1. Le protocole https c’est quoi ?

wordpress-https-protocole https c'est quoi

Le HTTPS(HyperText Transfer Protocol Secure) est un protocole internet. Il est la version sécurisé du protocole HTTP (HyperText Transfer Protocol). Vous savez ces lettres qui apparaissent toujours devant l’adresse du site que vous consultez.

chrome-56-beta-debut-des-alertes-site-non-securise

Aujourd’hui de plus en plus de sites utilisent la version HTTPS et vous voyez dans la barre d’adresse de votre navigateur (Chrome, Firefox, Safari Opéra) un petit cadenas vert fermé avec de plus en plus souvent le texte « site sécurisé ».

Pour vous connecter à un site internet via un navigateur, vous passez par des serveurs. Ces serveurs échangent entre eux avec un ou plusieurs port (porte d’entrée) et un protocole (langage utilisé). HTTPS = HTTP+SSL

Le HTTP est donc le langage utilisé pour permettre l’accès à un lien internet (hypertext).
Le HTTPS est le même langage mais qui crypte les échanges et les authentifie grâce à un certificat SSL.

Pourquoi votre CMS WP a besoin en urgence du protocole HTTPS. Un protocole obligatoire pour les sites e-commerce (woocommerce, magento, prestashop), mais aussi pour les blogs et les informations diffusées par des journalistes professionnels ou amateurs, tout comme pour les sites qui ont des revenus publicitaires

2. Quels sites ou blogs sont concernés par le passage en HTTPS ?

wordpress https site responsive différents site internet

Les sites pour lesquels aucun doute ne subsiste :

  • Sites e-commerce avec ou sans paiement en ligne, car il nécessite une connexion espace client. Sont concernés les sites Woocommerce pour WordPress, mais aussi sites Prestashop, Magento, Wix ou Joomla ou Drupal… Pour accéder au places de marchés comme Google Merchant Center, seuls les sites en HTTPS sont dorénavant acceptés.
  • Sites avec connexion à un espace membre, sites des villes, d’associations, les forums et les intranets …
  • Sites  avec affichage de publicités

Mais en réalité, tous les sites et blogs sont concernés :

  • Blog d’information pour garantir l’intégrité des données et éviter la censure.
  • Site utilisant une application tierce collectant des données, l’exemple le plus courant et visible est l’utilisation d’une API de géolocalisation.
  • Site avec un abonnement à la newsletter, ou offrant la possibilité de mettre des commentaires.
  • Les sites éphémères ou événementiels pour permettre les inscriptions en ligne.
  • Site institutionnel ou corporate qui souhaite donner confiance et garantir la sécurité à ses utilisateurs.

Aujourd’hui on ne fait plus la distinction entre un site mobile ou un site classique, car il est primordial que votre site soit compatible sur tous les supports. L’affichage de vos pages doit donc se faire de manière responsive (multi devices), c’est à dire que les données s’adaptent automatiquement au format du support.

Pour tester votre site sur les différents types d’écrans, utilisez l’un des outils gratuits de Google.

Vous voulez améliorer votre score, suivez ce tutoriel complet pour wordpress.

3. Pourquoi passer de HTTP à HTTPS le plus rapidement possible

Il existe des raisons déjà bien connues pour passer de HTTP en HTTPS sur un site WordPress. Dans cette première partie nous allons voir les 3 principaux avantages d’un WordPress HTTPS : Ne pas avoir de messages d’alerte dans les navigateurs, maintenir ou améliorer son référencement naturel et protéger son site contre le piratage.

Votre site WordPress perd tous ses visiteurs en 2017 !

Imaginez-vous vendre votre voiture sans frein ni ceintures de sécurité ?
Pire, imaginez-vous afficher sur votre voiture : « A vendre véhicule dangereux » ?
Voulez-vous faire fuir tous vos prospects ou acheteurs potentiels et perdre tout votre trafic ?

Votre site WordPress sans HTTPS est un site dangereux aux yeux des internautes.

 

Google, Apple, Firefox imposent le HTTPS

Les principaux navigateurs web et mobiles ont annoncé leur intention d’intensifier les avertissements aux utilisateurs qui naviguent sur des sites non chiffrés.
Par exemple, Google a récemment déclaré que son navigateur Chrome 56 va indiquer d’une manière très évidente qu’un site Web qui est en HTTP est dangereux.

  •  94 % des recherches sur internet se font sur Google : Chrome affiche une alerte de sécurité sur les sites non sécurisés en HTTPS.
  • Firefox applique la même stratégie, les sites en HTTP subiront une alerte « non sécurisé ».
  • 1er janvier 2017 : Apple ne diffuse plus les applications sans sécurisation sur son App Store.

Si votre site Web n’est pas en HTTPS, les visiteurs voient cette alerte lorsqu’ils arrivent sur votre site :

Wordpress HTTPS alerte navigateur site non sécurisé

Pire, si votre contenu a été corrompu, ou qu’un des navigateurs pense que c’est le cas, un message terrible s’affiche :

Wordpress HTTPS alerte navigateur site trompeur

WordPress HTTS : un critère SEO

Google a encouragé tous les types de sites Web à passer en HTTPS. Déjà en 2014, ils ont annoncé qu’ils donneraient une préférence en référencement naturel pour les sites HTTPS. Si l’impact SEO du HTTPS est resté assez faible, il progresse régulièrement.

Le passage en HTTPS est donc important pour au minimum maintenir le classement de votre site sur les moteurs de recherche. Cependant, la migration de HTTP en HTTPS nécessite certaines étapes que les administrateurs de serveurs doivent suivre avec précaution pour éviter un effet négatif en SEO. Les principaux risques sont de générer des pages orphelines restées en HTTP ou de ne pas réussir correctement les redirections des URL en HTTPS.

En réalisant la migration de votre site de HTTP en HTTPS, vous prenez un avantage concurrentiel en SEO.

Sécuriser votre site WordPress contre le piratage

Les sites Web non cryptés en HTTPS peuvent être la cible de vol de données sensibles, que l’utilisateur transmet au travers son navigateur. Mais un pirate peut aller plus loin et profiter du manque de sécurité pour injecter des logiciels malveillants. Ce qui peut conduire à l’installation de virus dans votre ordinateur.

Par exemple,Edward Swoden (ancien de la NSA)  a révélé, que cette technique appelée « Quantum Insert », a été utilisé par GCHQ (équivalent de la NSA au Royaume-Uni) pour implanter des malwares dans les sites Slashdot et de LinkedIn afin de pirater Belgacom (fournisseur télécommunication en Belgique). Depuis les sites sont passés en HTTPS !

On appelle malware tout type de logiciel essayant d’infecter un ordinateur, un smartphone ou une tablette. Les pirates informatiques utilisent les logiciels malveillants à de nombreuses fins, la plupart impliquant l’extraction d’informations personnelles, le vol d’argent ou de propriété intellectuelle ou l’impossibilité pour les utilisateurs d’accéder à leur appareil.

Plus récemment, un rapport de Citizen Lab a révélé que des entreprises privées vendent des appareils réseau qui pourraient effectuer cette attaque contre des utilisateurs de sites Web populaires non chiffrés, y compris YouTube. YouTube a depuis intensifié ses efforts pour déployer le protocole HTTPS sur l’ensemble de son site. Ils ont récemment déclaré que 97% de leur trafic utilise maintenant le HTTPS, et ils envisagent de supprimer progressivement toutes les connexions non sécurisées.

Mais, vous n’imaginez pas tous les bénéfices supplémentaires de WordPress HTTPS

Respectez la vie privée de vos visiteurs avec votre site WordPress HTTPS

Les articles d’un blog WordPress que vous lisez peuvent fournir des informations personnelles, sur vous, vos centres d’intérêt, votre travail ou votre vie privée. Un site web sans HTTPS, surtout si vous êtes connecté en WIFI public, pourra être espionné par un pirate informatique ou un gouvernement. Ce n’est évidemment pas de la science-fiction, mais une réalité comme le cas de la NSA qui espionnait les visiteurs de WikiLeaks.org.

Le HTTPS empêche ce type d’espionnage, même si un escroc peut identifier que vous visitez le site de The Guardian, il ne pourra pas voir quelles pages spécifiques vous lisez.

