Comment passer un site WordPress en HTTPS (guide complet 2025)

Introduction

Passer un site WordPress en HTTPS est une étape cruciale pour améliorer la sécurité de votre plateforme, renforcer la confiance de vos visiteurs et optimiser votre positionnement sur les moteurs de recherche. Aujourd’hui, une immense majorité des sites web modernes utilisent HTTPS, et les principaux navigateurs marquent clairement comme « non sécurisé » tout site restant en HTTP. Ne pas migrer votre site WordPress en HTTPS peut donc avoir un impact négatif à la fois sur votre image, vos conversions et votre trafic organique.

Dans cet article complet et professionnel, vous allez découvrir pas à pas comment :

• installer un certificat SSL sur votre hébergement,
• configurer WordPress pour qu’il fonctionne entièrement en HTTPS,
• mettre à jour vos URLs et corriger les contenus mixtes,
• mettre en place les redirections HTTP → HTTPS,
• vérifier la bonne prise en compte de la migration par Google et les principaux outils d’analyse,
• éviter les erreurs fréquentes qui cassent un site après le passage en HTTPS.

Que vous utilisiez un certificat gratuit (comme Let’s Encrypt) ou une solution payante, ce guide vous accompagnera jusqu’à la mise en production d’un site WordPress complètement sécurisé, performant et conforme aux bonnes pratiques SEO.

Concepts clés : SSL, TLS, HTTPS et WordPress

Avant de commencer la configuration HTTPS de WordPress, il est important de comprendre quelques notions de base.

• SSL (Secure Sockets Layer) : protocole historique de chiffrement des données échangées entre le navigateur et le serveur. Dans la pratique, SSL a été remplacé par TLS, plus récent et plus sécurisé, mais le terme « certificat SSL » reste d’usage courant.
• TLS (Transport Layer Security) : évolution moderne de SSL. Quand on parle aujourd’hui de « connexion SSL », il s’agit en réalité d’une connexion TLS, mais le fonctionnement pour l’utilisateur reste le même.
• Certificat SSL/TLS : fichier numérique installé sur le serveur qui atteste de l’identité d’un site web et permet d’établir une connexion chiffrée. Il peut être :
  • émis gratuitement (Let’s Encrypt, ZeroSSL, etc.),
  • ou fourni par une autorité de certification payante (DigiCert, Sectigo, etc.) avec des garanties et options supplémentaires.
• HTTPS : version sécurisée du protocole HTTP qui utilise SSL/TLS pour protéger les communications. Une URL HTTPS commence par https:// et le navigateur affiche généralement un cadenas à côté de l’adresse.
• HTTP strict et contenus mixtes : pour être vraiment sécurisé, un site en HTTPS ne doit plus charger aucune ressource en HTTP (images, scripts, feuilles de style, iframes, etc.). Les navigateurs modernes peuvent sinon bloquer ou signaler ces ressources comme non sécurisées.
• Performance et SEO : Google prend en compte HTTPS comme un signal de classement positif et met aussi l’accent sur la sécurité dans Chrome. Un site non sécurisé peut donc perdre en visibilité et en confiance.

Pré-requis avant de migrer WordPress en HTTPS

Avant de lancer la migration, assurez-vous d’avoir les éléments suivants :

• Un hébergement compatible HTTPS : la quasi-totalité des hébergeurs modernes permettent l’installation de certificats SSL/TLS, souvent avec une intégration native de Let’s Encrypt.
• Accès au panneau de gestion de l’hébergement (cPanel, Plesk, interface propriétaire, etc.) ou au moins la possibilité de gérer le certificat SSL via le support technique.
• Identifiants d’administration WordPress (compte administrateur).
• Une sauvegarde complète de votre site (fichiers + base de données) avant toute modification : via votre hébergeur, un plugin de sauvegarde ou un export manuel.
• Un peu de temps pour tester : selon la taille de votre site, prévoyez une plage de maintenance ou des heures de faible trafic pour limiter l’impact d’éventuels ajustements.

