Comment passer son site WordPress de HTTP en HTTPS pour le sécuriser

Comment sécuriser son site WordPress en HTTPS

Tout le monde connaît les acronymes HTTP et HTTPS, que l’on retrouve au début de toute URL, mais que désignent-ils ? Quelle différence existe-t-il entre ces deux protocoles ? Pourquoi privilégier le HTTPS ? Comment passer son site WordPress du HTTP en HTTPS pour le sécuriser ? WP Trigone fait le point sur les protocoles de transfert hypertexte pour vous aider à protéger les données de vos internautes !

HTTP et HTTPS : quelle est la différence ?

Les acronymes HTTP et HTTPS désignent des protocoles de transfert hypertexte. Concrètement, ils permettent aux données d’une page web de s’afficher sur l’écran de l’internaute qui envoie une requête. Ils permettent aux serveurs (qui hébergent les sites web) et aux navigateurs (qui permettent de les lire) de communiquer.

  • HTTP (HyperText Transfer Protocol) est un protocole de communication client-serveur qui affiche les URLs à chaque fois qu’une requête le demande, sans s’assurer que ces informations communiquent de façon sécurisée et cryptée.
  • HTTPS (HyperText Transfer Protocol Secure) est une évolution du protocole HTTP. Le protocole SSL (Secure Sockets Layer) avec lequel il fonctionne permet d’établir une connexion chiffrée. Les données que l’internaute entre sur un site ayant un protocole HTTPS sont cryptées. Ainsi, elles sont protégées contre le piratage et l’espionnage.

En passant votre site en HTTPS, vous protégez les données des internautes qui consultent votre site (coordonnées, identifiants, mots de passe, formulaires, RIB…).

Pourquoi passer son site WordPress en HTTPS ?

Aujourd’hui, passer son site web en HTTPS n’est même plus une option. C’est une mesure de sécurité indispensable pour protéger les données de vos internautes. Pourtant, quelques récalcitrants n’ont toujours pas sauté le pas. 

Il vous est certainement déjà arrivé de chercher à visiter un site web, mais de recevoir un avertissement de votre navigateur vous expliquant que ce site n’était pas sécurisé, ou même de vous abstenir de commander des produits sur une boutique en ligne ne disposant pas du précieux cadenas devant son URL. Les entreprises derrière ces sites étaient peut-être tout à fait honnêtes, mais vous n’avez pas voulu prendre le risque de partager vos données avec, et vous avez bien fait !

Concrètement, voici les risques auxquels vous vous exposez avec un site en HTTP.

  • La plupart des navigateurs empêchent désormais les internautes d’accéder à des sites en HTTP, ou leur demandent d’accepter les risques encourus. Cela dégrade tout le travail de référencement naturel (SEO) effectué pour améliorer la visibilité de ce site. À juste titre, les moteurs de recherche comme Google mettent en avant les sites web sécurisés, ayant un certificat SSL d’actualité.
  • Si les internautes parviennent malgré tout à accéder à un site en HTTP, un triangle d’avertissement suivi de la mention « non sécurisé » s’affiche devant l’URL.
  • Les internautes risquent de fuir, en gardant une mauvaise image du site web concerné et de l’entreprise qui lui est associée. Vous perdez alors des ventes, et la réputation de votre entreprise se dégrade.
  • Si le site en question demande des informations de paiement, il ne respecte alors pas la norme PCI DSS (Payment Card Industry Data Security).

Bref, il n’existe aucune bonne raison de refuser de passer son site en HTTPS !

Comment passer son site WordPress en HTTPS ?

Vous l’avez compris, passer son site en HTTPS est indispensable pour le sécuriser, mais aussi pour inspirer confiance aux moteurs de recherches, navigateurs et internautes ! Alors, comment configurer un certificat SSL sur votre site WordPress pour le passer en HTTPS et afficher le précieux cadenas devant ses URLs ?

Avant toute chose, soyez conscient que tous les certificats SSL ne se valent pas. Certains n’accordent que le strict minimum en matière de sécurité, alors choisissez le vôtre correctement ! Si vous disposez d’un site WooCommerce, il faudra vous montrer particulièrement vigilant.

Le meilleur moyen est de demander un certificat SSL à votre hébergeur. Il est parfois inclus dans votre hébergement. Dans d’autres cas, il faudra le payer en supplément (WP Trigone l’inclut évidemment dans ses offres). 

Lorsque vous disposez de votre certificat SSL, et que vous l’avez activé chez votre hébergeur (ou qu’il l’a fait pour vous), il est temps de faire des redirections 301 de toutes vos URLs en HTTP vers HTTPS. Cette manœuvre est très simple ! Vous pouvez le faire en quelques clics directement depuis votre tableau de bord WordPress, ou en utilisant une extension fiable.

  • L’option de migration de HTTP vers HTTPS est désormais directement intégrée à WordPress. Depuis votre tableau de bord WordPress, cliquez sur « Outils > Santé du site > Activer la migration vers HTTPS » (si vous disposez d’un certificat SSL). Tous les liens de votre site seront alors automatiquement mis à jour en HTTPS.
  • Une extension peut également faire cela de façon simple et rapide. Nous vous conseillons Really Simple SSL : https://fr.wordpress.org/plugins/really-simple-ssl/
  • Si vous ne parvenez pas à effectuer cette manœuvre, contactez votre hébergeur.

Félicitations : votre site WordPress est désormais en HTTPS et les données de vos utilisateurs sont désormais protégées ! C’est toujours ça de moins à penser… Pour découvrir d’autres astuces pour sécuriser votre site WordPress, consultez nos derniers articles d’astuces WordPress.

e-Book : Optimiser et sécuriser son site WordPress
e-Book "Optimiser et sécuriser son site WordPress"