SSL Certificate header

Certificat SSL et avertissement de contenu mixte sur WordPress

Mis à jours 3 juillet 2018 Internet évolue. La confidentialité et la sécurité sont maintenant des priorités pour beaucoup d’entreprises. Et même le géant Google a commencé à mettre plus de valeur aux sites sécurisés. Cela pour dire que si vous avez un magasin en ligne, il est grand temps d’ajouter une couche de protection SSL à votre site.

En ce qui concerne le protocole SSL, WordPress est de loin le CMS le plus largement utilisé, représentant plus de 28 % du marché, et hébergeant des millions de magasins en ligne.

Ce guide vous aide à ajouter un certificat SSL à tout site WordPress grâce à Let’s Encrypt afin de protéger les données personnelles des utilisateurs. Nous allons également parler des problèmes les plus fréquents lors de l’intégration des certificats SSL, notamment la manière de résoudre les erreurs de contenu mixte de WordPress.

À ne pas confondre :

Pas mal de gens croient qu’intégrer un certificat SSL permet de sécuriser un site web. Un SSL ne protège, cependant, que la confidentialité d’un utilisateur. Quant à la protection d’un site, vous pouvez y parvenir autrement.

1. Ce qu’est un certificat SSL

SSL est l’abréviation de Secure Socket Layer. Il agit comme une couche entre le navigateur utilisé par l’utilisateur et le serveur d’hébergement du site. En naviguant sur le net, l’utilisateur partage des informations personnelles et les détails sur leur carte de crédit. C’est là qu’un certificat SSL intervient pour protéger leur vie privée.

WordPress HTTPS mixed content

Les sites protégés par SSL affichent HTTPS avec un icone d’un cadenas vert dans la barre. Cela indique que la transmission des données entre le visiteur et le serveur est cryptée. En d’autres termes, SSL assure que les informations entrées sont transférées en toute sécurité et ne sont pas compromises.

2. Pourquoi un certificat SSL est important ?

L’utilisation des certificats SSL s’accroit rapidement, et la plupart migrent vers le protocole HTTPS. En voici quelques causes :

SSL est actuellement un facteur de classement

Google a ajouté l’utilisation d’un certificat SSL parmi les paramètres de classement pour les résultats dans les moteurs de recherches ou SERP (pour Search Engine Results Pages) avec la vitesse du site. Ainsi, en utilisant un certificat SSL, vous pouvez booster votre classement dans les résultats de recherche et améliorer le référencement.

Gagner la confiance des visiteurs

Quand l’icone vert de protection s’affiche dans la barre d’adresse, avec le message “Connexion Sécurisée,” vous gagnez la confiance des visiteurs. Et quand la confiance est là, les visiteurs ne vont pas hésiter quand ils vont acheter vos produits, et ils ne s’inquièteront pas d’un vol de donnée.

L’Avertissement “Non Sécurisé” sera absent

En 2016, Google Chrome a annoncé qu’un avertissement “Non Sécurisé” s’affichera sur les pages qui n’ont pas de certificat SSL.

En résumé, voici ce dont ils ont annoncé :

A partir de Janvier 2017 (Chrome 56), nous marqueront comme non sécurisé les pages HTTP qui collectent des mots de passe et des cartes de crédits, et c’est une partie d’un plan à long terme pour marquer tous sites HTTP comme non sécurisé.

 

Grâce à un certificat SSL, les visiteurs de votre site ne verront pas ce message d’avertissement et vous feront plus confiance.

WordPress recommande SSL

En considérant l’importance mentionnée ci-dessus des certificats SSL, Matt Mullenweg, le co-fondateur de WordPress a annoncé, qu’ils ne recommanderont que les fournisseurs d’hébergement WordPress sécurisé par SSL.

3. Types de certificats SSL

Trois types de certificats SSL existent :

1. Domain Validation (DV) ou Validation de Domaine : le certificat DV vérifie simplement que vous êtes le propriétaire d’un domaine particulier

2. Organization Validation (OV) ou Validation de l’Organisation : Un certificat OV vérifie non seulement un domaine mais prouve également que votre organisation est légitime.

3. Extended Validation (EV) ou Validation Etendue : Un certificat EV offre un niveau élevé de vérification pour assurer la sécurité pour vos clients. Un processus de contrôle strict est déployé.

Choisissez celui qui convient à vos besoins. Vous pouvez aussi consulter la différence entre le SSL de L’et’s Encrypt et les autres types de Certificats SSL

C’était une petite introduction aux certificats SSL. Revenons maintenant à comment installer des certificats SSL via “Let’s Encrypt.”

4. Ce qu’est Let’s Encrypt?

Let’s Encrypt est un fournisseur de certificat SSL au niveau du domaine. Il est soutenu par Internet Security Research Group (ISRG). Il est gratuit, automatisé, et une autorité de certification a été lancée depuis Avril 2016.

