Que faire après l’activation du HTTPS sur son blog WordPress.

Maintenant que votre certificat est actif sur votre blog et que celui-ci est joignable en HTTPS, tout n’est pas terminée pour autant. Il reste encore quelques modifications à apporter pour que votre blog soit au top.

Etape 1: Rediriger tout le trafic vers le site en HTTPS.

Pour l’instant votre site est accessible via le HTTP et le HTTPS, si vous le laisser comme ça, Google risque de vous sanctionner pour du contenu dupliqué (duplicate content).

Pour être certain que tous vos visiteurs naviguent bien sur la version sécurisée de votre site, vous devez modifier le fichier .htaccess pour rediriger le traffic :

Version pour des blogs n’utilisant pas les www : (comme quick-tutoriel.com) :

# Redirection vers HTTPS 
RewriteCond %{SERVER_PORT} ^80$ [OR]
RewriteCond %{HTTPS} =off
RewriteRule ^(.*)$  [R=301,L]

# Redirection du www vers non-www en HTTPS
RewriteCond %{HTTP_HOST} ^www\.monsite\.com [NC]
RewriteRule ^(.*)$  [R=301,L]

Version pour des blogs utilisant les www :

# Redirection vers HTTPS 
RewriteCond %{SERVER_PORT} ^80$ [OR]
RewriteCond %{HTTPS} =off
RewriteRule ^(.*)$  [R=301,L]

# Redirection du www vers non-www en HTTPS
RewriteCond %{HTTP_HOST} ^monsite.com [NC]
RewriteRule ^(.*)$  [R=301,L]

Attention!!! N’oublier pas de remplacer monsite.com par le nom de domaine de votre blog.

Afin de valider la modification et vérifier que les redirections de votre blog sont bien configurés, vous pouvez utiliser cet outil Free SEO SSL Scanner.

Pour avoir une configuration correcte, tout doit être au vert.

Etape 2: Remplacer les anciennes URL en http sur votre site.

Si vous partez d’un site existant, il va falloir mettre à jour toutes les URLS de votre blog en HTTPS. Pour cela nous allons utiliser l’outil Search and Replace DB qui va automatiser le travail. Vous pouvez le télécharger à cette adresse : Database Search And Replace.

Puis placer le dossier en le renommant, à la racine de votre blog (généralement public_html). Il est important de renommer le répertoire par défaut, pour éviter que de petits malin l’exploite le temps que vous mettez à jour votre blog.

Attention!!! Avant de faire les modifications avec ce script sur votre base, faite une sauvegarde de celle-ci avec PHPMyAdmin par exemple.

Pour afficher le script, saisissez le nom de votre blog en rajoutant le nom du répertoire du script que vous avez modifié, par exemple , vous devez arriver sur cette page.

  • 1: Dans Replace, indiquer le nom de votre domaine sans les https donc ici http://quick-tutoriel.com sans de / à la fin. Puis dans with saisissez l’adresse de votre site avec les https c’est à dire https://quick-tutoriel.com.
  • 2: Ici vous trouverez les informations sur la base de données à modifier, généralement il récupère les informations de la base de données en cours, donc vous n’avez rien à toucher.
  • 3: Cliquer sur dry run pour faire un test, cela ne modifiera rien dans la base de données. Vous aurez alors une vue de tous les changements.

En tout il y aura plus de 11000 changements dans la base de données. Cela peut mettre un peu de temps, donc ne toucher à rien pendant la mise à jour.

  • 4: Cliquer sur live run pour effectuer les modifications dans la base de données.
  • 5: Supprimer le script sur votre serveur une fois les modifications effectuées.

Maintenant tous les liens de votre blog sont passés en HTTPS dans vos articles, pages, menus et réglages. Pour vérifier il suffit de vous rendre dans l’interface d’administration de WordPress dans Réglages -> Général, vous devriez constater que les adresses ont été mises à jour.

Etape 3 : Forcer le HTTPS pour l’administration de votre blog.

Cela devra déjà être le cas avec les redirections que nous avons mises en place dans le fichier .htaccess, mais on ne sait jamais.

Editer le fichier wp-config.php et rajouter le code suivant :

/** Forcer le HTTPS dans l'administration */
define('FORCE_SSL_ADMIN', true);

Etape 4 : Modifier le fichier robots.txt.

Ici vous devrez juste rajouter un « s » à l’adresse du sitemap de votre blog.

Etape 5: Mettre à jour Google Search Console.

Google Search Console sert à suivre l’indexation de votre site par Google. Il est donc indispensable de changer l’adresse de votre blog. Malheureusement il est impossible de modifier l’adresse du blog dans les paramètres et il faudra suivre les instructions de Google pour ajouter un nouveau site.

Une fois connecté sur votre compte, cliquer sur la roue crantée (en haut à droite) et sélectionner Changement d’adresse.

Cliquer sur Ajouter une propriété et dans la zone de saisie mettre l’adresse de votre nouveau site https://quick-tutoriel.com et cliquer sur Continuer.