Protéger les données confidentielles de vos visiteurs

HTTPS est le plus souvent utilisé sur les sites qui demandent aux utilisateurs des informations sensibles, comme des mots de passe ou des coordonnées de carte de crédit.
Sans le cryptage fourni par le protocole HTTPS, les informations envoyées sur le réseau le sont « en clair », et peuvent être interceptées.

Mettre en place le HTTPS c’est garantir à vos utilisateurs la protection de leurs données.

Perdre vos revenus publicitaires

Si le modèle de revenus de votre site inclut la publicité, le manque d’intégrité du HTTP a également des répercussions sur vos ressources.

Des études récentes ont montré que les FAI (Fournisseurs d’Accès à Internet) et les principaux opérateurs réseau injectent régulièrement du contenu dans le trafic des utilisateurs sur mobile et ordinateur. Cette pratique sert principalement à augmenter leurs propres revenus avec l’injection de publicités tierces ou l’utilisation de cookies pour suivre le comportement des utilisateurs en ligne. Les opérateurs de réseau peu scrupuleux peuvent remplacer vos annonces par les leurs. Ils peuvent également injecter de mauvaises publicités, ce qui pourrait nuire à la perception de votre marque, ou même être utilisé pour installer un malware.

Le HTTPS permet de protéger vos ressources publicitaires.

Éviter la censure de vos contenus

Le trafic non chiffré sur HTTP, aussi connu sous le nom de plaintext, est plus facile à identifier et filtrer par les gouvernements autoritaires. Cela permet de réaliser une censure sélective des articles, des sujets, des reporters ou des points de vente spécifiques . Cette technique est courante lorsqu’un journal en ligne rapporte un événement qu’un gouvernement n’a pas envie de voir divulguer.

Forcer votre site Web en totalité à passer en HTTPS signifie que les gouvernements ne peuvent plus bloquer tel ou tel article. S’ils veulent effectuer une censure, ils seront contraints de bloquer l’accès entier à votre site internet. Des exemples récents laissent à penser qu’ils sont beaucoup moins enclins à le faire. Comme l’a noté EFF (Electronic Frontier Foundation), « à maintes reprises, nous avons vu […] les gouvernements abandonner la censure globale d’un site lorsque la censure granulaire n’était pas possible ». Par exemples, en Chine avec GitHub, en Iran pour Google Reader, et en Russie avec Wikipedia.

Contrer la modification indésirable de vos pages et articles

Savez-vous que sans HTTPS, le texte que vous approuvez pour la publication de vos articles n’est peut-être pas les mots que vos lecteurs voient ?

Outre le cryptage, le HTTPS assure l’intégrité du contenu de votre site. Sans cela, le contenu est modifiable et peut être manipulé sans que vous ou vos lecteurs ne le réalisiez.

Accélérez la vitesse de votre site Wp

L’avenir du protocole HTTP est le nouveau protocole HTTP/2. Ce protocole permet un gain de vitesse, mais pour en bénéficier il est impératif que votre site soit déployé en HTTPS. Ce que cela signifie est que HTTPS ne sera pas seulement nécessaire pour la sécurité de votre contenu, il sera nécessaire pour une livraison plus rapide et une grande fonctionnalité autour de votre contenu pour vos lecteurs. Le HTTP/2 améliore la vitesse et le HTTPS sa sécurité.

Pour accélérer la vitesse d’affichage de votre site WordPress sur ordinateur, tablette et surtout mobile vous pouvez lire le tuto WordPress dédié à ce sujet.

Affichage sur mobile le duo HTTPS et AMP obligatoire

Google a dévoilé que la sécurisation HTTPS serait obligatoire pour continuer à bénéficier du référencement des pages au format AMP.

L’AMP ou Accelerate Mobile Page est un format spécifique pour alléger considérablement le contenu d’une page afin de la rendre facile et rapide à télécharger sur un mobile. Avec un volume de recherche devenu plus important sur mobile que sur ordinateur, la diffusion de contenu dans ce format est une excellente technique pour augmenter sa visibilité et son référencement naturel.

Ce format prend toute son importance avec le projet en cours de développement de Google. La firme californienne est en train de préparer une indexation des pages web dans 2 index différents. L’un pour les pages sur mobile, l’autre pour les pages pour ordinateur… Je vous laisse deviner lequel des deux sera prioritaire.