Renouveler le certificat SSL

Par défaut, le certificat de Let’s Encrypt s’expire après 90 jours. Une fois expiré, vous devez le renouveler. Il existe, cependant, quelques fournisseurs d’hébergement comme  Infomaniak qui ont une fonction intégrée pour un renouvellement automatique de certificats SSL.

Pourquoi les certificats de Let’s Encrypt ne durent que 90 jours ? Ils donnent plus de détails sur leur site si cela vous intéresse.

Quelques hébergeurs de confiance prennent en charge les installations SSL de Let’s Encrypt SSL.

SiteGround figure parmi les fournisseurs d’hébergements partagés que beaucoup de gens choisissent. Ils y connaissent vraiment en hébergement Web. Ils s’efforcent de suivre les dernières technologies en ce qui concerne la vitesse. Ils sont spécialisés dans les solutions de sécurité uniques. Ils déploient un support technique incroyable.

  • Parfait pour les débutants en WordPress
  • Fonctionne pour les petits budgets
  • Migration gratuite, support 24h/7j, SSL et CDN

À PARTIR DE 3,95 $ /MOIS

Visiter SiteGround

Si vous cherchez un hébergement WordPress sans tracas pour les freelancers et les professionnels du net, choisissez Infomaniak WP . Leur service est orienté pour tous ceux qui cherchent à collaborer avec une petite équipe capable de répondre à tous les besoins d’hébergements.

  • Parfait pour les sites qui nécessitent une attention particulière
  • Comme un technicien du serveur en interne
  • Migration gratuite, mises à jour SSL et WordPress

À PARTIR DE 5.75 € /mois

Visiter Infomaniak

Wpengine est un hébergeur WordPress géré qui prend en charge tous vos besoins concernant votre site. Ils offrent leurs services en déployant leurs technologies de pointe, et leur support sont sérieux. Ils sont orientés vers les sites à fort trafic. Ils sont donc votre partenaire idéal si vous en avez un.

  • Parfait pour les propriétaires de sites sérieux
  • Se spécialise dans les sites à for trafic
  • Migration gratuite, SSL et CDN

À PARTIR DE 30 $/MOIS

Visiter Wpengine

 

5. Installation de Let’s Encrypt:

Voici les étapes à suivre pour installer un certificat SSL gratuit sur votre site ou votre magasin en ligne.

Votre hébergement Web est-il pris en charge ?

Car la sécurité SSL est importante, la plupart des fournisseurs d’hébergement web, y compris Cloudways prennent en charge l’intégration SSL en un seul clic.

Voici une liste complète des fournisseurs qui prennent en charge intégration de Let’s Encrypt en un seul clic.

Si votre hébergeur ne figure pas parmi cette liste, alors renseignez-vous. Toutefois, si votre hébergeur ne prend pas en charge l’installation, alors vous pouvez le faire manuellement en suivant les étapes qui suivent.

Installation manuelle d’un certificat SSL Let’s Encrypt

Vous aurez besoin du contrôle de l’ensemble du serveur et de l’accès au shell. Pour y parvenir, un guide dans le site de Let’s Encrypt vous aidera.

Une fois que vous avez l’accès, vous devrez installer le CertBot sur votre ordinateur et télécharger quelques fichiers vers le serveur.

Mais, ce processus est un peu compliqué, et peut prendre des heures. Une meilleure approche, si vous choisissez la façon manuelle, est à travers le site SSL for Free.

Installation de Let’s Encrypt SSL via SSL for free

Considérant les complexités impliquées dans l’intégration d’un certificat Let’s Encrypt dans un site WordPress, SSL for Free a développé un outil en ligne qui élimine les difficultés.

Vous n’avez juste qu’à enter l’URL du site et suivre les étapes indiquées. C’est une façon beaucoup plus facile à faire et qui ne prend que quelques 10 minutes.

6. Configurer un certificat SSL

En supposant que votre fournisseur d’hébergement possède une solution en un seul clic, et que vous avez déjà installé le certificat, alors, passons aux autres étapes nécessaires pour intégrer correctement le certificat SSL.

Modifier les URL internes HTTP vers HTTPS

Une fois le certificat installé, vous souhaitez déployer HTTPS partout sur le site. Connectez-vous à votre tableau de bord WordPress, accédez à Settings > General et remplacez HTTP par HTTPS sur “WordPress Address” et “Site Address”.

WordPress General Settings

Rediriger HTTP vers HTTPS

Dans l’étape ci-dessus, tous les URL du site WordPress seront servies via HTTPS. Mais un visiteur qui écrit https://votresite.com dans le navigateur n’aura pas de pages HTTPS. C’est parce que vous n’avez pas défini de règle pour rediriger HTTP vers HTTPS. Vous devez ajoutez une règle dans le fichier .htaccess de WordPress qui forcera WordPress à utiliser le protocole HTTPS à la place.

 

Connectez-vous à votre panneau d’hébergement, et dans le répertoire WordPress, faites un clic droit sur le fichier .htaccess et cliquez sur Edit.

