Les raisons
Cela me trottait dans la tête depuis plusieurs mois, et bien voilà c’est fait, maintenant la navigation sur hgsitephoto.com se fait en mode sécurisé https. Alors pourquoi et comment ?
Pour un site assez modeste comme hgsitephoto.com j’aurais pu faire l’impasse, mais ça serait un peu insulter l’avenir car :
- les moteurs de recherche dont Google le premier ont clairement indiqué qu’ils privilégiaient les sites dont la navigation est sécurisée. Un site en https devient donc indispensable pour ne pas pénaliser son référencement.
- les navigateurs (Chrome, Firefox…) sont également très anxiogènes sur les sites non sécurisés en affichant des alertes prévenant le visiteur que la navigation sur le site n’étant pas sécurisée il s’expose à des risques en continuant sa navigation sur le site.
- c’est une tendance lourde du web, le piratage de données par des personnes mal intentionnées conduit mécaniquement à sécuriser les échanges de données.
Je suis donc arrivé à la conclusion qu’il fallait y passer. D’un point de vue fonctionnalités la sécurisation n’apporte rien au site mais elle permet de rassurer les visiteurs et complique la tâche d’éventuels pirates. Bon on peut penser que pirater hgsitephoto.com ne présente que peu d’intérêt mais si dans l’avenir il se complète avec des activités nécessitant l’échange de données personnelles ça sera indispensable.
Comment faire
Bon il faut avouer qu’au départ se lancer dans une manipulation de ce type ne va pas forcément de soi et que ç’est un peu stressant car en cas de fausse manipulation on peut mettre le site en vrac.
Donc conscient de ce risque, il faut être méthodique et surtout bien potasser le sujet en parcourant le web avant de se lancer.
A noter que tout ce qui suit s’applique à un site créé avec WordPress et qu’il est bien d’être familiarisé avec les outils de FTP, d’administration WordPress car il faudra les utiliser pour les modifications à réaliser. En même temps tout créateur de site WordPress a besoin de ces outils pour créer son site donc rien de très spécial à ce niveau.
Se documenter
Prenez votre temps pour vous faire une idée des différentes manipulations qu’il faudra effectuer, il y a pas mal d’articles sur le sujet. Voici quelques-uns d’entre eux :
- NO TUXEDO « Comment passer son blog WordPress en HTTPS sans tout casser ? »
- Il est très complet avec des explications claires, la lecture des commentaires est également une source d’informations.
- WP Marmite « Comment passer son site WordPress en HTTPS »
- Un article également complet sur le sujet avec de bonnes explications.
- Pappa Blogueur « Comment passer son blog WordPress en HTTPS ? {Tuto} »
- Là aussi c’est bien documenté avec beaucoup d’explications et la méthodologie est bien décrite.
- Twins and us « Passer son blog WordPress en https pour les nulles »
- Un article sympa qui apporte un témoignage d’une blogueuse qui s’est lancé dans l’opération.
Et deux articles qui vont un peu moins dans le détail mais qui présentent bien la démarche à suivre :
- Yes you web « Comment passer son site WordPress en https »
- La Webeuse « Comment passer son site WordPress en HTTPS ? »
Je vous conseille de bien lire ces articles en recoupant les informations qu’ils contiennent. Allez voir également le site de votre hébergeur il y a généralement quelques recommandations de base sur l’activation des certificats de sécurité et les principales actions à faire (notamment ce qui concerne les redirections).
A partir de là je ne vais pas rentrer dans le détail de chaque action, les articles précédents sont plus pertinent que je ne pourrais l’être, je vais décrire la liste des opérations que je me suis faite après avoir potassé tous ces articles.
La méthodologie
1-Sauvegarder
Avant toute action il est indispensable de sauvegarder votre site et la base de données. hgsitephoto.com fonctionne avec WordPress et est adossé à une base de données SQL. J’ai donc fait une sauvegarde intégrale des deux sur mon PC (avec FileZilla en connexion FTP pour le site et avec phpMyAdmin pour la base de données). Si vous avez un site l’utilisation de ces deux outils doit vous être familière.
2-Activer le certificat SSL
Là il faut vous connecter à l’administration de votre hébergement (NUXIT pour moi) et aller dans la gestion des domaines et sous domaine pour activer le certificat SSL.
A savoir que tous les hébergeurs proposent gratuitement des certificats SSL (Let’s Encrypt) y compris pour les hébergements mutualisés. Entre parenthèse cela montre bien l’orientation à venir sur la sécurisation de la navigation internet. A noter qu’il existe d’autres types de certificats payants pour des utilisations plus professionnelles.
Il faut patienter quelques minutes avant que le certificat soit actif.
3-Mettre à jour WordPress en https
Il faut se connecter à l’administration de votre site WordPress et à partir du tableau de bord > Réglage > Général dans les champs « Adresse web de WordPress(URL) » et « Adresse web du site (URL) » remplacer http://www.monsite.com par https://www.monsite.com.
4-Forcer l’administration WordPress
Dans le cas où la connexion à votre administration WordPress pointe toujours en http, certains articles suggèrent d’ajouter une ligne dans le fichier de configuration de WordPress (wp-config.php) en ajoutant une ligne forçant la connexion SSL.
Pour ma part Je n’ai pas eu à faire cette manipulation la connexion à l’administration se faisant directement en https.
5-Rediriger http vers https
C’est un point stratégique car à ce stade le site est accessible via http et via https. Pour ne pas avoir de problème de contenu dupliqué (les moteurs de recherche détestent ça) il faut indiquer aux navigateurs (et aux robots) que les connexions qui pointent vers l’ancienne version du site en http pointent désormais en https.
Pour ce faire il faut modifier le fichier .htaccess qui se trouve à la racine de votre site. Il faut donc télécharger le fichier (avec FileZilla), le modifier en lui ajoutant les lignes de code pour les redirections (301) et ensuite le retransférer à la racine de votre site (avec FileZilla).
Pour ce qui est de lignes à ajouter il faut regarder les articles, les lignes de code et leur syntaxe y figurent. Certains hébergeurs comme OVH, indiquent les lignes de code à ajouter pour faire une redirection permanente (301).
Pour ma part chez NUXIT ces redirections sont automatiques je n’ai donc pas eu besoin de modifier le fichier .htaccess.
Pour vérifier si vos redirections fonctionnement correctement vous pouvez utiliser un site comme redirection-web.net.
6-Eliminer le contenu mixte
Là ça devient un peu plus technique.
Pour qu’un site fonctionne entièrement en https, il faut que toutes les ressources qu’il utilise pour afficher ses pages (images, vidéos, fichiers audio, fichiers CSS et JavaScripts, objets…) soient également en https faute de quoi vous n’aurez pas le petit cadenas vert et les navigateurs indiqueront que le contenu du site n’est pas entièrement sécurisé.
Lire cet article sur le sujet : 1&1 Centre d’Assistance « Éliminer le contenu mixte d’un site Web utilisant le protocole SSL »
Sur un site WordPress il y a le contenu des pages et ce qui est dans la base de données. Si votre thème est bien codé et si vos liens internes sont correctement paramétrés (permaliens) l’opération peut se résumer à mettre à jour les liens qui sont contenus dans la base de données. C’est ce que j’ai fait en utilisant l’extension WordPress « Better Search Replace ».
Cet outil simple à utiliser permet le remplacement en masse dans la base de données des liens type http://www.monsite.com par https://www.monsite.com. J’ai ensuite supprimé cette extension qui n’est pas utile au fonctionnement du site. Son utilisation est décrite dans l’article TUXEDO « Comment passer son blog WordPress en HTTPS sans tout casser ? »
Après l’opération testez votre site en allant sur le site Why No Padlock qui recherchera la présence résiduelle de contenu mixte.
Par contre s’il y a des reliquats de ressources non https dans vos pages, là il faudra rechercher les ressources en http pour les remplacer par des équivalents en https, c’est un travail plus délicat à réaliser. L’article NO TUXEDO « Comment passer son blog WordPress en HTTPS sans tout casser ? » décrit ce qu’il est possible de faire dans cette situation.
Pour ma part les ressources du site comprenant une majorité de photographies définies par des liens internes, la mise à jour ces liens dans la base de données (remplacement des liens contenant http://www.hgsitephoto.com (sans / à la fin !) par des liens contenant https://hgsitephoto.com (sans / à la fin !) a suffi, je n’ai pas de contenu mixte sur mes pages (ouf !).
Bon, arrivé là on a fait une bonne partie du chemin, si tout va bien votre site est opérationnel en https et le petit cadenas vers vous le signale. 🙂
7- Encore quelques petites choses à faire
Google Search Console
Il faut dire à Google d’indexer votre site en version https. Il faut ajouter une nouvelle propriété en déclarant la version https de votre site. Ne pas oublier d’y indiquer le chemin d’accès à votre sitemap (ex : https://www.monsite.com/sitemap.html)
Google Analytics
Là aussi il faut indiquer le passage en https, pour plus de détail référez-vous aux instructions données dans les articles déjà cités.
Autres services
Pensez à mettre à jour tous les sites ou service ou votre site est référencé et/ou des liens de ressources y figurent (forums, signatures, services mails, forums, raccourcis sur votre bureau,…)
Robot.txt
Si vous avez un fichier robot.txt à la racine de votre site, pensez à mettre à jour l’adresse de votre sitemap en remplaçant http par https dans l’url .
8-Testez !
Regardez comment votre site s’affiche en utilisant plusieurs navigateurs différents (chrome, Edge, Firefox, safari, opéra,…) y compris sur les appareils mobiles afin de vérifier qu’il s’affiche bien en https avec l’indicateur de sécurité (cadenas vert sur Firefox par exemple). Pensez que ceux qui visitent votre site n’ont pas forcément le même navigateur que le vôtre.
Testez votre certificat SSL sur SSL Labs, il vous fera un rapport complet sur le niveau de performance de votre site sur l’aspect sécurité.
Voici ce que j’ai obtenu :
Cool 🙂 mais il faut bien voir que mon site est simple. Plus votre site est complexe avec de nombreux plugin, ou des « customisations » et/ou si vous faites appel à de nombreuse ressources externes cela peut s’avérer plus compliqué d’avoir tout en https et d’être confronté au problème de contenu mixte.
Conclusion
Je crois qu’objectivement tout propriétaire de site doit passer au mode sécurisé avec certificat SSL.
Même si ce changement n’est pas neutre en raison des manipulations qu’il impose et peut donc inquiéter un peu si on se sent limite dans ses connaissances, le jeu en vaut la chandelle car cela permettra de ne pas pénaliser votre référencement futur, de rassurer vos visiteurs dans un contexte où de toute façon l’évolution du web vers la sécurisation est un tendance lourde.
Pour vous rassurer je suis loin d’être un spécialiste (moi mon truc c’est la photo !) et en prenant mon temps et en me documentant j’y suis parvenu comme beaucoup d’autres possesseurs de site qui ne sont pas des professionnels du web.