Conversion et expérience utilisateur passent par le HTTPS

Pour moi, imaginer une expérience client parfaite commence par la confiance (UX). L’utilisation d’un site WordPress HTTPS est l’étape obligatoire en 2017. Si je reprends, mon exemple d’introduction, une voiture garantie 7 ans, avec un contrôle technique complet facilitera sa vente. Pour un blog WP, c’est exactement la même chose, en arrivant sur votre site, votre visiteur doit être en confiance, se sentir en sécurité. L’affichage en clair « site sécurisé » qu’offre le premier niveau de certificat TLS (SSL) est une base indispensable.

Un accueil en confiance avec un site sécurisé, parce que sinon votre visiteur repart immédiatement. Votre taux de rebond va avoir une croissance vertigineuse. Dommage vous venez de perdre vos visiteurs et vous avez détérioré des critères SEO. Les internautes ont peur de se faire avoir su internet, alors rassurez-les avec des arguments solides sur le niveau de sécurité et de confiance.

Mais ensuite, si votre valeureux visiteur a malgré tout continué sa visite et qu’il souhaite se connecter à un espace membre ou client, ou s’il veut commander ou payer, les alertes dans Google Chrome, Firefox, Opéra ou Safari le feront fuir au moment de la conversion.

Bref sans HTTPS un site WordPress dégrade l’expérience utilisateur, fait chuter le taux de conversion et son référencement naturel. De plus, il met en danger la véracité de vos contenus et met en péril vos revenus publicitaires…

Vous souhaitez optimiser votre WordPress HTTPS dès maintenant et en toute sécurité, profitez de l’offre en cours :

wordpress https solution prestataire, professionnel freelance

4. Comment installer le HTTPS sur votre site WordPress

Si la meilleure solution est d’installer WordPress directement avec le protocole HTTPS lors de sa création avec le choix de son hébergeur et de son nom de domaine, pour les sites WP existants il faudra le faire manuellement.

L’organisation WordPress a d’ailleurs annoncé qu’elle ne présenterait plus les offres d’hébergement WordPress sans HTTPS. L’installation directe d’un nouveau site WordPress en HTTPS se fait maintenant presque aussi simplement qu’un site en HTTPS, chez des hébergeurs wordpress comme OVH ou 1&1. Ils offrent des solutions d’hébergements mutualisés ou en cloud hosting, selon votre budget. Profitez des offres d’un domaine gratuit, avec l’installation wordpress et le certificat SSL de base offerts avec votre hosting.

La première solution pour passer en HTTPS est donc de créer un nouveau site à la place du vôtre. Dans ce cas vous perdrez tout votre travail de référencement naturel. Mais passer en HTTPS correspond en fait à créer de nouvelles URL commençant par HTTPS en gardant le contenu et la structure de votre site.

Actuellement, aucun plugin WordPress ne peut suffire pour configurer automatiquement. Cependant, vous pouvez installer quelques extensions pour gérer des redirections, tester les URL cassées ou traiter les mixed content. Du côté des thèmes wp, l’installation ou non du protocole WordPress HTTPS a aussi une importance. Certains thèmes ou widgets Wordpress font appel à des ressources tierces non sécurisées (images, code CSS ou JavaScript).

L’utilisation de plugin, thèmes ou widgets spécifiques peut provoquer la perte du HTTPS sur plusieurs pages.

Si votre site ou blog a peu de pages et peu de visiteurs, vous pouvez essayer de le faire vous-même à l’aide de ce tutoriel WordPress HTTPS réalisé par Nathan. Vous suivrez ces 7 étapes clés pour passer de HTTP en HTTPS :

Infographie-comment-passer-son-site-HTTP-a-HTTPS

 

Une opération technique et délicate à confier à un développeur, un webmaster ou des spécialistes du transfert en HTTPS. En effet, vous aurez besoin de faire une sauvegarde de tous vos répertoires, d’accéder à votre base de données (par cpanel) et à votre admin wp, modifier la configuration de votre serveur, transférer des fichiers via FTP (filezilla)… Cela nécessite des connaissances php, mysql et html.

 wordpress https service professionnel sécurité freelance wp

5. Les meilleurs plugins wordpress pour le HTTPS

Avant d’installer un nouveau plugin dans votre admin wordpress, faites toujours une sauvegarde de votre site. En cas de dysfonctionnement vous pouvez supprimer le fichier du plugin directement en utilisant votre serveur ftp.

