Passer en HTTPS un site WordPress chez OVH

rédigé par Lisa, le mars 3, 2017

Vous avez peut-être entendu dire que Google Chrome avait décidé d’indiquer que les sites étaient non sécurisés s’ils n’utilisaient pas la norme https. Ce protocole chiffrant les données est en effet bien plus sécurisé que le simple http.

https-vers-https

Problème, la plupart des sites début 2017 utilisaient encore le protocole http. Pire encore, selon Builtwith, seulement 18,3 % des 10 000 plus gros sites web dans le monde utilisaient https. 

Pourtant, il y a de nombreux avantages à utiliser https ! Dont une sécurité renforcée et un petit boost au niveau du référencement. En fait, il n’y a pour le moment pas vraiment d’impact (ou alors mineur) sur le référencement mais j’imagine que ce sera assez important d’ici quelques années !

Etant donné qu’il est facile de faire une migration https en utilisant WordPress, nous allons le faire ensemble, pas à pas, depuis un hébergement OVH.

Les étapes pour réussir sa migration HTTPS :

  1. Activer son certificat SSL
  2. Changer les URLs de WordPress en HTTPS
  3. Rediriger les URLs en HTTP vers des URLs en HTTPS
  4. Attention au mixed content
  5. Remplacer le mixed content à la main
  6. Un plugin WordPress pour chasser le mixed content
  7. HTTPS et Google Analytics
  8. Indexer son site HTTPS dans Search Console
  9. Tester son site HTTPS
  10. HTTPS et Google AdSense

 

Activer son certificat SSL

 

OVH propose depuis juillet dernier des certificats SSL let’s encrypt gratuits et pour tout le monde ! Il serait donc bête de s’en priver. Comme le précise OVH « aucune connaissance technique n’est requise. Le certificat SSL est dorénavant inclus dans toutes les offres Hébergement Web, et activera le protocole « HTTPS », par défaut et gratuitement. D’une durée de validité de 90 jours, il sera renouvelé automatiquement sans aucune intervention de la part de l’utilisateur. »

Bonne nouvelle, il n’y a donc rien à faire de notre côté, si ce n’est de bien vérifier qu’il est activé !

 

Par défaut, votre SSL devrait être activé et vous devriez voir apparaitre un « oui » à côté de la mention Certificat SSL.

SSL activé


Si ce n’est pas le cas, rendez-vous sur votre espace client. Sélectionnez votre hébergement dans la partie de gauche, puis cliquez sur « Commander un certificat SSL ».

commander-ssl-ovh

Choisissez ensuite Certificat gratuit (Let’s encrypt) . Puis Suivant .

Une fois le certificat généré, le protocole HTTPS est disponible sous quelques heures, le temps de le déployer sur l’ensemble de l’infrastructure.

De mon côté, cela a pris environ 1 ou 2 h pour être activé. (Je l’avais désactivé car n’avais pas eu le temps de migrer mon blog quand l’option est sortie)

Si vous souhaitez désactiver votre SSL, il suffit de cliquer sur Supprimer le SSL, puis Valider.

supprimer-ssl

Une fois le certificat supprimé, le protocole HTTPS devient indisponible sous quelques heures, le temps de le supprimer sur l’ensemble de l’infrastructure.

Si vous avez des multisites, OVH propose un tuto très simple ici.

 

Changer les URLS de WordPress en HTTPS

 

Bien que vous ayez activé votre certificat, vous verrez que toutes vos pages restent en http ! Pour modifier tout ça, il suffit de vous connecter à votre wp-admin, et accéder aux Réglages > Général

Vous verrez alors les deux URL de votre site en http. Il suffit en fait de les modifier pour qu’elles affichent désormais https.

https-wordpress

Enregistrer vos modifications, WordPress vous demandera de vous reconnecter à votre tableau de bord. Pas de panique, c’est tout à fait normal !

Maintenant, naviguez sur votre site et magie ! Toutes vos URLs sont en https.

C’est maintenant que le gros du boulot commence ;-)

 

Rediriger les URLs HTTP vers des URLs en HTTPS

 

Comme vous avez pu le constater, c’est bien beau d’avoir un site en https mais toutes vos pages en http restent accessibles. Pour cela, il faut forcer https sur tout votre site en éditant le fichier .htaccess de WordPress.

