Passer son blog wordpress en https pour les nulles

La grande nouvelle du jour, c’est qu’en mars j’ai enfin réalisé mon objectif de février (oups) ; j’ai passé mon blog wordpress en https. Twins And Us est désormais un site sécurisé.

Vous allez me dire que vous vous en fichez un peu, mais c’est pas tout à vrai. Why ?

Parce que désormais, quand tu arriveras sur mon blog, tes navigateurs n’allumeront pas tous les voyants en rouge.

Et si toi aussi tu blogues, tu sais que Google va peu à peu privilégier les sites sécurisés dans ses résultats de recherche. Il se murmure aussi que pour sa prochaine mise à jour, WordPress devrait en tenir compte, et certaines API pourraient ne plus fonctionner si le site n’est pas https.

Comme j’ai intitulé cet article Passer son blog wordpress en https pour les nulles, je vais t’épargner tous les discours techniques. Nulle, ça veut juste dire que je connais mes limites techniques, et que je ne mets pas les ongles dans le code du blog, ou le moins possible.

Alors, si tu penses toi aussi qu’il est temps de passer ton blog wordpress en https, voici les différentes étapes suivies.

Se documenter avant de passer en Https

Je conseille de se documenter absolument avant de faire la manip : lire, relire, des tutos et articles spécialisés pour comprendre un minimum. Ça aide également à se faire une cheklist chronologique de chaque étape avec tout ce qu’il faut faire.

Ces articles sont écrits par des blogueurs pro et développeurs qui ont pris le temps de rédiger des tutos pour expliquer pourquoi et comment passer son site wordpress en https, qu’on aime /ait envie de mettre les mains dans le cambouis ou pas.

Parmi les différents articles que j’ai lu, j’ai retenu les 3 articles suivants :

Comment passer son site wordpress en https, chez WP Marmite. Il explique tout sur le https, donne toutes les bonnes raisons de le faire. Il  présente les différents types de certificats SSL. Ensuite, il décrit le passage en https chez son hébergeur O2Switch, puis les manip à faire au niveau du code, mais également de google analytics par exemple.

C’est encore plus intéressant à la fin, puisqu’il présente des extensions, ou plugins, permettant de faire la migration presque sans mettre les doigts dans le cambouis -;)

Comment passer son blog wordpress en https sans tout casser ? chez No Tuxedo. Tout est dans le titre, autant ne pas casser son blog ! Après l’introduction sur l’intérêt du https et ce que c’est, on rentre dans le vif du sujet avec les étapes préalables, genre faire une sauvegarde, désactiver son plugin de cache etc.

Ensuite, l’article décrit comment activer le certificat, puis comment activer le https sur le site. Démarre ensuite  la chasse au contenu mixte, c’est à dire au contenu qui serait aussi bien en https et du contenu qui serait resté en http. C’est pas grave en soi, mais ça veut juste dire que certaines de vos pages n’auront peut-être pas le fameux cadenas.

Comment passer wordpress en https ? chez WP Formation. L’article présente le https, les certificats, et comment les activer. Ensuite, il liste rapidement les quelques manip à faire, pour terminer par le test de son site.

Une fois qu’on a digéré ces explications et établi sa propre checklist, la première démarche consiste à renseigner chez son hébergeur pour voir quels types de certificats il propose.

Mon blog est hébergé chez Amen (et je te fais un peu de pub juste là) . Comme OVH et d’autres hébergeurs, Amen a choisi d’installer des certificats SSL gratuits pour les hébergements cPanel. Ces certificats SSL gratuits sont émis par Let’s Encrypt, et sont largement suffisants pour un blog.

Et ensuite ? on sauvegarde sa base de données, et même tout ton blog, on coupe le téléphone et les notifs des réseaux sociaux, et c’est parti. Astuce, on évite de faire ça avec les enfants dans les parages, histoire de rester bien concentrée.

Passer son blog wordpress en https chez Amen

Chez Amen, le certificats SSL Let’s Encrypt était donc installé et déjà activé. Ils sont paramétrés pour un renouvellement automatique, ce qui est une très bonne chose.

Attention, si le certificat est installé et actif MAIS que vous n’avez pas encore fait la redirection, Google risque de considérer qu’il y a duplicate content vu que https://www.monsite.com et http://www.monsite.com sont deux adresses distinctes.

Si c’est le cas, il faut vite aux étapes suivantes pour ne pas faire trainer le duplicate content trop longtemps.