 

wordpress https plugin Really Simple SSL

Really Simple SSL, ce plugin développé par Rogier Lankhorst a déjà été installé plus de 80 000 fois et mis à jour pour la version 4.7 de wordpress.

Les fonctions de ce plugin qu’il suffit d’activer pour qu’il fonctionne :

  • Redirection des pages en http vers la version https. Si possible avec .htaccess, ou bien avec javascript.
  • L’url du site et l’URL de la page d’ accueil sont remplacés par https.
  • Les contenus mixtes non sécurisés sont corrigés en remplaçant tous les http: // urls par https: //, sauf les hyperliens vers d’autres domaines.
  • Les actions se dont dynamiquement, aucun changement de base de données n’est nécessaire (sauf la correction du nom de domaine et l’url de la page d’accueil).

Notes : le certificat SSL doit préalablement être installé sur votre site.

Wordpress https plugin wp force ssl

WP Force SSL sert à rediriger les pages http vers la version en https. Un plugin intallé plus de 10 000 fois très bien noté (5/5) car il fait le job en étant très léger (5 Ko).

Avant de l’utiliser vous avez besoin :

  • d’un certificat SSL déjà installé sur votre site
  • Ajouter https aux paramètres d’adresse WordPress (URL) et Adresse du site (URL) sous Général> Paramètres.

wordpress https plugin Easy HTTPS Redirection

Easy HTTPS Redirection, avec 20 000 installations, malgré une note de 3,8/5 il fonctionne correctement.

  • De forcer les moteurs de recherche à indexer vos pages en version HTTPS.
  • D’effectuer une redirection automatique pour l’ensemble du domaine ou pour certaines pages
  • De forcer la prise en de charger des fichiers statiques (images, js, css etc) en utilisant une URL HTTPS.

Ce plugin vous aidera à configurer automatiquement les redirections de https vers la version https

  • Ce plugin va rediriger un internaute qui utilise une URL http comme celle-ci : http://www.mon-site.fr/ma-page
  • Il redirigera automatiquement vers la version HTTPS : https://mon-site.fr/ma-page

Ainsi, vous forcer toujours vos visiteurs à afficher la version HTTPS de la page ou du site en question.

Avec ce plugin, vous pouvez forcer la totalité de votre domaine à être redirigé en automatique vers l’URL HTTPS ou bien sélectionner certaines pages.

Force de chargement des fichiers statiques à l’aide de HTTPS

Si vous avez commencé à utiliser SSL à partir du premier jour de votre site, tous vos fichiers statiques sont déjà intégrés à l’URL HTTPS. Vous n’avez aucun problème de ce côté là.

Par contre, si vous avez un site Web existant où vous avez beaucoup de fichiers statiques qui sont incorporés dans vos messages et les pages en utilisant l’URL NON-HTTPS, alors vous devrez les changer. Sinon, le navigateur affichera un avertissement SSL non valide à vos visiteurs.

Ce plugin a une option qui vous permettra de forcer la prise en charge de ces fichiers statiques en utilisant l’URL HTTPS dynamiquement. Cela vous aidera à rendre la page Web entièrement compatible avec SSL.

Comme pour la plupart des plugins wordpress, l’installation préalable d’un certificat SSL valide est nécessaire avant de pouvoir l’utiliser.

wordpress https plugin HTTP : HTTPS Remove

HTTP / HTTPS Remove est un plugin pour gérer les mix content présents sur votre site wordpress. La mission de HTTP / HTTPS Remove est de rendre tous vos plugins installés compatibles avec le HTTPS.

Plutôt simple et efficace à utiliser :

  • Aucun réglage requis
  • Compatible avec Visual Composer
  • Correction des problèmes de polices Google

Le contenu mixte se produit lorsque le HTML initial est chargé sur une connexion HTTPS sécurisée, mais que d’autres ressources tierces, comme des images, des vidéos, des feuilles de style ou des scripts sont chargées sur une connexion HTTP non sécurisée. C’est ce que l’on appelle les mix content car le contenu HTTP et HTTPS sont chargés pour afficher une même page et que la requête initiale était sécurisée en HTTPS.