Le fichier .htaccess se trouve à la racine de votre site WordPress, vous pouvez le télécharger sur votre ordinateur en utilisant un client FTP comme Cyberduck (dans Présentation, pensez à cocher la case « Afficher les fichiers cachés » pour le voir).

 

Editez-le ensuite en local avec le bloc notes en ajoutant ces 3 lignes de code en début de fichier (pour éviter tout conflit avec le reste des instructions) :

 

RewriteEngine on
RewriteCond %{SERVER_PORT} 80
RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

 

Une fois les 3 lignes de code ajoutées et le fichier .htacess uploadé à la racine de votre WordPress, supprimez le cache de votre WordPress (si vous utilisez par exemple un plugin de cache, comme WP Super Cache).

Testez ensuite que vos articles populaires en http indexés sur Google vous reroutent bien vers vos articles en https, et pas sur votre page d’accueil !

test-google

Ici, ci-dessous, la redirection https se passe bien

test-google-marche

Faites-le test sur plusieurs navigateurs pour valider que le code  de redirection .htaccess fonctionne bien. Vérifiez aussi vos stats Google analytics. Si vous avez plus de pages d’accueil qu’à l’accoutumé et moins d’audience sur vos articles, c’est que la redirection ne marche pas bien.

D’autres méthodes de redirections HTTP vers HTTPS  et cette méthode ont été trouvées sur WebRankInfo.

NB : la méthode décrite précédemment a fonctionné sur le blog BlogBuster.fr mais pas sur mon blog. Voici une autre méthode que je vous propose qui m’a été recommandée par Buddy, un membre du forum OVH.

 #force la redirection en HTTPS

RewriteEngine on

RewriteCond %{SERVER_PORT} 80 [OR]

RewriteCond %{HTTP_HOST}  ^www\.monsite\.com$ [NC]

RewriteRule ^(.*) https://monsite.com/$1 [QSA,L,R=301]

 #permet aux navigateurs de se souvenir qu’il doit passer en https pour votre site (HSTS)

<IfModule mod_headers.c>

Header set Strict-Transport-Security « max-age=15811200; includeSubDomains; preload »

</IfModule>

Remplacez monsite.com par le nom de domaine de votre site.

Grâce à ce code, HSTS (HTTP Strict Transport Security) est également actif pour 6 mois et remis à jour automatiquement après 6 mois. Avec ce protocole, un agent utilisateur compatible (Chrome, Safari etc.) remplace automatiquement vos liens http par des liens https. Si votre certificat ne fonctionne pas ou s’il y a une erreur avec ce dernier, un message d’erreur sera alors indiqué et votre visiteur ne pourras pas accéder à votre site.

 

Attention au mixed content !

 

Après avoir switché vers https, un problème se pose, le mixed content ! Cela signifie que certaines de vos URLs utilisent encore la norme http. Les navigateurs n’aiment pas ça et vont vous afficher un carré jaune. Cela veut dire que le site n’est pas sécurisé à 100 %.

Pour découvrir ce qui se passe, vous pouvez via Chrome faire un clic droit, sélectionner Inspecter > Console et découvrir quelques erreurs:

mixed-content

Il va donc falloir modifier toutes ces URLs et leur préférer la version https.

Pour ce faire vous avez deux solutions :

  • Inspecter toutes les URLs à la main (mon choix, valable uniquement si vous avez un petit site),
  • Utiliser un plugin qui va le faire pour vous.

 

Remplacer le mixed content à la main

 

Il suffit en gros de visiter toutes les pages de votre site et de modifier toutes les URLs pointant vers votre site en https.

Quand c’est votre thème qui affiche des polices ou des images en http par exemple, il va surement falloir mettre les mains dans le cambouis et modifier le template de votre thème.

N’hésitez pas à leur demander où se trouvent ces URLs et s’ils savent lesquelles peuvent être considérées comme étant en mixed content. Dans mon cas, seules 3 URLs (des fonts) devaient être modifiées. Dans le cas des URLs sur les articles par exemple, c’est une autre paire de manches.

