Article SEO SEO Technique

Comment mettre son site WordPress en HTTPS

Sommaire de l'article

Passer un site WordPress de HTTP à HTTPS est aujourd’hui indispensable pour la sécurité, la confiance des utilisateurs et le référencement naturel. Cette migration repose sur l’installation d’un certificat SSL/TLS, la bonne configuration de WordPress, la mise en place de redirections 301 et la correction de tous les contenus mixtes.

Qu’est-ce que HTTPS et pourquoi l’activer sur WordPress ?

HTTPS (Hypertext Transfer Protocol Secure) est une version sécurisée de HTTP qui chiffre les échanges entre le navigateur de vos visiteurs et le serveur de votre site web. Grâce à un certificat SSL/TLS, les données sensibles (mots de passe, formulaires, informations de paiement, etc.) sont protégées contre l’interception et la modification.

Pour un site WordPress, activer HTTPS permet :

  • d’améliorer la sécurité et de réduire le risque d’attaques de type « man-in-the-middle » ;
  • d’éviter l’avertissement « Non sécurisé » affiché par les navigateurs modernes sur les sites en HTTP ;
  • d’envoyer un signal positif aux moteurs de recherche, qui favorisent les sites accessibles en HTTPS ;
  • d’augmenter la confiance des utilisateurs, en particulier pour les sites e‑commerce et les sites manipulant des données personnelles.

Certificat SSL/TLS : gratuit ou payant ?

Rôle du certificat SSL/TLS

Un certificat SSL (ou plus exactement TLS) est nécessaire pour activer HTTPS sur votre site WordPress. Il sert à :

  • authentifier l’identité de votre site (lier un nom de domaine à un certificat) ;
  • chiffrer les communications entre le navigateur et le serveur.

Certificats SSL gratuits

De nombreux hébergeurs proposent aujourd’hui des certificats SSL gratuits, le plus souvent via Let’s Encrypt. Ces certificats sont parfaitement adaptés à la majorité des sites WordPress (blogs, sites vitrine, sites de contenu, petites boutiques, etc.). Ils offrent le même niveau de chiffrement qu’un certificat payant.

Certificats SSL payants

Des autorités de certification comme DigiCert, Sectigo (ex‑Comodo), GeoTrust ou d’autres proposent des certificats payants avec différents niveaux de validation (DV, OV, EV) et parfois des garanties financières supplémentaires. Ils sont particulièrement utilisés pour les grandes marques, les sites bancaires ou les sites e‑commerce qui souhaitent un niveau de validation plus poussé et un support dédié.

Dans la pratique, pour la plupart des sites WordPress, un certificat SSL gratuit correctement installé et renouvelé automatiquement est suffisant. L’essentiel est de s’assurer que le certificat est valide, à jour et bien configuré sur le serveur.

Étape 1 : installer le certificat SSL sur le serveur

Avant de modifier WordPress, le certificat doit être installé et activé sur votre hébergement.

Vérifier les options de votre hébergeur

Connectez-vous au panneau de contrôle de votre hébergeur (cPanel, Plesk, interface propriétaire, etc.) et recherchez une section du type :

  • « SSL/TLS » ;
  • « Certificats » ;
  • « Sécurité » ;
  • ou une mention explicite de Let’s Encrypt.

Dans la majorité des cas, vous pouvez activer un certificat gratuit en quelques clics. Si ce n’est pas possible, il faudra soit acheter un certificat, soit en générer un (Let’s Encrypt ou autre) puis le faire installer par votre hébergeur.

Vérifier la bonne installation du certificat

Une fois le certificat installé, vous pouvez vérifier :

  • que l’URL https://votre-domaine.tld charge bien une page (même si le site n’est pas encore entièrement fonctionnel en HTTPS) ;
  • que le navigateur n’affiche pas d’alerte de certificat invalide ou expiré ;
  • que le certificat est associé au bon nom de domaine (et éventuellement au sous-domaine www).

Pour approfondir, il est conseillé d’utiliser un outil de test de configuration SSL/TLS (par exemple SSL Labs) pour analyser la qualité du chiffrement et s’assurer que les anciens protocoles TLS 1.0 et 1.1 sont désactivés au profit de TLS 1.2 et 1.3.

Étape 2 : préparer la migration HTTPS de votre site WordPress

Faire une sauvegarde complète

Avant toute modification importante, réalisez une sauvegarde complète de votre site :

  • fichiers (code source, thèmes, plugins, médias) ;
  • base de données (toutes les tables WordPress).

Vous pouvez utiliser un plugin de sauvegarde ou effectuer ces opérations via votre hébergement. En cas de problème pendant la migration, vous pourrez restaurer le site rapidement.

