour cela, il faut forcer https sur tout votre site en éditant le fichier .htaccess de WordPress.
Le fichier .htaccess se trouve à la racine de votre site WordPress, vous pouvez le télécharger sur votre ordinateur en utilisant un client FTP comme Cyberduck (dans Présentation, pensez à cocher la case « Afficher les fichiers cachés » pour le voir).
Editez-le ensuite en local avec le bloc notes en ajoutant ces 3 lignes de code en début de fichier (pour éviter tout conflit avec le reste des instructions) :
RewriteEngine onRewriteCond %{SERVER_PORT} 80RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
Une fois les 3 lignes de code ajoutées et le fichier .htacess uploadé à la racine de votre WordPress, supprimez le cache de votre WordPress (si vous utilisez par exemple un plugin de cache, comme WP Super Cache).
Testez ensuite que vos articles populaires en http indexés sur Google vous reroutent bien vers vos articles en https, et pas sur votre page d’accueil !
Ici, ci-dessous, la redirection https se passe bien
Faites-le test sur plusieurs navigateurs pour valider que le code de redirection .htaccess fonctionne bien. Vérifiez aussi vos stats Google analytics. Si vous avez plus de pages d’accueil qu’à l’accoutumé et moins d’audience sur vos articles, c’est que la redirection ne marche pas bien.
D’autres méthodes de redirections HTTP vers HTTPS et cette méthode ont été trouvées sur WebRankInfo.
NB : la méthode décrite précédemment a fonctionné sur le blog BlogBuster.fr mais pas sur mon blog. Voici une autre méthode que je vous propose qui m’a été recommandée par Buddy, un membre du forum OVH.
#force la redirection en HTTPS
RewriteEngine on
RewriteCond %{SERVER_PORT} 80 [OR]
RewriteCond %{HTTP_HOST} ^www\.monsite\.com$ [NC]
RewriteRule ^(.*) https://monsite.com/$1 [QSA,L,R=301]
#permet aux navigateurs de se souvenir qu’il doit passer en https pour votre site (HSTS)
<IfModule mod_headers.c>
Header set Strict-Transport-Security « max-age=15811200; includeSubDomains; preload »
</IfModule>
Remplacez monsite.com par le nom de domaine de votre site.
Grâce à ce code, HSTS (HTTP Strict Transport Security) est également actif pour 6 mois et remis à jour automatiquement après 6 mois. Avec ce protocole, un agent utilisateur compatible (Chrome, Safari etc.) remplace automatiquement vos liens http par des liens https. Si votre certificat ne fonctionne pas ou s’il y a une erreur avec ce dernier, un message d’erreur sera alors indiqué et votre visiteur ne pourras pas accéder à votre site.
Attention au mixed content !
Après avoir switché vers https, un problème se pose, le mixed content ! Cela signifie que certaines de vos URLs utilisent encore la norme http. Les navigateurs n’aiment pas ça et vont vous afficher un carré jaune. Cela veut dire que le site n’est pas sécurisé à 100 %.
Pour découvrir ce qui se passe, vous pouvez via Chrome faire un clic droit, sélectionner Inspecter > Console et découvrir quelques erreurs:
Il va donc falloir modifier toutes ces URLs et leur préférer la version https.
Pour ce faire vous avez deux solutions :
- Inspecter toutes les URLs à la main (mon choix, valable uniquement si vous avez un petit site),
- Utiliser un plugin qui va le faire pour vous.
Remplacer le mixed content à la main
Il suffit en gros de visiter toutes les pages de votre site et de modifier toutes les URLs pointant vers votre site en https.
Quand c’est votre thème qui affiche des polices ou des images en http par exemple, il va surement falloir mettre les mains dans le cambouis et modifier le template de votre thème.
N’hésitez pas à leur demander où se trouvent ces URLs et s’ils savent lesquelles peuvent être considérées comme étant en mixed content. Dans mon cas, seules 3 URLs (des fonts) devaient être modifiées. Dans le cas des URLs sur les articles par exemple, c’est une autre paire de manches.
