Article SEO SEO Technique
Comment changer HTTP en HTTPS avec WordPress : guide complet

Comment changer HTTP en HTTPS avec WordPress

Sommaire de l'article

Passer de HTTP à HTTPS sur un site WordPress est une étape cruciale pour renforcer la sécurité, rassurer vos visiteurs et optimiser votre référencement naturel. Ce guide détaillé vous explique, pas à pas, comment réussir cette migration sans perdre de trafic ni casser votre site.

1. Introduction : pourquoi passer votre site WordPress en HTTPS ?

Les protocoles HTTP et HTTPS sont utilisés pour transférer les données entre le navigateur de vos visiteurs et votre serveur. HTTP est non chiffré, ce qui laisse potentiellement circuler des informations sensibles (mots de passe, données personnelles, informations de paiement) en clair. À l’inverse, HTTPS utilise un certificat SSL/TLS pour chiffrer les échanges et protéger les données.

Les principaux avantages de HTTPS pour un site WordPress sont :

  • Sécurité renforcée : les données échangées entre le navigateur et le serveur sont chiffrées.
  • Confiance des utilisateurs : le cadenas vert ou l’icône de connexion sécurisée rassure les visiteurs.
  • Avantage SEO : les moteurs de recherche tiennent compte de HTTPS comme critère de classement.
  • Compatibilité avec les fonctionnalités modernes : certaines API ou fonctionnalités (HTTP/2, certaines intégrations tiers) exigent HTTPS.

Passer en HTTPS n’est pas seulement une « option » recommandée : pour tout site WordPress en production, c’est devenu un standard.

2. Concepts clés à connaître avant la migration

2.1. Certificat SSL / TLS

Un certificat SSL/TLS est indispensable pour activer HTTPS sur votre site. Sans certificat valide, les navigateurs afficheront un avertissement de connexion non sécurisée, même si vous forcez l’URL en https://.

Les principaux types de certificats sont :

  • Certificat SSL gratuit : proposé par des services comme Let’s Encrypt, souvent intégré gratuitement chez les hébergeurs.
  • Certificat SSL payant : fourni par des autorités de certification (CA) reconnues, avec parfois une garantie financière et des options avancées.
  • Certificat multi-domaine (SAN) : protège plusieurs domaines ou sous-domaines avec un seul certificat.
  • Certificat wildcard : couvre un domaine et tous ses sous-domaines de premier niveau (par exemple, *.exemple.com).

2.2. Mixed content (contenu mixte)

Le mixed content (contenu mixte) se produit lorsque certaines ressources (images, scripts, feuilles de style, polices, iframes…) sont encore chargées en http:// alors que la page principale est servie en https://. Les navigateurs modernes bloquent ou signalent ce type de contenu, ce qui peut :

  • empêcher l’affichage du cadenas sécurisé,
  • provoquer des erreurs d’affichage ou de fonctionnalités,
  • réduire la confiance des utilisateurs.

2.3. Redirection 301

Une redirection 301 est une redirection permanente qui indique aux navigateurs et aux moteurs de recherche qu’une URL a été déplacée de façon définitive. Dans le cadre du passage de HTTP à HTTPS, elle vous permet de rediriger automatiquement tout le trafic de http://votresite.com vers https://votresite.com sans perdre le bénéfice SEO accumulé par vos anciennes URLs.

3. Préparation avant de passer WordPress en HTTPS

3.1. Sauvegarde complète du site

Avant toute modification importante, réalisez une sauvegarde complète de votre site :

  • sauvegarde de la base de données (via phpMyAdmin, un outil de gestion de base ou un plugin de sauvegarde),
  • sauvegarde des fichiers (via FTP/SFTP ou l’interface de votre hébergeur).

En cas de problème (boucle de redirection, site inaccessible, erreurs imprévues), vous pourrez restaurer rapidement votre site.

3.2. Vérifier l’infrastructure (hébergeur, CDN, proxy)

Si vous utilisez un CDN (Content Delivery Network) ou un proxy inverse (comme Cloudflare) :

  • assurez-vous que le CDN prend en charge HTTPS sur votre domaine,
  • vérifiez le mode de chiffrement (par exemple Flexible, Full, Full (strict) sur Cloudflare),
  • confirmez que les ressources statiques (images, CSS, JS) pourront être servies en HTTPS.

4. Étape 1 : obtenir et installer un certificat SSL

4.1. Option 1 : passer par votre hébergeur

La plupart des hébergeurs WordPress proposent aujourd’hui l’activation d’un certificat SSL en quelques clics, souvent gratuitement grâce à Let’s Encrypt. La procédure générale est la suivante :

  1. Connectez-vous au panneau de contrôle de votre hébergement.
  2. Allez dans la section dédiée aux certificats SSL ou à la sécurité.
  3. Activez un certificat SSL pour votre domaine (parfois appelé « SSL gratuit », « Let’s Encrypt » ou similaire).
  4. Attendez la validation et l’installation du certificat par l’hébergeur.

Une fois le certificat installé, vérifiez que l’adresse https://votredomaine.com affiche bien votre site sans avertissement majeur (il est normal à ce stade d’observer du contenu mixte).

4.2. Option 2 : acheter et installer un certificat SSL

Si votre hébergeur ne fournit pas de certificat gratuit ou si vous avez des besoins spécifiques (niveau de validation, garanties, multi-domaine avancé), vous pouvez acheter un certificat auprès d’un fournisseur spécialisé. L’installation implique en général :

  • la génération d’une CSR (Certificate Signing Request) sur votre serveur,
  • la validation par l’autorité de certification (par e-mail, DNS, ou fichier à déposer sur le serveur),
  • l’installation des fichiers de certificat fournis par le prestataire sur votre serveur web.

Si vous n’êtes pas à l’aise avec cette partie, privilégiez l’activation via votre hébergeur qui automatise souvent tout le processus.

5. Étape 2 : mettre à jour les réglages WordPress

5.1. Modifier les URLs dans l’administration WordPress

Une fois le certificat SSL installé et fonctionnel, connectez-vous à votre tableau de bord WordPress en HTTPS, par exemple : https://votredomaine.com/wp-admin/.

Ensuite :

  1. Allez dans Réglages > Général.
  2. Dans les champs Adresse web de WordPress (URL) et Adresse web du site (URL), remplacez http:// par https://.
  3. Enregistrez les modifications.

Ce changement indique à WordPress que l’URL principale du site doit désormais utiliser HTTPS. Cependant, cela ne suffit pas à lui seul : il faudra encore gérer les redirections et les URLs déjà enregistrées en base.

5.2. Forcer l’administration WordPress en HTTPS

Pour garantir que toutes les pages de l’administration (back-office) utilisent toujours HTTPS, vous pouvez ajouter dans votre fichier wp-config.php la constante suivante :

define('FORCE_SSL_ADMIN', true);

Assurez-vous que ce fichier est modifié avec précaution et que le certificat SSL est déjà fonctionnel, sinon vous risquez de bloquer l’accès à l’administration.

6. Étape 3 : rediriger tout le trafic HTTP vers HTTPS

6.1. Redirection 301 sur un serveur Apache via .htaccess

Sur un serveur Apache, la manière la plus courante de forcer la redirection de http:// vers https:// consiste à ajouter des règles dans le fichier .htaccess à la racine de votre installation WordPress.

Un exemple de configuration couramment utilisée est :

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Ce code redirige tout le trafic HTTP vers la version HTTPS de la même URL, de manière permanente (code 301). Il doit être placé avant le bloc # BEGIN WordPress généré automatiquement par WordPress.

Lorsque vous modifiez .htaccess, soyez extrêmement prudent : une erreur de syntaxe peut rendre votre site indisponible. Pensez à télécharger une copie de sauvegarde du fichier avant modification.

6.2. Redirection 301 sur un serveur NGINX

Si votre site est hébergé sur un serveur NGINX, la redirection ne se fait pas via .htaccess (spécifique à Apache), mais directement dans la configuration du serveur. Un bloc typique pour forcer la redirection pourrait ressembler à ceci :

server { listen 80; server_name exemple.com www.exemple.com; return 301 https://exemple.com$request_uri;
}

Ce bloc écoute les requêtes en HTTP (port 80) et les redirige de manière permanente vers la version HTTPS. La mise à jour de cette configuration nécessite en général un accès administrateur au serveur et un rechargement de NGINX.

7. Étape 4 : mettre à jour les URLs dans la base de données

Si votre site WordPress existait déjà en HTTP depuis un certain temps, il est presque certain que des URLs absolues commençant par http:// sont stockées en base de données : images insérées dans les articles, liens internes, widgets, options de thèmes, champs personnalisés, etc.

Pour éviter les problèmes de contenu mixte et assurer une cohérence totale, il est recommandé de remplacer ces anciennes URLs par leur version en https://.

7.1. Utiliser un plugin de recherche/remplacement

La méthode la plus accessible pour la plupart des utilisateurs consiste à utiliser un plugin de recherche/remplacement dédié à WordPress. Ce type d’extension permet, par exemple :

  • de rechercher toutes les occurrences de http://votredomaine.com en base,
  • de les remplacer par https://votredomaine.com,
  • de traiter également certains liens intégrés dans les options et les métadonnées.

Avant de lancer ce type d’opération, assurez-vous d’avoir une sauvegarde récente de votre base de données. Exécutez d’abord un « test » ou un mode simulation si le plugin le propose, afin de vérifier le nombre d’entrées concernées.

7.2. Cas spécifiques

Certains thèmes ou constructeurs de pages enregistrent les données dans des formats particuliers (shortcodes, JSON, builder interne). Vérifiez après la migration que toutes les images, icônes, arrière-plans et liens internes s’affichent correctement. Si des éléments restent en HTTP, vous devrez parfois les corriger manuellement dans l’éditeur de contenu ou dans les options du thème.

8. Étape 5 : utiliser (ou non) un plugin de migration HTTPS

8.1. Plugins de bascule HTTP → HTTPS

Des extensions comme Really Simple SSL peuvent faciliter la transition vers HTTPS. Elles détectent la présence du certificat, mettent à jour certains réglages, forcent les redirections et corrigent parfois des URLs à la volée.

Ces plugins sont pratiques si vous préférez une solution guidée, mais ils ne remplacent pas toujours un remplacement définitif des URLs en base de données. En effet, certaines corrections sont appliquées dynamiquement à chaque chargement de page, ce qui peut :

  • ajouter une légère surcharge de performance,
  • rendre plus complexe le diagnostic si vous désactivez le plugin plus tard.

8.2. Plugins de sécurité et HTTPS

Des extensions de sécurité comme Wordfence peuvent proposer des options liées au HTTPS (par exemple forcer certaines pages à utiliser HTTPS), mais elles ne sont pas des outils de migration dédiés. Leur rôle principal reste la protection contre les attaques et les vulnérabilités, pas la mise à jour globale de toutes les URLs et redirections du site.

9. Étape 6 : vérifier et corriger le mixed content

9.1. Utiliser les outils du navigateur

Une fois le passage en HTTPS effectué, parcourez les principales pages de votre site et ouvrez la console du navigateur (par exemple via les outils de développement). Les messages de type « contenu mixte » vous indiqueront quelles ressources sont encore chargées en HTTP.

9.2. Outils en ligne

Des outils en ligne spécialisés permettent de vérifier rapidement si certaines pages comportent encore des ressources non sécurisées. Ils scannent les liens et affichent une liste des éléments à corriger. Vous pouvez ainsi :

  • identifier les images, scripts ou feuilles de style encore en HTTP,
  • corriger les liens dans vos contenus, vos widgets ou vos options de thème,
  • vérifier que le cadenas sécurisé s’affiche bien pour toutes les pages importantes.

9.3. Ressources externes

Pensez également à vérifier les ressources chargées depuis des domaines externes :

  • scripts de suivi (pixels, analytics, publicités),
  • polices hébergées sur des CDN,
  • iframes (vidéos, formulaires, widgets tiers).

Si ces ressources ne sont pas disponibles en HTTPS, envisagez de les remplacer par des alternatives sécurisées ou de les retirer.

10. Étape 7 : mise à jour des outils externes et du SEO

10.1. Google Search Console

Après la migration, ajoutez ou vérifiez la propriété de votre site en HTTPS dans Google Search Console. Les versions HTTP et HTTPS d’un même domaine sont traitées comme des propriétés distinctes. Assurez-vous également que :

  • les sitemaps XML fournis à Google répertorient bien les URLs en HTTPS,
  • vos redirections 301 fonctionnent correctement de HTTP vers HTTPS sur un échantillon représentatif d’URLs.

Le re-crawl et la réindexation complète peuvent prendre plusieurs jours à plusieurs semaines selon la taille de votre site et la fréquence de passage des robots. Il est normal d’observer une phase de transition.