Vérifier le thème, les plugins et le CDN

Profitez-en pour :

  • mettre à jour WordPress, votre thème et vos extensions pour limiter les incompatibilités ;
  • identifier les plugins ou scripts externes qui chargent encore des ressources en HTTP ;
  • si vous utilisez un CDN ou un reverse proxy (par exemple Cloudflare), vérifier que le certificat est également activé côté CDN et que le mode SSL (Full, Full Strict, etc.) est cohérent avec le certificat installé sur votre serveur d’origine.

Étape 3 : configurer WordPress pour utiliser HTTPS

Mettre à jour les URLs de base dans WordPress

Une fois le certificat SSL fonctionnel, il faut indiquer à WordPress d’utiliser systématiquement HTTPS :

  1. Connectez-vous à l’administration de WordPress.
  2. Allez dans Réglages > Général.
  3. Dans les champs Adresse web de WordPress (URL) et Adresse web du site (URL), remplacez http:// par https://.
  4. Enregistrez les modifications.

Après l’enregistrement, WordPress peut vous déconnecter : reconnectez-vous via l’URL en https://. Cette étape informe WordPress que l’adresse officielle de votre site est désormais en HTTPS.

Mettre à jour les liens internes et le contenu

Cette modification ne suffit pas à corriger toutes les URLs stockées dans la base de données (contenu d’articles, widgets, options sérialisées, etc.). Il est recommandé d’utiliser un outil dédié à la recherche et au remplacement sécurisé des URLs pour :

  • remplacer http://votre-domaine.tld par https://votre-domaine.tld dans les contenus ;
  • éviter de casser les données sérialisées (ce qui peut arriver avec de simples requêtes SQL manuelles).

De nombreux plugins spécialisés existent pour gérer ces remplacements sans risque. Cette étape est importante pour réduire au maximum les futurs problèmes de contenu mixte.

Forcer l’administration WordPress en HTTPS

Pour renforcer la sécurité de la zone d’administration et des pages de connexion, il est conseillé de forcer ces pages en HTTPS via le fichier wp-config.php. Ajoutez, avant la ligne « That’s all, stop editing! », l’instruction suivante :

define('FORCE_SSL_ADMIN', true);

Cette constante force le chargement du tableau de bord et de la page de connexion en HTTPS, à condition que le certificat soit bien installé côté serveur. L’ancienne constante FORCE_SSL_LOGIN étant obsolète, il n’est plus utile de l’utiliser.

Étape 4 : rediriger tout le trafic HTTP vers HTTPS

Utiliser un plugin dédié (solution simple)

Si vous préférez une approche guidée, vous pouvez utiliser un plugin comme Really Simple SSL. Ce type de plugin :

  • détecte automatiquement la présence d’un certificat SSL valide ;
  • met à jour certaines configurations pour utiliser HTTPS ;
  • met en place des redirections automatiques de HTTP vers HTTPS ;
  • tente de corriger une partie des contenus mixtes.

C’est une solution pratique pour les débutants, mais il reste recommandé de vérifier manuellement la configuration finale.

Mettre en place les redirections 301 dans .htaccess (Apache)

Pour un contrôle fin et des performances optimales, il est souvent préférable d’implémenter les redirections directement au niveau du serveur web. Sur un serveur Apache, cela se fait généralement via le fichier .htaccess situé à la racine de votre installation WordPress.

Avant de modifier ce fichier, téléchargez-en une copie de sauvegarde. Ensuite, ajoutez un bloc de redirection standard, par exemple :


RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Ce bloc doit être placé au-dessus des règles par défaut de WordPress ou intégré proprement dans le fichier pour éviter les conflits. Après enregistrement, toute requête en HTTP sera redirigée de manière permanente (301) vers l’URL équivalente en HTTPS.

Si vous n’êtes pas à l’aise avec l’édition des fichiers système, vous pouvez :

  • utiliser un client FTP pour récupérer et modifier le fichier localement puis le renvoyer sur le serveur ;
  • passer par le gestionnaire de fichiers de votre panneau d’hébergement, qui permet souvent d’éditer .htaccess en ligne ;
  • demander à votre hébergeur de configurer les redirections HTTP vers HTTPS pour vous.

Cas des serveurs Nginx et autres configurations

Si votre site est hébergé sur un serveur Nginx, la redirection ne se fait pas via .htaccess mais dans la configuration du serveur virtuel. Dans ce cas, il faut généralement ajouter une redirection au niveau du bloc server HTTP vers la version HTTPS. Cette opération doit être réalisée par vous si vous avez accès à la configuration, ou par votre administrateur système / hébergeur.

Étape 5 : gérer et corriger le contenu mixte

Qu’est-ce que le contenu mixte ?