Ajoutez les lignes de code suivant :

Rewrite module code

Remarque : Assurez-vous de remplacer https://www.monsite.com avec l’adresse de votre site, dans la règle .htaccess ci-dessus.

La règle ci-dessus est pour les utilisateurs Apache. Si votre fournisseur d’hébergement utilise NGINX, entrez la règle suivante :

server name your site

Encore une fois, assurez-vous de remplacer votresite.com par l’adresse de votre site et changez également le port si votre fournisseur d’hébergement a un autre.

Pour mieux comprendre l’environnement de votre fournisseur et la règle que vous devez utiliser, contactez votre hébergeur.

Utiliser le plugin WP Force SSL à la place de .htaccess

De nombreux utilisateurs de WordPress ne sont pas familiers avec le fichier .htaccess. A la place, Ils peuvent utiliser WP Force SSL, un plugin qui force automatiquement le SSL sur chaque page d’un site WordPress.

force_ssl_admin

Pour forcer les pages d’administration et d’identification de WordPress, vous devez ajoutez les lignes de codes ci-dessous dans le fichier wp-config. Soyez sûr que vous l’écriviez juste au-dessus de “That’s all, stop editing!”

define force

Ce code ne va pas seulement forcer l’utilisation de SSL depuis les pages d’administration, mais également sur un réseau de sites WordPress.

Corriger l’erreur “Mixed Content” dans WordPress

Visitez, maintenant, votre site WordPress et vérifiez si tout fonctionne comme prévu.

Sur certaines pages, vous pouvez remarquer l’icône ⓘ au lieu d’un cadenas vert. Cet icône indique qu’une (ou plusieurs) URL est diffusées via HTTP sur la page concernée. Identifiez ces URL et corrigez-les, car ces problèmes de contenu mixte de WordPress ne seront pas bons pour les visiteurs.

Il y a un excellent outil pour vérifier si les pages sont SSL ou non. Il scanne le site en entier et fournit une liste des URL qui ne sont pas HTTPS.

Check NON SSL Links

Pour remplacer les URL, des plugins comme “Search & Replace” sont là pour vous aider à remplacer HTTP par HTTPS dans la base de données. Search & Replace va également remplacer les URL des médias en HTTPS.

Installer le plugin depuis le tableau de bord WordPress, allez sur Tools > Search & Replace.

Search and Replace WordPress Plugin

Il vous reste encore des avertissements de contenus mixtes ?

Plusieurs raisons peuvent en être la cause :

  • Liens HTTP dans les Fichiers CSS et JS: Lors de l’écriture du code des thèmes et des plugins, les développeurs fortifient les liens HTTP au lieu des liens HTTPS. Cela ne peut être corrigé que manuellement, en creusant dans le code. Soyez sûr que l’URL fonctionne correctement avec HTTPS, avant de remplacer l’URL.
  • Images Hotlinkées: Le hotlinking est le processus pour appeler les images depuis d’autres ressources. Si HTTPS est activée dans la source, vous devez utiliser l’URL avec HTTPS.
  • Fichiers CSS et JS Inclus Depuis d’Autres Domaines: Comme le hotlinking, si vous appelez des fichiers depuis des ressources externes, assurez-vous que vous avez un URL avec HTTPS.

7. Utilisez simplement un plugin HTTPS (SSL)

Le plugin WordPress “Really Simple SSL” détecte et configure automatiquement votre site WordPress pour qu’il fonctionne sur HTTPS. La meilleure avec ce plugin est que vous n’avez qu’à activer le SSL depuis votre fournisseur, et tout sera géré par le plugin.

Really Simple SSL Settings

Voici les fonctionnalités les plus importantes du plugin Really Simple SSL :

  • Il gère les problèmes courants avec SSL sur WordPress.
  • Il redirige toutes les requêtes entrantes vers HTTPS.
  • Il permet la redirection de .htaccess.
  • Il change l’adresse du site en HTTPS.
  • Il corrige l’avertissement ‘contenu mixte’ dans la plupart des cas sauf les liens sortants.

Après avoir ajouté avec succès SSL à un site WordPress, n’oubliez pas de modifier les paramètres dans la console Google.

Vous savez maintenant comment ajouter un certificat SSL à un site WordPress site et comment corriger les erreurs. Let’s Encrypt met sur leur site un guide complet, si vous voulez creuser plus sur l’ensemble de leur processus.

Quelques mots pour finir

Sachant que les moteurs de recherches ont ajouté SSL à leurs facteurs de classements, que Chrome a commencé à qualifier comme non sécurisé les sites qui ne sont pas SSL, et que le co-fondateur de WordPress recommande les sites sécurisés par un certificat SSL, il n’y a plus aucune raison pour rester non sécurisés.

Commencez à utiliser des certificats SSL sur vos sites web et devancez vos concurrents.

À lire aussi

logiciels de cryptages des emails

12 meilleurs logiciels de cryptage des emails

Mis à jours 8 janvier 2023 La meilleure solution de cryptage des e-mails sur le …

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *