http to https

Comment utiliser Https sur WordPress

Ce guide est destiné à l’utilisateur de WordPress :

  • Qui a simplement l’idée de mettre en œuvre HTTPS plutôt que du HTTP classique sur leur WordPress auto-hébergé, que ce soit pour beaucoup d’URLs, ou seulement quelques unes sensibles
  • Qui souhaite utiliser WordPress comme site e-commerce avec le besoin d’encaisser des paiements en utilisant une passerelle de paiement par un service tiers tel que Authorize.Net.
  • qui est un développeur souhaitant vérifier le HTTPS sur localhost (pc).
  • dont l’installation de WordPress est réalisée avec un accès restreint à un groupe avec des informations sensibles (éducation, gouvernement, etc.).

Quelques prérequis sont nécessaires pour suivre l’exemple de ce manuel :

  • Vous devez disposer d’un serveur web avec Apache2, comme une installation type Linux-Apache-PHP-MySQL (LAMP).
  • Vous devez avoir un minimum de connaissances ou être entouré d’un technicien s’il y a besoin de corriger des problèmes inhérents à la mise en place d’HTTPS.

Open SSL offre la possibilité d’acquérir un HTTPS gratuit, mais pour un usage personnel. Il n’est pas utilisé en production car il annonce généralement une erreur de sécurité à l’utilisateur final. L’administrateur de WordPress peut soit générer un certificat via son hébergeur (s’il utilise Let’s Encrypt par exemple si proposé), ou acheter un certificat SSL selon les options appropriées auprès de ces mêmes sociétés d’hébergement.

Le HTTPS nécessite l’activation de modules Apache supplémentaires (mod_ssl), l’ouverture du port 443, ainsi que la configuration correcte de paramètres supplémentaires tels que les ceux du VirtualHost. Il n’y a pas de réglages supplémentaires ou spéciaux requis, en particulier pour WordPress au niveau du serveur pour HTTPS. WordPress est prêt pour utiliser les URLs HTTPS lorsque le serveur est correctement configuré.

Installez normalement WordPress (via HTTP ou HTTPS, les deux fonctionnent, mais il est plus facile d’utiliser HTTP pour l’installation). L’installation via HTTPS nécessite au préalable d’obtenir un certificat SSL pour votre domaine. Une fois WordPress installé, allez dans Réglages > Général et assurez-vous que l’URL est https. Sinon, ajoutez S après HTTP et mettez à jour les paramètres.

General Options Settings Panel

Par la suite, vérifiez que vos pages se chargent bien en HTTPS. Il est néanmoins toujours possible à ce stade d’y accéder via HTTP si vous n’avez pas redirigé tout le trafic utilisant HTTP vers HTTPS.

HTTPS augmente la sécurité mais impacte la puissance de calcul du serveur. Il n’y a aucune obligation de faire fonctionner une page en HTTPS, dès lors qu’il n’y a aucune question de confidentialité (même s’il est toujours préférable d’utiliser HTTPS). En outre, il faut légèrement plus de temps pour obtenir une page Web HTTPS qu’une page HTTP.

Note : pour optimiser la vitesse de votre site, il est possible d’utiliser du cache (exemple : plugin WP Super Cache) ou n’importe quel CDN qui a une certification SSL légitime (sinon il y aura des erreurs de contenu mixte sur HTTPS).

Note 2 : Dans vos réglages DNS, vous pouvez utiliser le CNAME pour obtenir une URL de connexion personnalisée sous HTTPS (avec un sous-domaine virtuel par exemple).

Exemple ; votre WordPress est installé et accessible telle l’URL suivante :

https://mywpwebsite.com

avec comme URL de connexion classique :

https://mywpwebsite.com/wp-login.php

Mais vous pourriez très bien avoir une URL de cette forme, grâce au CNAME :

https://login.mywpwebsite.com/

Attention, dans ce cas, votre certificat SSL doit couvrir l’ensemble de votre domaine ainsi que le/les éventuel(s) sous-domaines (ou avoir un certificat qui couvre au minimum votre/vos sous-domaines). Nous vous conseillons également de rediriger dans ce cas, via le htaccess par exemple, la page de connexion, notamment pour éviter qu’elle ne soit accessible en HTTP, afin que tout fonctionne correctement et de manière plus sécurisée.

Rappel : quelques bonnes pratiques

  • Recourir à un hébergeur de bonne réputation avec une IP non blacklistée
  • Utiliser des certificats SSL d’un revendeur/fournisseur fiable
  • Recourir à des CDN qui peuvent aussi utiliser HTTPS pour éviter les erreurs/avertissements de contenus mixtes.
  • Pour l’optimisation de votre site : réduisez vos fichiers CSS / JavaScript
  • Effectuer des redirection appropriées via le fichier .htaccess
  • Maîtriser la gestion de son serveur ou faire appel à des personnes aux compétences reconnues et fiables. Il est primordial de surveiller les erreurs de serveur, veiller à les corriger, effectuer les mises à jour et contrôler régulièrement la sécurité de chacun des éléments de votre site.

Rappels : quelques erreurs à éviter

  • Si vous passez votre site en HTTPS, il est inutile voir dans certains cas dangereux de laisser votre site accessible en HTTP (surtout si votre site comporte des données sensibles ou est amené à en gérer). Pensez à rediriger le HTTP vers le HTTPS. De plus, il faut savoir que le fait d’avoir son site en HTTPS est un bon facteur au niveau du référencement, par rapport au simple HTTP.
  • Essayer à tout prix de réduire le budget alloué à la sécurité et à la maintenance de son site web, ou passer par une autorité de certification douteuse pour la génération du certificat SSL
Laisser un Commentaire

Votre adresse électronique ne sera pas publiée.

Vous pourriez aussi aimer