Un plugin WordPress pour chasser le mixed content
L’option la plus simple, vous pouvez utiliser le plugin Better Search Replace pour ce faire. Je vous invite également à lire un petit tuto pour pouvoir l’utiliser correctement. N’oubliez pas de faire une sauvegarde de votre BDD !
En gros, à coté du mot rechercher, entrez l’adresse de votre blog en http exemple : http://www.mondomaine.fr
Puis en dessous, case Remplacer avec, indiquez https://www.mondomaine.fr
Sélectionnez à présent toutes les tables mais évitez de cocher « Remplacez les GUID », parce que c’est a priori plus compliqué.
Vous pouvez cliquer sur « Juste faire un test ? » et cela vous donnera une idée de tout ce qu’il faut remplacer. Quand vous êtes fin prêt, décocher le « faire un test » et cliquer sur Rechercher / Remplacer. Vous risquez de nouveau de devoir vous reconnecter à votre tableau de bord. Pas d’inquiétude, c’est normal.
Modifier l’URL de votre blog dans Google Analytics
Vous verrez que même sans modifier votre URL, Google Analytics continue quand même d’enregistrer tous vos visiteurs comme si de rien n’était et de tracker les bonnes pages. Du coup, quel intérêt de switcher ?
Tout simplement parce que c’est plus propre ☺
Il vous suffit d’aller dans la partie “Administration” puis colonne “Vue” et enfin “Paramètre de la vue”. Vous verrez alors apparaitre URL du site web, au lieu de garder http://, switcher pour https://
C’est aussi simple que ça !
Ajouter des propriétés sur Search Console
Aussi bête que cela puisse paraître, Google considère que le même site ayant deux protocoles différents à savoir http et https sont deux sites différents.
Du coup, il va falloir réindexer votre site pour qu’il puisse le prendre en compte.
Il vous suffit pour cela de vous connecter à search Console et de cliquer sur “Ajouter une propriété” en haut à droite.
N’oubliez pas d’inclure:
https://domain.com et https://www.domain.com SAUF si votre site n’utilise absolument pas l’un ou l’autre.
Quand c’est fait, renvoyez un sitemap (Le plugin yoast fournit de très bons sitemaps) et attendez que Google mette à jour toutes vos URLs.
De mon côté, après 2 à 3 semaines, toutes mes URLs ou presque étaient indexées et les gens ne me trouvaient plus qu’en https ou presque. Il semble que quelques pages en http soient encore indexées mais ça ne change pas grand chose de toute façon puisqu’une redirection en https est automatique.
Il est par ailleurs inutile de signaler un changement d’adresse à Google, puisqu’il gère le passage de http vers https tout seul comme un grand.
Voir leur message ici: N’envoyez pas de demande de changement d’adresse si votre site passe simplement du protocole HTTP au protocole HTTPS.
Il ne vous reste plus qu’à mettre à jours votre fichier robots.txt. Par ailleurs, Yoast ne conseille plus de bloquer quoique ce soit dans ce fichier. Je n’ai par ailleurs jamais eu de robots.txt et ai toujours été très bien référencée ! (Google ne référençant pas des dossiers sensibles tels que wp-admin dans tous les cas).
Tester son site en https
Voici un petit site gratuit qui va vous permettre de tester votre nouveau site en https ! (Puisque vous êtes chez OVH, vous devriez obtenir la note A voire A+ dans tous les cas)
J’obtiens A+ en testant mon site.
Voilà, vous avez désormais toutes les cartes en main pour réussir une migration parfaite ! J’ai note une légère baisse de fréquentation sur mon site avec un peu moins de « queries » sur Search Console certains jours. Je pense donc que cela prend peut-être quelques semaines avant de revenir à la normale. (Baisse de l’ordre de 10 à 20 % de trafic peut-être) Google indique par ailleurs qu’il est tout à fait normal de noter une petite baisse de trafic. Pas d’inquiétude donc.
HTTPS et Google Adsense
On peut lire ici et là que passer en https serait très mauvais pour un site utilisant Adsense. C’était effectivement le cas jusqu’en 2014. Désormais, Google supporte à 100 % le protocole https et la plupart des annonces sont déjà en https.