Le contenu mixte apparaît lorsqu’une page chargée en HTTPS fait appel à des ressources externes (images, scripts, feuilles de style, iframes, etc.) via des URLs en HTTP. Les navigateurs modernes bloquent ou marquent ces ressources comme non sécurisées, ce qui peut provoquer :

  • l’affichage d’un cadenas partiel ou d’un avertissement de sécurité ;
  • le blocage de certains scripts ou éléments de la page ;
  • une mauvaise expérience utilisateur et une perte de confiance.

Comment détecter le contenu mixte

Après la migration, inspectez plusieurs pages clés de votre site :

  • Page d’accueil ;
  • Pages de contenu importantes ;
  • Pages de formulaire (contact, compte, paiement) ;
  • Pages produits pour un site e‑commerce.

Vous pouvez :

  • ouvrir la console de votre navigateur (Outils de développement) et regarder les avertissements liés aux ressources mixtes ;
  • utiliser des outils en ligne spécialisés qui analysent vos pages et détectent les ressources chargées en HTTP.

Corriger le contenu mixte

Pour corriger le contenu mixte :

  • remplacez, dans vos articles, pages, widgets et menus, toutes les URLs commençant par http://votre-domaine.tld par https://votre-domaine.tld ;
  • mettez à jour les options de thème ou de plugins qui stockent encore des URLs en HTTP ;
  • pour les ressources externes (CDN, scripts tiers, polices, etc.), utilisez si possible des URLs en HTTPS ou des URLs protocol-relative (commençant par //), si le service le recommande encore ;
  • évitez d’intégrer des ressources provenant de sites qui ne proposent pas HTTPS, car cela continuera à générer du contenu mixte.

Pour automatiser une partie de ce travail, il existe des plugins comme SSL Insecure Content Fixer qui analysent vos pages et réécrivent au vol les liens non sécurisés, dans la mesure du possible. Ils constituent une aide précieuse, mais une vérification manuelle reste recommandée, surtout sur les pages stratégiques.

Étape 6 : renforcer la sécurité avec HSTS et bonnes pratiques TLS

Activer HSTS (HTTP Strict Transport Security)

Une fois que votre site fonctionne parfaitement en HTTPS (sans contenu mixte ni erreur de certificat), vous pouvez activer HSTS pour forcer les navigateurs compatibles à n’accéder à votre domaine qu’en HTTPS pendant une période donnée.

Sur un serveur Apache, cela se fait via un en‑tête HTTP dans .htaccess, par exemple :


Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Dans cet exemple, la durée est fixée à un an (31536000 secondes), et la directive s’applique également aux sous-domaines. N’activez HSTS qu’une fois sûr de votre configuration, car revenir en arrière rapidement peut être complexe, surtout si vous inscrivez votre domaine dans la liste de préchargement des navigateurs.

Mettre à jour la configuration TLS

Côté serveur, assurez-vous que :

  • les protocoles anciens (TLS 1.0 et 1.1) sont désactivés ;
  • seuls TLS 1.2 et TLS 1.3 sont activés ;
  • les suites de chiffrement modernes et robustes sont privilégiées (par exemple, basées sur AES‑GCM et ECDHE).

Ces réglages se font au niveau de la configuration du serveur (Apache, Nginx, etc.) et peuvent souvent être ajustés via votre interface d’hébergement ou par le support technique.

Étape 7 : performance et optimisation après passage en HTTPS

Activer HTTP/2 ou HTTP/3

HTTPS est un prérequis pour profiter de HTTP/2 et HTTP/3, qui améliorent significativement les performances de chargement grâce au multiplexage, au header compression et à d’autres optimisations. De nombreux hébergeurs activent automatiquement HTTP/2 ou HTTP/3 lorsque le site est en HTTPS.

Vérifiez dans votre panneau d’hébergement ou avec un outil de test en ligne que votre site bénéficie bien de HTTP/2 ou HTTP/3. Si ce n’est pas le cas, contactez votre hébergeur pour demander son activation.

Utiliser un CDN compatible HTTPS

Un CDN (Content Delivery Network) comme Cloudflare ou d’autres fournisseurs peut améliorer la vitesse de votre site et ajouter une couche de sécurité supplémentaire. Les points à vérifier :

  • le certificat SSL est bien actif côté CDN, avec une configuration cohérente (par exemple « Full (strict) » si un certificat valide est présent sur votre serveur d’origine) ;
  • l’option de redirection automatique vers HTTPS est activée côté CDN si vous souhaitez centraliser la gestion des redirections ;
  • les caches sont purgés après la migration pour éviter de servir encore des versions HTTP de certaines pages.

Étape 8 : SEO, Search Console et suivi post‑migration

Informer les moteurs de recherche du passage en HTTPS

Même si Google traite généralement HTTP et HTTPS comme des variantes d’une même propriété, il est recommandé de déclarer explicitement la version HTTPS de votre site dans les outils pour webmasters :

  • Ajouter la propriété en https:// dans Google Search Console ;
  • Vérifier que le sitemap XML pointe bien vers les URLs en HTTPS ;
  • Contrôler les balises canoniques (rel="canonical") pour s’assurer qu’elles utilisent bien la version HTTPS ;
  • Mettre à jour les éventuelles URLs présentes dans le fichier robots.txt.

Pour Bing, vous pouvez effectuer des opérations similaires via Bing Webmaster Tools.

Surveiller le trafic et les erreurs

Après la migration, suivez attentivement :

  • le trafic dans Google Analytics (ou tout autre outil de mesure) pour détecter d’éventuelles baisses anormales ;
  • les rapports de couverture et d’erreurs d’exploration dans Google Search Console (erreurs 404, redirections incorrectes, etc.) ;
  • les journaux d’accès de votre serveur pour repérer les requêtes encore dirigées vers des URLs HTTP qui ne seraient pas redirigées correctement.

Une légère fluctuation du trafic peut survenir dans les jours ou semaines suivant la migration, le temps que les moteurs de recherche mettent à jour leurs index. Des redirections 301 bien configurées et une cohérence parfaite des URLs HTTPS limitent ce phénomène.

Étape 9 : bonnes pratiques complémentaires pour un WordPress 100 % HTTPS

Éviter de recréer du contenu mixte à l’avenir

Pour ne pas réintroduire d’éléments non sécurisés après la migration :

  • insérez toujours vos médias via la bibliothèque WordPress, qui utilisera automatiquement l’URL HTTPS du site ;
  • lorsque vous copiez-collez des codes d’intégration (YouTube, formulaires, scripts tiers), vérifiez qu’ils utilisent bien HTTPS ;
  • mettez régulièrement à jour vos plugins et thèmes, en particulier ceux qui intègrent des scripts externes.

Sécuriser davantage la connexion et l’administration

HTTPS est une base, mais d’autres mesures complètent la protection de votre site :

  • utiliser des mots de passe forts et l’authentification à deux facteurs pour les comptes administrateurs ;
  • limiter le nombre de comptes avec des privilèges élevés ;
  • restreindre l’accès à wp-admin via des règles de pare-feu ou des filtrages d’IP pour les sites sensibles ;
  • installer un plugin de sécurité pour détecter les tentatives de connexion frauduleuses et les fichiers modifiés.

Mettre en place une routine de contrôle

Une fois le site stabilisé en HTTPS, planifiez des contrôles réguliers :

  • vérifier que le certificat est renouvelé automatiquement avant son expiration ;
  • tester périodiquement la configuration SSL/TLS avec un outil spécialisé ;
  • contrôler les redirections HTTP vers HTTPS après chaque changement important de configuration ou de plugin ;
  • analyser les erreurs signalées par les navigateurs ou les utilisateurs (contenu bloqué, avertissements de sécurité, etc.).

Résumé des grandes étapes pour passer un site WordPress en HTTPS

Pour récapituler, la migration d’un site WordPress de HTTP vers HTTPS se déroule en plusieurs grandes étapes :

  • obtenir et installer un certificat SSL/TLS sur votre serveur d’hébergement ;
  • mettre à jour les URLs de base de WordPress dans Réglages > Général pour utiliser https:// ;
  • mettre à jour les liens internes et, si nécessaire, effectuer un remplacement sécurisé dans la base de données ;
  • forcer l’administration en HTTPS via define('FORCE_SSL_ADMIN', true); ;
  • mettre en place des redirections 301 de toutes les URLs HTTP vers leurs équivalents HTTPS (via .htaccess, Nginx ou un plugin) ;
  • corriger les contenus mixtes (images, scripts, CSS, iframes en HTTP) manuellement et/ou avec l’aide de plugins dédiés ;
  • renforcer la sécurité avec HSTS et une configuration TLS moderne ;
  • optimiser la performance (HTTP/2/HTTP/3, CDN compatible HTTPS) ;
  • mettre à jour les outils SEO (Search Console, sitemaps, canonicals) et surveiller le trafic et les erreurs ;
  • maintenir de bonnes pratiques pour éviter le retour de ressources non sécurisées.

En suivant méthodiquement ces étapes, vous pouvez migrer votre site WordPress vers HTTPS de manière propre, sécurisée et durable, tout en préservant vos performances et votre référencement.

Besoin d'aide avec votre SEO ?

Notre équipe d'experts peut vous aider à optimiser votre site e-commerce

Découvrir nos services SEO Nous contacter

Commentaires

Laisser un commentaire

Votre commentaire sera soumis à modération avant publication.
Retour au blog