Les navigateurs internet actuels affichent des avertissements sur ce type de contenu pour informer l’utilisateur que cette page contient des ressources non sécurisées. Vous perdez donc les avantages du HTTPS

Il est donc important de résoudre vos problèmes de contenu mixte afin de protéger tous vos visiteurs, y compris ceux des navigateurs plus anciens. Et c’est ce fait que ce plugin.

A noter que le plugin ne supprime pas http des liens externes.

 

wordpress https plugin WordPress HTTPS SSL

WordPress HTTPS (SSL) est le plugin HTTPS actuellement le plus téléchargé (80 000 installations), mais qui n’est hélas plus maintenu depuis 4 ans. Difficile de vous le conseiller, pourtant il remplit encore parfaitement sa mission, même si il vous affiche un message d’erreur lors de son activation.

Ce plugin offre 4 fonctions principales

  • Rediriger les pages chargées en HTTP vers la version HTTPS .
  • Bloquer les éléments indisponibles en HTTPS.
  • Charger des ressources externes en passant par leurs serveurs sécurisés.
  • Conserver certaine page ou article en HTTP.

Wordpress https plugin SSL Insecure Content Fixer

SSL Insecure Content Fixer est le plugin wordpress dédié aux contenus mixtes. Compatible avec la version WP 4.7, il est aussi installé sur plus de 50 000 sites et obtient une note 4,9/5.

Lorsque vous installez SSL Insecure Content Fixer, ses paramètres par défaut sont activés et il exécute automatiquement les correctifs de base sur votre site.
Vous pouvez sélectionner des niveaux de correction supérieurs selon les spécificités de votre site.
Un des plugin les plus complet pour résoudre les problème des mixt content, même si il nécessite d’affiner les réglages. Il permet d’identifier assez facilement et rapidement les incidents afin de les corriger.
Je vous conseille de suivre le guide détaillé proposé sur leur site.

Le plugin HTTP / 2 permet d’exploiter la nouvelle génération du protocole HTTP.
Parmi ses fonctionnalités les plus puissantes est push serveur, un moyen pour les serveurs Web d’envoyer des ressources vers le navigateur avant même qu’il réalise qu’il a besoin d’elles. Cela évite le cycle de requête / réponse HTTP habituel qui s’est produit pour chaque script ou feuille de style sur une page. Pour faire simple le HTTP/2 accélère la vitesse d’affichage d’une page. Ce qui est un des éléments essentiels de l’expérience utilisateur. Un atout pour faire baisser le taux de rebond et augmenter le taux de conversion d’un site.

Ce plugin permet à WordPress d’envoyer un en-tête Link: <…> rel = « prefetch » pour chaque script et style en file d’attente lorsque WordPress les génère dans la source de la page.

Précisions :

  • Le plugin nécessite un serveur Web qui prend en charge HTTP / 2.
  • Malheureusement, il ne peut pas aider les plugins et les thèmes qui produisent leurs propres scripts directement dans la page. Ils continueront à fonctionner mais sans l’accélération apportée par le HTTP/2.

6. Vérifiez la qualité de votre WordPress HTTPS

Vous pourriez est très heureux d’avoir enfin votre WordPress HTTPS avec le joli cadenas vert fermé qui s’affiche à côté de la mention site sécurisé. Oui, mais, tous les certificats SSL/TLS ne se valent pas. Vous devez vérifier si votre qualité de certificat est bonne. En effet, il est possible que votre site soit toujours exposé à certaines failles de sécurité.

Chaque navigateur Web possède une console qui vous aidera à comprendre votre avertissement HTTPS

Pour vérifier votre site, utilisez le service gratuit en ligne de Qualys SSL Labs. Vous aurez immédiatement la note de votre certificat SSL et les recommandations techniques pour l’améliorer.

Vous pouvez aussi tester votre site HTTPS avec Wy no padlok. Cet outil est très pratique car il liste tous les objets chargés sur une page et identifie ceux qui ne sont pas sécurisés.

Enfin je vous conseille de sécuriser votre admin WordPress avec, cette fois, quelques plugin gratuits, qui ne nuiront pas à la vitesse de votre site, ni à la validation de vos pages au format AMP. Consultez le tuto WordPress d’Ethan.

 

WordPress HTTPS guide complet 2017
Note 4.9/5-votes 52