Étape 1 : choisir et installer le bon certificat SSL

Pour passer un site WordPress en HTTPS, la première étape est d’installer un certificat SSL/TLS sur le serveur qui héberge votre site.

1.1 Choisir le type de certificat

On distingue principalement trois types de certificats :

• Certificat DV (Validation de Domaine) : vérifie uniquement que vous contrôlez le domaine. C’est le type fourni gratuitement par Let’s Encrypt. Il est largement suffisant pour la plupart des sites vitrines, blogs et petits e‑commerces.
• Certificat OV (Validation d’Organisation) : vérifie l’existence de l’entreprise ou de l’organisation. Il convient aux sites d’entreprises qui souhaitent afficher une plus grande crédibilité.
• Certificat EV (Validation Étendue) : niveau de vérification le plus poussé. Historiquement, il affichait des indicateurs plus visibles dans le navigateur, mais ceux-ci ont été fortement réduits. Il reste utile pour certains sites bancaires, financiers ou administratifs.

Pour la majorité des sites WordPress, un certificat DV gratuit de type Let’s Encrypt est amplement suffisant, à condition d’être bien configuré et renouvelé automatiquement.

1.2 Installation d’un certificat Let’s Encrypt sur l’hébergement

La procédure exacte dépend de votre hébergeur, mais suit généralement la même logique :

1. Connectez-vous au panneau de gestion de votre hébergement.
2. Recherchez une section nommée « SSL », « Certificats », « Sécurité » ou équivalent.
3. Sélectionnez votre domaine principal (et éventuellement le sous-domaine www).
4. Choisissez l’option d’installation automatique d’un certificat gratuit (souvent Let’s Encrypt).
5. Lancez l’installation, puis patientez quelques minutes pendant la validation et la génération du certificat.
6. Vérifiez ensuite que le statut du certificat est « actif » ou « installé ».

De nombreux hébergeurs installent automatiquement un certificat gratuit dès l’activation du domaine. Même dans ce cas, il reste nécessaire de vérifier le statut et de passer ensuite WordPress lui‑même en HTTPS.

1.3 Installation d’un certificat SSL payant

Si vous avez opté pour un certificat payant, la procédure inclut en général :

• la génération d’une CSR (Certificate Signing Request) depuis votre hébergeur,
• la commande du certificat auprès de l’autorité choisie,
• la validation de la propriété du domaine (email, DNS ou fichier à déposer sur le serveur),
• l’importation du certificat et des éventuels certificats intermédiaires sur votre hébergement.

Une fois le certificat installé, vous devez pouvoir accéder à votre site à l’adresse https://votredomaine.com. Si le cadenas s’affiche (même sans que WordPress soit encore totalement configuré), vous pouvez passer à la suite.

Étape 2 : configurer WordPress pour utiliser HTTPS

Le certificat étant en place, il faut maintenant indiquer à WordPress qu’il doit utiliser HTTPS.

2.1 Modifier l’URL du site dans WordPress

Depuis le tableau de bord WordPress :

1. Allez dans Réglages > Général.
2. Dans les champs « Adresse web de WordPress (URL) » et « Adresse web du site (URL) », remplacez http:// par https://.
3. Vérifiez qu’il n’y a pas d’erreur de frappe et que le domaine est bien identique à celui utilisé pour le certificat (avec ou sans www selon votre choix).
4. Enregistrez les modifications.

Après cette étape, WordPress va tenter de charger l’administration et le site public en HTTPS. Si vous perdez l’accès, vous pourrez corriger les URLs directement dans la base de données ou dans le fichier wp-config.php en définissant les constantes WP_HOME et WP_SITEURL.

2.2 Forcer l’utilisation de HTTPS pour l’administration

Pour sécuriser la connexion au back‑office, vous pouvez ajouter la ligne suivante dans votre fichier wp-config.php, au-dessus de la ligne qui mentionne « C’est tout, ne touchez pas à ce qui suit ! » :

define('FORCE_SSL_ADMIN', true);

Cela force WordPress à utiliser HTTPS pour toutes les connexions à l’administration, ce qui protège mieux les identifiants de vos utilisateurs.

