La sécurité des internautes est devenue est un élément clé dans l'algorithme de Google. Il est aujourd'hui admis qu'un site non sécurisé sera pénalisé par l'algorithme de Google par rapport à une page non sécurisée en cas d'égalité de pertinence dans les résultats de recherche. Il est donc indispensable de mettre en place un site en https dès le premier jour !
Le HTTPS : de quoi s'agit il ?
Le https est l'acronyme de HyperText Transfer Protocol Secure. Pour résumer, il s'agit du protocole http sécurisé. Un site https dispose d'un certificat qui permet de garantir l'identité d'un site web. Vous pouvez généralement vérifier qu'un site est bien sécurisé lorsque votre navigateur affiche un petit cadenas à côté de l'URL.
Le protocole https garantit également la confidentialité des données échangées entre le site web et l'internaute. C'est pourquoi, historiquement, le protocole https était systématique lors des transactions financières, comme le paiement par carte bancaire sur un site e-commerce. Depuis, Google a poussé pour que l'ensemble des sites utilisent systématiquement le protocoles https, en l'intégrant comme critère de classement dans les résultats de recherche.
Le HTTPS compte-t-il vraiment en SEO ?
Alors, il ne faut pas en faire un élément qui multipliera par 10 votre position dans les résultats de recherche de Google. Les dernières études tendent à montrer que le https est désormais davantage un élément qui pénalisera votre site, tout chose égale par ailleurs. Mais encore aujourd'hui, il n'est pas rare de tomber sur un site non sécurisé parmi le top 10 des résultats de Google.
Le https n'a pas d'impact particulier le reste de votre site, donc autant le mettre en place directement !
Combien coûte le https ?
La bonne nouvelle, c'est que les hébergeurs proposent désormais un certificat d'authentification gratuit, directement intégré dans l'offre d'hébergement. Généralement, il s'agit du certificat Let's Encrypt, entièrement gratuit. Let's Encrypt revendique désormais plus d'un milliard de certificats émis !
Il existe d'autres certificats d'authentification qui utilisent d'autres mécanismes encore plus sécurisés, qui peuvent coûter à partir 49 € H.T/ an tel que Sectigo.
Comment éviter le mixed content http et https ?
Le grand classique du problème du passage de l'http à l'https est l'apparition de problèmes intitulés "mixed content". Cela signifie en général que des URL dans votre site, vers des pages ou des ressources telles que des images n'ont pas de https dans leur URL, mais des http. Autrement dit, une page https a des liens qui pointe vers le même domaine et qui commencent par "http://.." et non "https://.."
Vous pouvez alors avoir ce genre d'avertissements sur votre site, alors qu'en apparence, il est censé être protégé en https !
C'est un problème classique lorsque l'on bascule d'un site Wordpress construit sur une URL de type "http" et auquel on ajoute un certifical SSL d'authentification pour disposer pleinement du https.
D'ou viennent les problèmes de Mixed Content ?
Généralement, il s'agit :
- de l'URL d'une image "en dur" dans le code
- d'un lien vers un fichier CSS ou javascript non basculé
- etc.
L'objectif est donc de s'assurer qu'aucun lien, quel qu'il soit, ne commence par "http://" mais bien "https://", ou bien d'avoir des liens relatifs. Les liens relatifs vous évitent de rappeler le domaine de votre site, en commençant l'URL par :"/".
Quels plugins permettent de résoudre le problème du mixed content ?
4 méthodes permettent de s'assurer que vos liens seront bien tous en https.
Les réglages Wordpress
Parfois, lors de l'installation d'un site sur un environnement de développement qui est ensuite copié vers un environnement de production, on "oublie" de changer l'URL du site dans Wordpress. Aussi, la première action à entreprendre est de s'assurer que les réglages de Wordpress sont correctement configurés. Pour cela, rendez-vous dans :
- Réglages -> Général
- Ensuite, il faut vérifier qu'au niveau des champs "Adresse web de WordPress" et "Adresse web du site (URL)", l'URL démarre bien par https.
Si c'est bien le cas, on passe à l'étape suivante ! 👇
Really Simple SSL
Really Simple SSL est une extension Wordpress qui permet de forcer le passage en https tous les liens. Ainsi, pour le navigateur (et pour Google), votre navigation est entièrement sécurisée. Sans risque, vous pouvez l'installer et appliquer immédiatement la bascule vers le https.
Attention : ce plugin, très efficace, n'en reste pas moins qu'un palliatif. Il ne modifie pas les informations au niveau du code de votre site les éventuelles adresses web qui resteraient au format "http://..."
Better Search Replace
Ce plugin, comme son nom le laisse deviner, vous permet de modifier en masse le contenu de votre site. C'est une fonctionnalité très utile à bien des égards. Dans notre cas, il vous permet de parcourir l'ensemble de votre site et de, par exemple, réaliser la manipulation suivante :
- "Identifie toutes les chaines de caractère de type : http://www.oudini.fr"
- "Remplace ces chaines de caractère par : https://www.oudini.fr"
Le plugin parcourt l'ensemble de la base de données, et effectue l'opération.
Avec cela, vous êtes certain que toute votre base de données contient les bonnes URL en https et non en http. Vous pourriez même en profiter pour basculer, si cela fait sens pour vous, toutes vos URL en adresse relative : "/xxx/...".
Une fois ces deux manipulations effectuées, n'hésitez pas à vider votre cache et vérifier le résultat.
Si vous avez encore des problèmes de Mixed Content, il est indispensable de vérifier quels sont les fichiers qui posent soucis grâce à l'inspecteur de votre navigateur.
Comment vérifier les fichiers problématiques avec l'inspecteur du navigateur ?
- En général, en cliquant sur le bouton droit de la souris, vous verrez un menu contextuel intitulé "Inspecteur" sous Chrome ou "Examiner l'élément" sous Firefox.
- Cliquer sur l'onglet "Console" puis recharger votre page.
- Des messages d'alerte vont apparaître avec les liens qui posent encore des problèmes de mixed content.
Il vous faut identifier l'origine de ces liens. Il peut s'agir, par exemple, de liens ajoutés manuellement dans le fichier de votre thème ou encore dans le fichier functions.php.
Pour conclure
Le HTTPS est devenu un incontournable : il est indispensable de l'activer. Si vous basculez d'un environnement http vers https, il existe des méthodes simples et très efficaces pour s'assurer que la mise en place est un franc succès !