Vérifiez bien cependant que vos codes d’annonces contiennent des URLs type //pageads2.googlesyndication.com au lieu de http://pageads2.googlesyndication.com, auquel cas il faudrait manuellement enlever tous les http pour ne laisser place qu’à //. Logiquement si votre code n’est pas trop vieux, vous ne devriez pas avoir à faire de modification.
De mon côté, absolument aucune baisse de mes gains voire même une petite hausse. Mais bon je ne suis pas sure que ce soit dû à mon passage vers https !
Si vous avez des questions, n’hésitez pas à les poser en commentaires ☺ Bonne migration !
Lisa
Les derniers articles par Lisa (tout voir)
- Passer en HTTPS un site WordPress chez OVH - 3 mars 2017
- Comment repérer les faux profils Linkedin et les invitations douteuses ? - 2 novembre 2015
- Google Analytics : bloquer 4webmasters .org et tous les bots / sites référents - 20 mai 2015
Tu veux gagner de l'argent avec ton blog ?
Lis tout de suite BlogBuster dispo sur Amazon, Kobo, Fnac, iTunes pour 3,99 €
Nous te recommandons :
Categories and SEO
Commentaires (16)
Bonjour,
Merci pour cet article complet. Je suis chez 1and1 et j’imagine que le processus doit être assez proche de celui proposé pour OVH. Je vais évidemment suivre tout cela rapidement car il faut suivre l’actualité de Google pour éviter les problèmes de référencement ;)
Salutations
Bonjour,
Depuis que je suis passé en https, mes revenus Adsense ont été divisés par 2 (le CPC – Coût Par Clic – a chuté de 50%).
J’essaie de trouver des tutos pour revenir à l’état initial (passer de https à http).
Merci.
Quand as-tu installé tes pubs adsense à l’origine ? Il ne devrait y avoir aucune baisse à part si ton passage en https a fait baisser ton trafic. Ca sera généralement le cas pendant 3 mois, tu verras de 10 à 30 % de baisse.
Si ton code Adsense est vieux,ça expliquerait la baisse également. Sinon non, il n’y a aucune baisse.
merci, j’avais pas pensé à analytics !!!
Hello :)
Comment parviens-tu à changer l’adresse de ton blog dans l’onglet Réglages de la plateforme WP ? Les deux cases avec l’adresse de mon blog sont grisées et donc je ne peux pas y toucher.. Merci d’avance !
Ton site est hébergé chez WP ou tu as ton nom de domaine ? Si le site est hébergé, normal que tu mais pas l’option.
J’ai mon nom de domaine justement.. :/
Poste une capture d’écran.
Voilà :) (J’espère que ça va marcher)
Et bien non, donc voilà le lien !
https://4.bp.blogspot.com/-_DxC_0Pj3Lw/WbpNGX5MnjI/AAAAAAAAFcs/hDWGn-JwqmcbYw5LMyz9J8GUo4HZReClwCLcBGAs/s1600/tablea-de-bord-WP.jpg
Est ce que tu as un plugin qui pourrait bloquer ça ?
Sinon une solution trouvée sur le web https://codex.wordpress.org/Changing_The_Site_URL
Si vous voulez planifier des opérations esthétiques d’augmentation mammaire alors demandez devis gratuit sans engagements, des experts en chirurgie esthétique, médecine esthétique et médecine maxillo-faciale sont prêts à vous garantir des soins de meilleure qualité.
Bonjour, j’ai un problème au sujet du certificat SSL. Quand je veux l’activer dans l’onglet multisite, ce n’est pas possible et je reçois ce message d’erreur :
No attached domain with ssl enabled or no attached domain that redirects on hosting IPs, please use hosting IPs in your domain zone.
Que faut il faire !?
Merci d’avance !
Sophie Chouard
Hello, étant peu calé dans ce domaine, j’ai suivi le tuto mais je bloque rapidement : pas de fichier htaccess nul-part .. Normal ? Merci d’avance
jolie article meri bien pour la partage
interéssant