Copier le fichier HTML à la racine de votre compte, faite une vérification puis cliquer sur Valider.

Votre nouvelle adresse est bien prise en compte par Google. Il pourra être utile de rajouter aussi vos fichiers sitemap dans Exploration -> Sitemaps.

Etape 6 : Mettre à jour Google Analytics.

Je pense, comme la plupart des webmaster, vous utilisez Google Analytics pour vos statistiques. Il faut penser à dire à GA que vous utilisez maintenant le HTTPS.

Une fois connecté à votre compte, il faut aller dans Administration -> Propriété -> Paramètre de la propriété. Puis dans URL par défaut sélectionner HTTPS dans la liste.

Etape 7 : Les boutons de partage.

Malheureusement les compteurs de Facebook, Twitter et consort vont être réinitialisé. L’URL de votre site ayant changé pour les réseaux sociaux ce n’est plus le même partage. Dommage.

Par contre l’extension premium Social Warfare , vous donnera la possibilité d’afficher le bon nombre de partage pour vos contenus en HTTP et HTTPS.

Je ferai un tutoriel prochainement car j’ai décidé de migrer vers cette extension payante à la place de l’extension ShareThis.

Etape 8 : Tester vos certificats SSL.

Ce test servira à valider toutes les modifications réalisées ci-dessus et vous permettra de savoir si vous n’êtes pas vulnérable à certaines failles SSL. La meilleure note est la A.

Etape 9 : Supprimer les Mixed Content.

Voici sûrement l’étape la plus délicate et la plus longue. Les mixed content ou contenu mixte en français sont des appels en http vers un serveur distant depuis votre blog, cela peut être une extension, un iframe, une publicité.

Sur un navigateur web, l’utilisation du HTTPS pour charger une page est représentée par un cadenas dans les navigateurs web. Mais une page HTML est composée de nombreuses ressources (images, scripts,…), et certaines d’entre elles sont parfois chargées en utilisant la version non sécurisée du protocole soit le HTTP.

On parle de contenus mixtes (Mixed Content) lorsqu’une page HTTPS contient des éléments en HTTP. Cela remet alors en cause la sécurité de l’échange.
Cette erreur n’est pas rare : vous l’avez probablement déjà rencontrée, sans y faire attention.

Sur une page ayant des contenus mixtes, l’icône du cadenas sera absente (Safari) ou bien en gris (Firefox, Chrome).

Si toutes les références de la page sont en HTTPS, alors l’icône du cadenas sera présente dans la barre d’adresse (Safari) ou il sera vert (Firefox, Chrome).

Pour diagnostiquer les contenus mixtes sur votre blog, vous pouvez utiliser des extensions comme SSL Insecure Content Fixer ou bien Really Simple SSL qui permet de rediriger les requêtes vers la version HTTPS du site distant si elle existe.

Je ne suis pas trop fan des extensions qui masquent plus ou moins les problèmes sans forcement les résoudre. Les extensions vous permettent rapidement de corriger le problème, mais je vous conseille de les traiter manuellement.

Cela peut-être long, mais c’est très efficace et relativement simple lorsqu’on utilise les bons outils. Voici un exemple avec Firefox.

Aller dans Outils -> Développement Web > Console Web. Puis visiter votre site, en bas la console vous indiquera pour chaque page les contenus mixtes trouvés.

A vous maintenant de vérifier s’il existe une version HTTPS du lien et de le modifier sur votre blog.

Etape 10 : Faite un test de votre blog.

Il existe plusieurs outils gratuits, qui vous permettent de faire un diagnostic précis de votre blog ou de sa page d’accueil. Voici quelques exemples :

  • GTmetrix : Ce site se base sur les systèmes de Google (Page Speed) et Yahoo (Yslow) afin de vous donner de bonnes recommandations. Il est aussi possible d’avoir une ligne de temps afin de voir les ressources prenant du temps à charger ou retournant des codes 301 ou 404.

  • Pingdom : Pingdom est un excellent système de monitoring, il permet aussi d’avoir gratuitement un rapport complet avec la ligne du temps, et le poids des différents types de contenus.

  • Woorank  : WooRank est un outil qui vous permettra de faire un audit gratuitement afin de vérifier si vous utilisez bien les différents standards comme les fichiers robots.txt, sitemap.xml, titre, méta-description…
  • Why no Padlock : C’est un outil qui va vous permettre de vérifier se qui pose problème, comme des ressources non chargées en HTTPS (contenu mixte), de certificat expiré, de protocole SSL non supporté, vient en complément de SSLlabs vu plus haut.

La migration d’un blog vers le HTTPS ne s’improvise pas sur un coin de table. Il faut la préparer un minimum. J’espère que ces deux tutoriels vous aideront dans la migration de votre blog.

Source: Je me suis inspiré des tutoriels de ce magnifique blog pour faire ma migration sans problème vers le HTTPS (merci) https://wpmarmite.com/.

That’s All.

1 potin

  1. Merci pour les conseils :)

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *