Le week-end dernier, j’ai passé mon site, Artiref (ici même), en mode sécurisé. C’est-à-dire que la liaison entre mon serveur web (un bête mutualisé OVH) et le navigateur de l’internaute est sécurisée, est cryptée. Cela ne fait rien d’autre que de crypter, avec le protocole SSL, les données transférées entre le serveur et l’ordinateur du visiteur, mais c’est déjà pas mal.
Comme souvent, vous me connaissez, j’ai partagé cette information sur Facebook et plusieurs m’ont demandé d’en faire un petit article pour partager ma procédure. Voilà comment je suis passé d’un site non sécurisé (http) à un site sécurisé (https). Attention, c’est ma procédure, ce n’est peut-être pas celle qu’il vous faut, elle peut être incomplète, je ne suis pas technicien, juste passionné.
Comment savoir si votre site est sécurisé ?
Il suffit de vérifier, en allant sur votre site, si l’adresse commence par https et non http. Inutile de vous dire que le « s » est là pour indiquer que le site est sécurisé.
Un cadenas apparait aussi pour indiquer que la liaison est sécurisée.
Il y a plusieurs niveaux de sécurisation, je ne vais pas entrer dans ces détails.
Un des « pièges » est de sécuriser certains éléments (une page par exemple) et d’en oublier d’autres (une photo), votre site sera alors « semi-sécurisé« .
Pourquoi sécuriser son site ?
C’est avant tout Google qui a modifié les comportements. Google se positionne comme un des garants du web. Nombre de ses services sont sécurisés, comme Gmail, la recherche, Gdrive, etc. D’ailleurs de nombreux services/sites sont sécurisés, à commencer par Facebook, mais aussi Booking, Tripadvisor, etc. Bref la sécurisation est en train de devenir une norme sur le web.
Dès 2014 Google annonçait un « bonus » dans le référencement (classement) pour les sites offrant la sécurisation. Depuis cette annonce, un tiers des sites proposent le https.
Les dernières annonces de Google montrent que les sites non-sécurisés seront prochainement pénalisés en termes de référencement. Le navigateur Chrome (et les autres vont suivre) va prochainement signaler les sites non sécurisés…
Bref, j’ai sécurisé pour:
– améliorer la confiance des visiteurs
– ne pas perdre en confiance avec les messages d’alertes de certains navigateurs
– répondre à la demande de Google pour avoir un bonus « SEO »
– répondre à la demande Google pour ne pas être pénalisé
– pour sécuriser mon site (la bonne blague)
Comment sécuriser son site ?
Alors là, c’est la bonne question. La majorité d’entre vous devront passer par un professionnel, votre agence web par exemple. Les bricolo, comme moi, vont pouvoir le faire eux-mêmes. Il m’a fallu 3-4 heures pour le faire, c’est la sauvegarde totale qui m’a pris le plus de temps (je me suis planté).
Mon site tourne grâce à WordPress, un gestionnaire de contenu de référence.
La première chose à avoir est un certificat SSL, la clef de cryptage qui va sécuriser les échanges. Mon site est hébergé sur un serveur mutualisé OVH (quelques dizaines d’euros par an) et OVH offre un certificat à tous ses clients. En fait ce n’est pas eux qui offrent, ils mettent à disposition, c’est Let’s Encrypt qui offre ce certificat. Où que vous soyez, vous devriez pouvoir bénéficier de ce certificat gratuit.
Attention, passer en https, c’est comme si vous changiez de nom de domaine, il y a des précautions à prendre, notamment en terme de référencement et de navigabilité, il faut rediriger les adresses (en gros, c’est comme quand vous déménagez, vous indiquez à la poste votre nouvelle adresse pour qu’ils fassent suivre le courrier. Il faut faire de même et indiquer les nouvelles adresses (nouveau nom de domaine) pour faire suivre les visiteurs…).
Ensuite, voilà ma procédure, que j’ai écrite en glanant des infos à droite et à gauche.
Elle est adaptée pour mon site sous WordPress et sous OVH.
- Sauvegarder la base de données SQL en passant par phpmyadmin
- Sauvegarder les fichiers du site en passant par un client FTP
- En profiter pour mettre à jour WordPress dans sa dernière version. Faire de même avec les extensions et toutes les mises à jour disponibles.
- Activer Https dans l’interface OVH (à priori pas besoin, c’est activé par défaut)
- Rediriger tout le trafic de http vers https en l’indiquant dans le fichier .htaccess (par ftp)
- Modifier toutes les redirections existantes pour les faire pointer vers https
- Modifier l’URL du site et de la racine dans les paramètres WordPress
- Modifier tous les liens internes http://www.artiref par https://www.artiref
- Modifier Google Analytics
- Modifier Google Search Console (anciennement Google Webmaster Tools)
- Vérifier Robots.txt et sitemap.xml
- Vérifier que l’admin WordPress est bien en https
- Vérifier les plug-in et les extensions
- Modifier les liens externes « puissants » pointant vers mon site (Facebook, Twitter, Scoop.it, LinkedIn, quelques footer à droite et à gauche)
- Vérifier que l’intégralité du site est sécurisée
Voici ma ligne de code pour la redirection totale vers https
RewriteEngine OnRewriteCond %{SERVER_PORT} 80 RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
J’avais déjà des redirections pour gérer avec www et sans www.
Voici les requêtes SQL effectuées pour modifier tous les liens internes
# Changer l’URL du site
UPDATE wp_options
SET option_value = replace(option_value, ‘http://www.artiref.com’, ‘https://www.artiref.com’)
WHERE option_name = ‘home’ OR option_name = ‘siteurl’;# Changer l’URL des GUID
UPDATE wp_posts
SET guid = REPLACE (guid, ‘http://www.artiref.com’, ‘https://www.artiref.com’);# Changer l’URL des médias dans les articles et pages
UPDATE wp_posts
SET post_content = REPLACE (post_content, ‘http://www.artiref.com’, ‘https://www.artiref.com’);# Changer l’URL des données meta
UPDATE wp_postmeta
SET meta_value = REPLACE (meta_value, ‘http://www.artiref.com’,’https://www.artiref.com’);
Voilà, votre site est sécurisé, il apparaitra comme tel d’ici quelques jours dans les pages de résultats de Google et immédiatement sur votre navigateur.
Télécharger cette procédure au format PDF