Étape 3 : mettre à jour toutes les URLs internes en HTTPS

Changer l’URL principale du site ne suffit pas : de nombreuses URLs peuvent encore être enregistrées en HTTP dans la base de données (liens internes, images insérées dans le contenu, shortcodes, widgets, constructeurs de pages, etc.). Pour éviter les contenus mixtes, il est indispensable de mettre à jour ces éléments.

3.1 Utiliser un outil de recherche et remplacement

La méthode la plus fiable consiste à utiliser un outil dédié pour rechercher l’ancienne adresse en HTTP et la remplacer par la nouvelle en HTTPS dans la base de données. Vous pouvez :

• utiliser un plugin spécialisé (par exemple un plugin de recherche/remplacement compatible avec la sérialisation de la base de données),
• ou utiliser un script de recherche/remplacement prévu pour WordPress en exécutant l’opération depuis l’interface de votre hébergement ou via WP‑CLI.

Le principe reste le même : vous remplacez systématiquement http://votredomaine.com par https://votredomaine.com (en tenant compte ou non du www selon le format choisi). Il est fortement recommandé de faire une sauvegarde avant ce type d’opération.

3.2 Corriger les contenus mixtes

Après ce remplacement global, certaines ressources externes peuvent encore être chargées en HTTP (scripts tiers, images hébergées sur d’autres domaines, iframes, etc.). Pour les identifier :

• ouvrez votre site en HTTPS dans un navigateur,
• inspectez la console de développement pour repérer les avertissements de contenus mixtes,
• corrigez manuellement les URLs concernées dans les réglages de plugins, les widgets, les options de thème ou le contenu.

Le but est d’obtenir un cadenas affiché sans avertissement dans tous les principaux navigateurs, ce qui garantit que l’intégralité du contenu passe par HTTPS.

Étape 4 : mettre en place les redirections HTTP vers HTTPS

Une fois le site fonctionnel en HTTPS, vous devez rediriger automatiquement toutes les versions HTTP vers leur équivalent sécurisé. Cela évite le contenu dupliqué, assure une expérience cohérente pour l’utilisateur et aide les moteurs de recherche à comprendre que la version HTTPS est désormais la référence.

4.1 Rediriger via le fichier .htaccess (Apache)

Si votre serveur utilise Apache, vous pouvez ajouter une règle de réécriture dans le fichier .htaccess à la racine de votre installation WordPress. Par exemple :

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)$ https://votredomaine.com/$1 [R=301,L]

Adaptez bien entendu votredomaine.com à votre nom de domaine réel. Le code peut varier selon votre configuration, la présence ou non de www, ou l’utilisation de sous‑domaines.

4.2 Rediriger via Nginx

Si votre hébergement utilise Nginx, la redirection se fait dans la configuration du serveur. Il faut en général déclarer un bloc serveur écoutant sur le port 80 (HTTP) qui redirige en 301 vers la version HTTPS. Cette configuration est souvent gérée par l’hébergeur, vous pouvez donc demander au support de l’activer si vous n’avez pas accès aux fichiers de configuration.

4.3 Rediriger via un plugin WordPress

Si vous ne pouvez pas modifier la configuration du serveur, certains plugins WordPress permettent de forcer automatiquement la redirection de toutes les requêtes HTTP vers HTTPS. Cette solution est pratique, mais repose sur WordPress lui‑même, ce qui la rend légèrement moins directe qu’une redirection au niveau du serveur. Elle reste néanmoins largement utilisée pour des sites gérés par des non‑techniciens.

Étape 5 : vérifier la configuration HTTPS et la sécurité

Après la mise en place du certificat, la modification des URLs et les redirections, il est important de vérifier plusieurs points.

5.1 Tester l’accès au site et aux pages clés

• Ouvrez la page d’accueil, quelques pages importantes (services, blog, contact, tunnel de commande, etc.) en HTTPS.
• Vérifiez la présence du cadenas dans la barre d’adresse et l’absence d’alerte de contenu mixte.
• Testez les formulaires (contact, inscription, commande) pour vous assurer qu’ils fonctionnent correctement en HTTPS.

