Le passage plus ou moins généralisé du web en SSL et donc à HTTPS a été un gros trending topic de 2016 et va très clairement s’accentuer en 2017.
En plus de crédibiliser votre site en terme de sécurisation des utilisateurs, le passage en HTTPS a aussi un intérêt en terme de référencement, si cette migration est effectuée proprement.
Par contre, comme prévu depuis plusieurs mois, les sites qui ne proposent pas de certificat SSL sur des pages contenant des champs de saisie de mot de passe ou de carte de crédit seront indiqués comme non sécurisés par la prochaine version de Google Chrome, prévue pour janvier.
En 2016, la plupart des sites majeurs ont réalisé leur passage en HTTPS avec succès tant en terme de migration technique qu’en terme de référencement, et il est aujourd’hui clair que pour tout nouveau site web, HTTPS est un choix à privilégier dès le départ. Même si un passage en HTTPS peut tout à fait se faire sur un site existant, mieux vaut le faire dès le départ car si ce type de migration est maintenant relativement sans danger, il nécessite un certain nombre d’interventions.
Passer en HTTPS : première étape, le certificat SSL
Hé oui, il faudra bien passer par la case « acquisition du certificat SSL » 🙂
Votre hébergeur actuel dispose très certainement d’une offre, dont les coûts annuels peuvent varier entre 0 et 200 euros.
Une alternative intéressante existe, si votre hébergeur le permet, avec le service Let’s encrypt, proposé par l’Internet Security Research Group (organisme financé par la fondation Mozilla, Cisco System et par des hébergeurs comme OVH ou PlanetHoster). Ce service offre des certificats SSL gratuits et permet une mise en place relativement aisée côté serveur, afin de favoriser la généralisation du passage du web en HTTPS. Et le succès est au rendez-vous avec plus de 10 millions de certificats délivrés pour le seul mois de septembre 2016. Renseignez-vous auprès de votre hébergeur.
Migrer votre installation WordPress en HTTPS
Comme toute opération portant à l’échelle de l’ensemble d’un site, la complexité de l’opération dépend grandement du type d’installation WordPress que vous avez mis en place.
Plusieurs sites de la communauté WordPress francophone ont réalisé de bons articles sur le sujet, comme par exemple WP Marmite qui nous a concocté un article très accessible sur les différentes étapes à effectuer.
Voici, en résumé, les différentes étapes de la manœuvre :
Une fois le certificat SSL activé par votre hébergeur, les pages de votre site seront disponibles à la fois en http:// classique et en https://. Il faudra donc rediriger l’ensemble des anciennes URL vers leur équivalent HTTP sécurisé.
Dans les réglages généraux du site, il est nécessaire d’indiquer le passage en HTTPS dans les champs adresse de WordPress et URL du site :
Il faudra également paramétrer votre fichier .htaccess (à la racine de installation WordPress sur le serveur) pour effectuer des redirections permanentes des anciennes adresses vers les nouvelles URLs :
# Redirection HTTPS
RewriteCond %{SERVER_PORT} ^80$ [OR]
RewriteCond %{HTTPS} =off
RewriteRule ^(.*)$ https://www.monsite.com/$1 [R=301,L]
# Redirection du www en HTTPS
RewriteCond %{HTTP_HOST} ^monsite.com [NC]
RewriteRule ^(.*)$ https://www.monsite.com/$1 [R=301,L]
WordPress dispose également d’une constante pouvant être mise en place dans votre fichier wp-config.php et permettant de s’assurer que l’administration est également forcée d’utiliser https :
define('FORCE_SSL_ADMIN', true);
Il faudra ensuite effectuer un rechercher/remplacer au niveau de votre base de données MySQL afin de remplacer toutes les occurrences de http://www.monsite.fr par https://www.monsite.fr.
Il est également nécessaire de se prémunir du Mixed Content, qui est un problème pouvant être lié à votre thème ou plus rarement à certaines extensions, si ceux-ci servent des ressources utilisant http « en dur » c’est à dire avec des URLs absolues ou semi-absolues (ce qui n’est clairement pas une bonne pratique à la base). Dans ce cas, il faudra modifier les appels concernés soit dans le code (si c’est possible sans vous couper des mises à jour de votre thème/extension), soit en demandant/attendant une mise à jour à l’auteur du thème ou de l’extension.
Enfin, il ne faudra pas oublier de mettre à jour l’URL de votre site sur l’ensemble des outils que vous utilisez : votre outil de statistiques de visites comme Google Analytics ou Piwik, votre compte Google Webmaster Tools, etc. Pensez également à mettre à jour votre fichier sitemap.xml, sauf si vous utilisez une extension qui automatise sa génération – ce qui est le plus souvent le cas.
Une extension WordPress permet de faciliter grandement la mise en place des points techniques de cette liste : Really Simple SSL.
Passage au SSL : quels sont les effets de bord à prévoir ?
Côté référencement, il n’y a pas de risque majeur dans la mesure où vous redirigerez correctement les anciennes adresses de pages vers les nouvelles. La procédure a été testée et retestée par des sites du monde entier et à partir du moment où les choses sont faites correctement, vos résultats dans les SERP ne devraient pas bouger… sauf en positif, Google prenant en compte la sécurité et donc l’existence d’un certificat SSL comme un critère de ranking.
Consulter le dossier de WebRankInfo sur HTTPS et le référencement
Par contre, si vous utilisez des compteurs de partages, de likes et autres données de comptabilisation proposées par nos amis Facebook, Twitter et consorts, vous risquez de perdre vos totaux de partages, puisque vos URL auront été changées (même si redirection il y a, le compteur n’en tiendra pas compte). C’est le cas pour les compteurs officiels fournis tels quels par ces services, mais si vous utilisez un compteur maison, il vous suffira de le modifier pour lui indiquer de prendre en compte à la fois http:// et https://. Si vous utilisez une extension WordPress pour ces compteurs et que cette manip n’a pas été prise en compte, il ne vous reste plus qu’à poster une demande de mise à jour du plugin auprès de son auteur 😉
Passer en SSL en 2017, voilà une bonne résolution !