 

Un plugin WordPress pour chasser le mixed content

 

L’option la plus simple, vous pouvez utiliser le plugin Better Search Replace pour ce faire. Je vous invite également à lire un petit tuto pour pouvoir l’utiliser correctement. N’oubliez pas de faire une sauvegarde de votre BDD !

replace

En gros, à coté du mot rechercher, entrez l’adresse de votre blog en http exemple : http://www.mondomaine.fr

Puis en dessous, case Remplacer avec, indiquez https://www.mondomaine.fr

Sélectionnez à présent toutes les tables mais évitez de cocher « Remplacez les GUID », parce que c’est a priori plus compliqué.

Vous pouvez cliquer sur « Juste faire un test ? » et cela vous donnera une idée de tout ce qu’il faut remplacer. Quand vous êtes fin prêt, décocher le « faire un test » et cliquer sur Rechercher / Remplacer. Vous risquez de nouveau de devoir vous reconnecter à votre tableau de bord. Pas d’inquiétude, c’est normal.

 

Modifier l’URL de votre blog dans Google Analytics

 

Vous verrez que même sans modifier votre URL, Google Analytics continue quand même d’enregistrer tous vos visiteurs comme si de rien n’était et de tracker les bonnes pages. Du coup, quel intérêt de switcher ?


Tout simplement parce que c’est plus propre

Il vous suffit d’aller dans la partie “Administration” puis colonne “Vue” et enfin “Paramètre de la vue”. Vous verrez alors apparaitre URL du site web, au lieu de garder http://, switcher pour https://

blogbuster-analytics

C’est aussi simple que ça !

 

Ajouter des propriétés sur Search Console

 

Aussi bête que cela puisse paraître, Google considère que le même site ayant deux protocoles différents à savoir http et https sont deux sites différents.

Du coup, il va falloir réindexer votre site pour qu’il puisse le prendre en compte.

Il vous suffit pour cela de vous connecter à search Console et de cliquer sur “Ajouter une propriété” en haut à droite.

N’oubliez pas d’inclure:

https://domain.com et https://www.domain.com SAUF si votre site n’utilise absolument pas l’un ou l’autre.

Quand c’est fait, renvoyez un sitemap (Le plugin yoast fournit de très bons sitemaps) et attendez que Google mette à jour toutes vos URLs.

sitemap-blogbuster

De mon côté, après 2 à 3 semaines, toutes mes URLs ou presque étaient indexées et les gens ne me trouvaient plus qu’en https ou presque. Il semble que quelques pages en http soient encore indexées mais ça ne change pas grand chose de toute façon puisqu’une redirection en https est automatique.

Il est par ailleurs inutile de signaler un changement d’adresse à Google, puisqu’il gère le passage de http vers https tout seul comme un grand.

Voir leur message ici: N’envoyez pas de demande de changement d’adresse si votre site passe simplement du protocole HTTP au protocole HTTPS.

Il ne vous reste plus qu’à mettre à jours votre fichier robots.txt. Par ailleurs, Yoast ne conseille plus de bloquer quoique ce soit dans ce fichier. Je n’ai par ailleurs jamais eu de robots.txt et ai toujours été très bien référencée ! (Google ne référençant pas des dossiers sensibles tels que wp-admin dans tous les cas).

 

Tester son site en https

 

Voici un petit site gratuit qui va vous permettre de tester votre nouveau site en https ! (Puisque vous êtes chez OVH, vous devriez obtenir la note A voire A+ dans tous les cas)

J’obtiens A+ en testant mon site.

Voilà, vous avez désormais toutes les cartes en main pour réussir une migration parfaite ! J’ai note une légère baisse de fréquentation sur mon site avec un peu moins de « queries » sur Search Console certains jours. Je pense donc que cela prend peut-être quelques semaines avant de revenir à la normale. (Baisse de l’ordre de 10 à 20 % de trafic peut-être) Google indique par ailleurs qu’il est tout à fait normal de noter une petite baisse de trafic. Pas d’inquiétude donc.

 

HTTPS et Google Adsense

 

On peut lire ici et que passer en https serait très mauvais pour un site utilisant Adsense. C’était effectivement le cas jusqu’en 2014. Désormais, Google supporte à 100 % le protocole https et la plupart des annonces sont déjà en https.

Vérifiez bien cependant que vos codes d’annonces contiennent des URLs type //pageads2.googlesyndication.com au lieu de http://pageads2.googlesyndication.com, auquel cas il faudrait manuellement enlever tous les http pour ne laisser place qu’à //. Logiquement si votre code n’est pas trop vieux, vous ne devriez pas avoir à faire de modification.