10.2. Google Analytics et autres outils de mesure

Dans vos outils d’analyse (par exemple Google Analytics), vérifiez que l’URL par défaut du site est bien passée en https://. Mettez aussi à jour les liens utilisés dans :

  • les campagnes e-mailing,
  • les publicités et bannières,
  • les profils et pages sur les réseaux sociaux,
  • les liens depuis d’autres sites que vous contrôlez (si possible).

10.3. Fichiers sitemaps et robots.txt

Si vous utilisez un plugin SEO pour générer vos sitemaps, assurez-vous qu’ils listent uniquement des URLs en HTTPS. Vérifiez également votre fichier robots.txt si vous y mentionnez des sitemaps ou des liens directs vers des pages importantes.

11. Étape 8 : performance et HTTPS

Historiquement, HTTPS pouvait ajouter une légère surcharge en raison du chiffrement. Avec les serveurs et navigateurs modernes, cette différence de performance est généralement négligeable, surtout si :

  • votre serveur est correctement configuré,
  • vous utilisez des versions récentes de PHP et de votre serveur web,
  • vous activez la mise en cache (via plugin ou configuration serveur),
  • vous exploitez un CDN optimisé pour HTTPS pour distribuer vos contenus statiques.

Dans certains cas, la combinaison HTTPS + HTTP/2 peut même améliorer la rapidité de chargement, notamment pour les sites qui chargent de nombreuses ressources (images, scripts, CSS).

12. Étape 9 : communication et suivi post-migration

12.1. Informer vos utilisateurs

Une fois la migration stabilisée, vous pouvez informer vos utilisateurs du passage à HTTPS :

  • par un article de blog expliquant que le site est désormais sécurisé,
  • par une newsletter ou un e-mail d’information aux clients,
  • en mettant à jour vos pages de politique de confidentialité et de conditions générales avec la mention du chiffrement des données en transit.

Cette communication renforce la confiance et montre que vous prenez à cœur la sécurité des données de vos visiteurs.

12.2. Surveiller les performances et le trafic

Après le passage en HTTPS, surveillez de près :

  • les statistiques de trafic (sessions, pages vues, sources),
  • les taux de rebond et les conversions,
  • les erreurs de crawl dans Google Search Console,
  • les éventuelles augmentations d’erreurs 404 ou de pages non trouvées.

Si vous constatez une baisse inhabituelle du trafic ou une hausse des erreurs, vérifiez en priorité :

  • la cohérence des redirections 301,
  • l’absence de chaînes ou de boucles de redirection,
  • la bonne mise à jour des sitemaps et des liens internes.

13. Récapitulatif : les grandes étapes pour passer WordPress de HTTP à HTTPS

Pour résumer, la transition de HTTP vers HTTPS sur un site WordPress se déroule en plusieurs grandes étapes :

  1. Sauvegarder l’intégralité du site (fichiers + base de données).
  2. Obtenir et installer un certificat SSL/TLS valide (via votre hébergeur ou un fournisseur externe).
  3. Vérifier que https://votredomaine.com fonctionne sans avertissement bloquant.
  4. Mettre à jour les réglages WordPress dans Réglages > Général en remplaçant http:// par https://.
  5. Configurer les redirections 301 de HTTP vers HTTPS au niveau du serveur (Apache via .htaccess, NGINX via la configuration du serveur, ou via les outils de votre hébergeur).
  6. Mettre à jour les URLs en base de données (recherche/remplacement de http://votredomaine.com vers https://votredomaine.com).
  7. Corriger le mixed content en vérifiant les pages clés et en ajustant les ressources encore servies en HTTP.
  8. Mettre à jour vos outils externes (Google Search Console, Google Analytics, campagnes marketing, liens sur d’autres sites que vous contrôlez).
  9. Tester et surveiller le site après la migration (redirections, performances, indexation, comportement des utilisateurs).

En suivant ces étapes dans l’ordre et en prenant le temps de tester à chaque phase, changer HTTP en HTTPS avec WordPress devient une opération parfaitement maîtrisable, même sur un site déjà bien établi.

Besoin d'aide avec votre SEO ?

Notre équipe d'experts peut vous aider à optimiser votre site e-commerce

Découvrir nos services SEO Nous contacter

Commentaires

Laisser un commentaire

Votre commentaire sera soumis à modération avant publication.
Retour au blog