5.2 Contrôler le certificat et la configuration TLS

Vous pouvez utiliser des outils en ligne spécialisés pour analyser votre certificat SSL/TLS, sa chaîne de certificats, les protocoles pris en charge et la qualité globale de la configuration. Cela vous permet de vérifier des points comme :

• la date d’expiration du certificat,
• la présence de certificats intermédiaires nécessaires,
• le support des versions récentes de TLS,
• la désactivation des protocoles obsolètes et vulnérables.

5.3 Mettre à jour les liens externes visibles (facultatif mais recommandé)

Après la migration, pensez à mettre à jour les liens vers votre site dans :

• vos signatures d’email,
• vos profils de réseaux sociaux,
• vos fiches sur des annuaires professionnels,
• vos campagnes publicitaires en cours.

Cela réduit le trafic arrivant encore en HTTP (même si les redirections gèrent le reste).

Bonnes pratiques pour une migration HTTPS WordPress réussie

Pour une installation SSL WordPress optimale et une configuration HTTPS réussie, gardez à l’esprit les points suivants.

6.1 Choisir le bon certificat SSL selon vos besoins

En résumé :

• Pour un blog, un site vitrine, un portfolio ou un petit e‑commerce : un certificat DV gratuit (Let’s Encrypt) est généralement suffisant.
• Pour une PME, une marque reconnue, un projet institutionnel : un certificat OV peut apporter une couche de crédibilité supplémentaire.
• Pour des sites traitant des données financières ou sensibles au plus haut niveau : un certificat EV peut être envisagé.

6.2 Mettre à jour vos URLs de manière propre

Utilisez un outil de recherche/remplacement compatible avec WordPress plutôt qu’un simple script SQL brut, car WordPress stocke certains paramètres sous forme de données sérialisées. Une modification mal réalisée peut casser des options ou la configuration de certains plugins.

6.3 Tester systématiquement vos redirections

Après la mise en place des redirections, vérifiez que :

• toute URL en HTTP est bien redirigée en 301 vers la même URL en HTTPS,
• il n’y a pas de boucle de redirection,
• il n’existe pas de variation non souhaitée (avec ou sans www, slash final, etc.).

6.4 Optimiser vos images et vos ressources statiques

Le passage en HTTPS ne doit pas dégrader la performance de votre site. Pour cela :

• compressez vos images (formats adaptés, tailles réalistes),
• mettez en place un système de cache côté serveur et/ou via un plugin de cache,
• utilisez un CDN si votre audience est internationale ou si votre site comporte de nombreux médias,
• activez la compression et le cache navigateur pour les fichiers CSS et JavaScript.

Avec une configuration correcte, un site en HTTPS peut être aussi rapide, voire plus rapide, qu’un site en HTTP, notamment grâce au support des versions modernes de HTTP et aux optimisations côté serveur.

6.5 Surveiller la performance et la stabilité

Après la migration, surveillez le comportement de votre site sur plusieurs jours :

• traquez les erreurs 404 dans vos journaux de serveur ou dans vos outils d’analyse,
• corrigez les éventuels liens internes cassés,
• vérifiez la bonne délivrabilité de vos emails si vous utilisez des formulaires ou des notifications automatiques (certains plugins peuvent nécessiter une mise à jour de leurs réglages d’URL).

Outils et ressources utiles pour la transition HTTPS sur WordPress

Plusieurs outils gratuits et services peuvent vous aider à réussir et à contrôler votre migration.