De mon côté, absolument aucune baisse de mes gains voire même une petite hausse. Mais bon je ne suis pas sure que ce soit dû à mon passage vers https !

Si vous avez des questions, n’hésitez pas à les poser en commentaires Bonne migration !

Lisa
Suivez-moi

Lisa

Lisa est passionnée par la plateforme WordPress et gère plusieurs blogs personnels depuis 2009. Installée depuis plusieurs années au Canada, elle travaille en tant que spécialiste digital et passe une bonne partie de son temps libre à gérer des campagnes SEM. Elle participe également très activement aux forums dédiés au digital et est incollable sur Wikipedia.
Lisa
Suivez-moi


Tu veux gagner de l'argent avec ton blog ?
Lis tout de suite BlogBuster dispo sur Amazon, Kobo, Fnac, iTunes pour 3,99 €

blogbuster ebook

Nous te recommandons :


Categories and  SEO

Commentaires (16)

 

  1. jc dit :

    Bonjour,

    Merci pour cet article complet. Je suis chez 1and1 et j’imagine que le processus doit être assez proche de celui proposé pour OVH. Je vais évidemment suivre tout cela rapidement car il faut suivre l’actualité de Google pour éviter les problèmes de référencement ;)

    Salutations

  2. MA dit :

    Bonjour,

    Depuis que je suis passé en https, mes revenus Adsense ont été divisés par 2 (le CPC – Coût Par Clic – a chuté de 50%).

    J’essaie de trouver des tutos pour revenir à l’état initial (passer de https à http).

    Merci.

  3. Lisa dit :

    Quand as-tu installé tes pubs adsense à l’origine ? Il ne devrait y avoir aucune baisse à part si ton passage en https a fait baisser ton trafic. Ca sera généralement le cas pendant 3 mois, tu verras de 10 à 30 % de baisse.

    Si ton code Adsense est vieux,ça expliquerait la baisse également. Sinon non, il n’y a aucune baisse.

  4. OGL dit :

    merci, j’avais pas pensé à analytics !!!

  5. Ophélie G. dit :

    Hello :)
    Comment parviens-tu à changer l’adresse de ton blog dans l’onglet Réglages de la plateforme WP ? Les deux cases avec l’adresse de mon blog sont grisées et donc je ne peux pas y toucher.. Merci d’avance !

  6. Lisa dit :

    Ton site est hébergé chez WP ou tu as ton nom de domaine ? Si le site est hébergé, normal que tu mais pas l’option.

  7. Ophélie G. dit :

    J’ai mon nom de domaine justement.. :/

  8. Lisa dit :

    Poste une capture d’écran.

  9. Ophélie G. dit :

    Voilà :) (J’espère que ça va marcher)

  10. Lisa dit :

    Est ce que tu as un plugin qui pourrait bloquer ça ?

    Sinon une solution trouvée sur le web https://codex.wordpress.org/Changing_The_Site_URL

  11. Si vous voulez planifier des opérations esthétiques d’augmentation mammaire alors demandez devis gratuit sans engagements, des experts en chirurgie esthétique, médecine esthétique et médecine maxillo-faciale sont prêts à vous garantir des soins de meilleure qualité.

  12. Sophie Chouard dit :

    Bonjour, j’ai un problème au sujet du certificat SSL. Quand je veux l’activer dans l’onglet multisite, ce n’est pas possible et je reçois ce message d’erreur :
    No attached domain with ssl enabled or no attached domain that redirects on hosting IPs, please use hosting IPs in your domain zone.
    Que faut il faire !?
    Merci d’avance !
    Sophie Chouard

  13. Nico dit :

    Hello, étant peu calé dans ce domaine, j’ai suivi le tuto mais je bloque rapidement : pas de fichier htaccess nul-part .. Normal ? Merci d’avance

  14. jolie article meri bien pour la partage

Deviens toi aussi un YouTubeur


Rechercher


Recevoir Blogbuster par email

    Ajoutez votre email :





BlogBuster, le livre


blogbuster ebook

Catégories


Derniers articles et tutos


Derniers plugins ajoutés


Trouver un plugin


Mentions légales - Contact