Configurer la redirection http vers https

Le support Amen a mis en ligne un tuto pour configurer la redirection http => https sur wordpress. Il est simplissime, et propose de faire la manip en téléchargeant et activant le plugin WP Force SSL.

En ayant lu les 3 articles ci-dessus, j’ai préféré opter pour le plugin Really Simple SSL qui promet de gérer aussi le mixed content, autrement dit les pages, les articles, mais aussi les images. Pareil, tu le télécharges, tu l’installes dans ton admin wordpress, et ensuite tu l’actives.

Voici comment j’ai passé mon blog wordpress en https (le détail des étapes est décrit dans les 3 articles mis en référence ci-dessus):

  1. J’ai vérifié que le certificat SSL était bien actif, et que le site en https était accessible
  2. Me connecter à l’admin de mon blog wordpress
  3. Désactivé le plugin de Cache
  4. Téléchargé et installé le plugin Really Simple SSL puis je l’ai activé
  5. Dans l’admin de mon blog, Réglages / Général, j’ai changé l’adresse du site en https.
  6. Me déconnecter, puis vérifier dans mon navigateur que les redirections fonctionnent et que mon site est bien accessible
  7. Me reconnecter sur le site https.
  8. Aller dans les widgets, et vérifier que les liens vers des macarons (images dans ma base de données) par exemple sont en https ou les passer manuellement.
  9. Comme j’ai quelques redirections 301 vers d’anciennes catégories, je suis allée dans le plugin Redirection pour les passer manuellement en https (ça va, je n’en n’ai pas des centaines, donc ça m’a pris quelques minutes).

A noter : Jetpack, Wordfence et Yoast ont automatiquement pris en compte le https. Je n’ai rien eu à faire.

A noter encore : Really Simple SSL m’indique que le htaccess n’est pas modifié et que pour le faire, il faut la version premium du plugin. Mon hébergeur ne parlant pas de modifier le htaccess, je vais l’appeler la semaine prochaine pour valider ce point avec eux avant toute chose.

Faire savoir que ton site est en https

Ensuite, il reste des étapes à faire et qui sont tout aussi importantes que celles sur le site lui-même. Il s’agit maintenant de clamer à la toile entière et en particulier au Dieu Google que ton site est en https, et que l’ancien site http ne doit plus l’intéresser.

Pour cela, il faut :

  1. Aller sur Google Analytics et modifier, dans la propriété, l’url en https.
  2. Aller dans Search Console et rajouter les sites en https, et indiquer la préférence.
  3. Dans Search Console toujours, renvoyer son sitemap
  4. Si tu es sur des plateformes d’affiliation, aller sur chaque tableau de bord et modifier l’url de son site (au besoin, les appeler et ils le font pour toi par téléphone comme chez Net Affiliation).
  5. Aller sur ses réseaux sociaux, Twitter, Facebook, Instagram, Pinterest et Google + pour ne citer qu’eux : dans chaque bio / description / a propos, modifier l’url du site en https.
  6. Tester son site sur https://www.ssllabs.com/ssltest/, et comme pour le bilan énergétique de ton lave-vaisselle, récolter un joli A tout vert.

SSL Checker

Yeah ! I Did it

Voilà, depuis mercredi, Twins And Us est un site sécurisé, et j’avoue que je suis assez fière de moi. Parce que je me faisais une montagne de cette étape, que j’avais la trouille de tout casser, et qu’il m’en faut peu pour être heureuse.

Seuls points d’interrogation à ce jour : le publipostage automatique via le plugin SNAP n’a pas fonctionné ce matin (alors que tout est ok au niveau du paramétrage et que j’ai posté manuellement sans erreur), et l’envoi de l’article par mail aux abonnés à la newsletter via Jetpack n’a pas fonctionné non plus.

A ce stade, je ne saurais pas dire si c’est lié au https ou pas. Et si vous avez des pistes, n’hésitez pas à me les donner -;) Je vais désinstaller SNAP puis le réinstaller, je verrai si ça résout le problème. Ou pas.

Il reste quelques liens sortants d’affiliation en http qui ne sont pas encore disponibles en https pour l’instant sur la plateforme d’affiliation. Je les modifierai au fur et à mesure qu’ils passeront eux aussi en https.

A priori donc, tout est OK à 99%. Mais si jamais vous voyez des choses bizarres sur le blog, ou des étapes que j’aurais oublié, n’hésitez pas à me les dire soit en commentaire ici, soit si ça bugue (mais ça, ça date de quelques mois déjà et ça reste un mystère), sur ma page Facebook.

Alors, à vous de jouer maintenant ?

Twins And Us