• Google Search Console : permet de vérifier l’état de l’indexation de votre site en HTTPS, de suivre les erreurs de couverture, les pages exclues, les sitemaps et les performances de recherche. Il est recommandé d’ajouter explicitement la version HTTPS de votre domaine (propriété de type domaine ou URL précise) et de soumettre de nouveau votre sitemap en HTTPS.
• Google Analytics ou autre outil d’analytics : vous aide à comparer le trafic avant et après la migration, à détecter d’éventuelles chutes anormales et à vérifier que les campagnes continuent de mesurer correctement les visites sur la nouvelle version sécurisée.
• Certbot (Let’s Encrypt) : client open source permettant de générer et renouveler automatiquement des certificats Let’s Encrypt sur les serveurs compatibles. Il est particulièrement utilisé sur les serveurs administrés en ligne de commande.
• Plugins de sécurité pour WordPress (comme Wordfence, Sucuri Security ou équivalents) : ils ne remplacent pas le certificat SSL, mais complètent la protection de votre site en détectant des fichiers malveillants, des tentatives de connexion suspectes et certaines failles de configuration.
• Plugins de redirection et de gestion d’URL : utiles pour gérer les redirections additionnelles, surveiller les erreurs 404 et garder un contrôle fin sur la structure d’URL après la migration.

Impact du passage en HTTPS sur le SEO de votre site WordPress

Le passage en HTTPS a un impact direct et indirect sur le référencement naturel de votre site.

9.1 Signal de classement positif

Les moteurs de recherche utilisent HTTPS comme un signal de classement positif. Même si ce signal est modéré par rapport à d’autres facteurs (contenu, popularité, expérience utilisateur), il peut faire la différence à pertinence égale avec un concurrent encore en HTTP.

9.2 Amélioration de la confiance et du taux de conversion

Les navigateurs modernes affichent clairement un avertissement pour les pages en HTTP qui contiennent des formulaires de saisie (mots de passe, cartes bancaires, données personnelles). Un site en HTTPS :

• rassure les visiteurs,
• réduit les abandons de formulaires et de paniers d’achat,
• peut améliorer les taux de conversion, ce qui se répercute indirectement sur les signaux d’engagement analysés par les moteurs de recherche.

9.3 Gestion des backlinks et de la popularité

La mise en place de redirections 301 correctes est essentielle pour transférer au mieux la popularité acquise par la version HTTP vers la version HTTPS. Si les redirections sont bien implémentées :

• les liens existants continuent de transmettre leur autorité,
• les moteurs de recherche consolident progressivement les signaux sur la version HTTPS,
• le risque de perte durable de trafic est limité.

9.4 Sitemaps, fichiers robots.txt et données structurées

Après la migration, pensez à :

• mettre à jour les URLs dans vos sitemaps pour qu’elles pointent uniquement vers la version HTTPS,
• vérifier que votre fichier robots.txt ne bloque pas la version HTTPS,
• contrôler les données structurées (schema.org) si elles contiennent des URLs en dur, afin de les basculer en HTTPS.

Étape 6 : configuration de la Search Console et des outils tiers

Pour finaliser la migration, il est important de mettre à jour vos outils d’analyse et de suivi.

10.1 Google Search Console

Dans la Search Console :

1. Ajoutez la version HTTPS de votre domaine, si ce n’est pas déjà fait.
2. Validez la propriété (via DNS, balise HTML, fichier ou autre méthode proposée).
3. Soumettez un nouveau sitemap en HTTPS.
4. Surveillez les rapports de couverture, les erreurs de redirection, les pages indexées et les performances sur plusieurs semaines.

10.2 Google Analytics et autres outils de mesure

Dans votre outil d’analytics :

• mettez à jour l’URL par défaut de la propriété ou de la vue pour refléter la version HTTPS,
• vérifiez que le code de suivi est bien présent sur toutes les pages,
• mettez à jour les éventuels filtres ou paramètres qui reposent sur l’URL du site.

10.3 Outils de marketing, CRM et services externes

Si vous utilisez des intégrations externes (formulaires d’emailing, CRM, outils d’A/B test, pixels publicitaires, etc.), vérifiez :

• que les URLs configurées dans ces outils pointent bien vers la version HTTPS,
• que les scripts intégrés sur votre site sont appelés en HTTPS pour éviter les contenus mixtes,
• que les webhooks ou API basées sur l’URL du site sont correctement mises à jour.

Foire Aux Questions (FAQ)

Retrouvez ici des réponses détaillées aux questions les plus fréquentes sur la migration d’un site WordPress en HTTPS.

Pourquoi passer mon site WordPress en HTTPS ?

Le passage en HTTPS permet de chiffrer les données échangées entre le navigateur et le serveur, ce qui protège les informations sensibles (mots de passe, données personnelles, moyens de paiement). Il améliore aussi la confiance de vos visiteurs, réduit les avertissements de sécurité dans les navigateurs et constitue un signal positif pour le référencement naturel. À long terme, rester en HTTP peut nuire à votre image et à vos performances en ligne.

Est-ce que le HTTPS est payant ?

Il est possible d’obtenir un certificat gratuit, notamment via Let’s Encrypt, largement utilisé par les hébergeurs. Ce type de certificat couvre la plupart des besoins et peut être renouvelé automatiquement. Des certificats payants existent avec des niveaux de validation et des garanties supplémentaires, mais ils ne sont pas obligatoires pour sécuriser techniquement un site WordPress.

Mes plugins WordPress sont-ils compatibles avec HTTPS ?

La grande majorité des plugins modernes sont conçus pour fonctionner en HTTPS. Pour éviter les problèmes, assurez-vous que tous vos plugins et votre thème sont à jour. Si un plugin continue à charger des ressources en HTTP après la migration (scripts, images, CSS), inspectez ses réglages ou contactez l’éditeur pour une mise à jour. Les incompatibilités sérieuses sont aujourd’hui rares, mais un audit après la migration reste recommandé.

Mes images vont-elles charger plus lentement en HTTPS ?

En pratique, le passage en HTTPS ne rend pas nécessairement les images plus lentes à charger. Avec une configuration serveur moderne, l’utilisation de HTTP/2 ou ultérieur et une bonne optimisation (compression, formats adaptés, dimensions correctes), les performances restent très proches, voire meilleures. Si votre site ralentit après la migration, le problème vient généralement d’un manque d’optimisation globale (absence de cache, images trop lourdes, scripts non minifiés) plutôt que de HTTPS lui-même.

Puis-je révoquer ou remplacer mon certificat SSL ?

Oui. Vous pouvez révoquer un certificat compromis ou devenu inutile depuis le panneau d’administration de votre hébergement ou via l’outil fourni par votre autorité de certification. Vous pouvez également le remplacer par un nouveau certificat ou changer de type de certificat (par exemple, passer d’un certificat DV à un certificat OV) en suivant la procédure prévue par votre hébergeur ou votre fournisseur.

Combien de temps dure un certificat SSL ?

La durée de validité dépend du type de certificat. Les certificats Let’s Encrypt sont généralement valables quelques mois, mais sont conçus pour être renouvelés automatiquement. Les certificats payants ont une durée de validité plus longue, souvent d’un an, avec renouvellement à prévoir avant l’expiration. Il est important de vérifier que la procédure de renouvellement automatique est bien en place pour éviter toute interruption du service HTTPS.

Puis-je revenir en arrière après être passé en HTTPS ?

Techniquement, il est possible de revenir en HTTP, mais cela n’est pas recommandé. Les navigateurs, les moteurs de recherche et les utilisateurs s’attendent désormais à ce qu’un site soit sécurisé. Revenir en HTTP pourrait faire apparaître des avertissements, impacter votre SEO et réduire la confiance de vos visiteurs. Mieux vaut corriger les éventuels problèmes liés à la migration plutôt que d’annuler le passage en HTTPS.

Dois-je changer toutes mes anciennes URLs manuellement ?

Il n’est pas nécessaire de modifier chaque URL à la main. L’utilisation d’un outil de recherche/remplacement dans la base de données permet de mettre à jour en une seule fois la plupart des liens internes et des ressources. Il reste toutefois important de contrôler certains contenus spécifiques (widgets, shortcodes complexes, scripts externes) et de les corriger manuellement si besoin.

Nous espérons que cet article vous a été utile pour passer votre site WordPress en HTTPS dans les meilleures conditions. N’hésitez pas à partager vos retours d’expérience, vos difficultés ou vos réussites afin d’aider d’autres utilisateurs à réussir leur propre migration vers un web plus sécurisé.