skip to Main Content

Comment protéger votre blog WordPress avec le protocole HTTPS

Divi : le thème WordPress le plus facile à utiliser

Divi : Le meilleur thème WordPress de tous les temps !

Avec plus de 600.000 téléchargements, Divi est le thème WordPress le plus populaire au monde. Il est complet, facile à utiliser et livré avec plus de 62 templates gratuits. [ Recommandé ]

Alors que l’Internet a apporté beaucoup de choses impressionnantes, une partie de nos vies qu’il ne respecte pas toujours est la confidentialité. Partager nos informations en ligne est parfois devenu normal.

Je ne parle pas seulement des informations sur ce qu’on a mangé au petit déjeuné, mais aussi la façon dont nous donnons des informations qui devraient être mieux maintenu privé.

Numéros de carte de crédit, informations de compte bancaire, pour ne pas mentionner les informations de connexion pour les dizaines de sites sur lesquels vous vous êtes probablement déjà connecté aujourd’hui.

Il est temps que cette information obtienne la protection qu’elle mérite.

Cependant, ce n’est pas toujours aux visiteurs de prendre des mesures, mais également ces mesures s’adressent à vous en tant que titulaire d’un blog WordPress.

Si votre site WordPress gère les informations sensibles, vous devez absolument vous assurer que vos visiteurs et clients peuvent vous faire confiance. Et il y a plusieurs de façons de le faire.

Dans ce tutoriel, je vous montrerai commenta jouter le protocole HTTPS sur votre blog WordPress.

C’est quoi un protocole HTTPS et SSL ?

Vous avez probablement entendu ces deux acronymes avant. Sinon, il y a des chances que vous les avez vus à l’œuvre de toute façon.

Vous avez peut-être remarqué que chaque fois que vous interagissez avec un site sécurisé (comme votre portail de services bancaires en ligne), que l’adresse dans la barre de votre navigateur a https: // en face de la place de l’habituel http: //.

En plus de cela, la plupart des navigateurs modernes afficheront un petit cadenas dans la barre du navigateur lorsque vous êtes connecté à un tel site.

Padlock-symbol-in-browser-bar

Dans certains cas, vous pourriez même voir l’ensemble du nom de la société affichée.

Secure-site-browser-bar-extended

Ce sont des signes que le site que vous visitez actuellement a pris des mesures pour protéger leur trafic et la vie privée de leurs visiteurs.

Les outils pour cela sont le HTTPS et SSL précitée. Ils contribuent à rendre la communication sur l’internet fiable.

HTTPS est synonyme de HyperText Transport Protocol sécurisé. Elle diffère de HTTP dans la façon dont il utilise une connexion certifiée SSL (Secure Socket Layer) pour établir une connexion entre le navigateur et le serveur.

Le protocole établit la connexion entre les deux, où, une fois que la relation est établie avec succès, seuls les informations cryptées seront transférées.

Cela signifie que toutes les informations de texte brut qui pourrait être lu par tous visiteurs seront remplacées par des lettres et nombres aléatoires qui ne sont pas lisibles par les humains.

Si un pirate réussi à interférer avec l’échange d’informations, le cryptage ne lui rendra pas la tâche facile (mais alors pas du tout).

Le certificat SSL utilisé pour une telle connexion est fixé sur le site. Les certificats sont délivrés par une autorité dite certificat (CA) et sont uniques par site.

En théorie, tout le monde peut émettre des certificats SSL, les navigateurs ne considèrent cependant que ceux des autorités connus comme digne de confiance. Par conséquent, les fonctionnalités CA garantissent la fiabilité du site.

La plupart des navigateurs modernes vous avertiront si le certificat n’est pas correcte, ce qui voudra dire que la connexion est probablement peu fiable.

Les normes de cryptages

Le SSL et HTTPS sont livrés avec différentes normes de cryptage. La plus ancienne est appelée Shao et n’est plus utilisée. Son successeur SHA1, tout en restant en circulation, est actuellement éliminé. Google Chrome, par exemple, commencera à émettre des avertissements pour les sites fonctionnant avec ​​cette norme d’ici le début de l’année 2016.

Créez Facilement votre site Web avec Elementor

Elementor vous permet de créer facilement n'importe quel design de site Web avec un look professionnel. Arrêtez de payer cher pour ce que vous pouvez faire vous-même. [ Gratuit ]

La norme de cryptage actuelle pour les protocoles SSL est SHA2. Cependant, à un certain point, il cédera la place à SHA3 qui est actuellement en développement.

Anecdote: SSL n’est en fait pas le nom correct pour le certificat plus. La technologie a été améliorée dans les années 90 et son nom a changé pour TLS (Transport Layer Security). Toutefois, le sigle SSL est resté et est évidemment utilisé à ce jour.

Pourquoi avez besoin de SSL et de HTTPS

Apprendre à ajouter HTTPS et SSL sur WordPress est absolument essentiel si vous exécutez un site de commerce électronique pour accepter des paiements. L’information financière de vos clients ne doit pas être prise à la légère.

Cependant, le protocole peut également être utilisé pour protéger les autres informations telles que les informations de connexion, des données d’adresse et des choses que plusieurs personnes aimeraient garder privé.

En tant que propriétaire de site Web, vous pouvez également envisager d’ajouter le protocole HTTPS pour des raisons égoïstes car c’est devenu un facteur de classement sur ​​Google et d’autres moteurs de recherche.

De plus, puisque nous parlons de SEO: HTTPS vous aidera également dans votre classement, car il se charge plus vite.

Le passage à HTTPS

La première étape pour déplacer votre site Web en HTTPS se fait par l’achat d’un certificat SSL. il existe plusieurs solutions pour acheter un certificat.

Le bon point de départ est probablement votre société d’hébergement car ils fournissent souvent des certificats dans le cadre de leurs services d’hébergement.

Cependant, il y a aussi un certain nombre de fournisseurs tiers. Pour vous aider, vous pouvez consulter la liste des autorités de certification inclus dans Mozilla Firefox.

Les coûts peuvent varier en fonction du prestataire, vos nombres de sous domaines et d’autres facteurs. Malheureusement, si vous utilisez plusieurs sites Web, ça peut rapidement devenir chers.

Le facteur coût est aussi l’une des raisons pour lesquelles je suis en attente pour « Let Encrypt »,une autorité de certification libre et open-source à venir (Automattic est parmi les sponsors).

Une fois que vous avez installé un certificat, vous devrez suivre les instructions du fournisseur. Le processus est différent pour tout le monde, je ne peux pas vous dire comment le faire ici.

Après que vous avez besoin de discuter avec votre fournisseur d’hébergement pour mettre en œuvre le certificat et faire la transition vers le protocole HTTPS sur le côté serveur. Voilà aussi pourquoi se tourner vers votre fournisseur pour le certificat pourrait être l’option la plus facile.

c’est tout ? Bon, maintenant nous allons nous concentrer sur les changements nécessaires à faire sur WordPress.

Comment configurer WordPress Pour le protocole HTTPS et SSL

Malheureusement ajouter simplement le certificat ne suffit pas. Vous avez besoin de faire des ajustements supplémentaires sur WordPress.

Les étapes suivantes supposent que vous souhaitez utiliser HTTPS n’importe où sur votre site, ce qui est une généralement une bonne idée.

Cependant, il y a également des cas d’utilisation pour quelques emplacements sur votre site. Nous y reviendrons plus tard.

1. Faire une sauvegarde

Comme toute chose qui implique des changements majeurs sur votre blog, votre premier réflexe devrait être de créer une sauvegarde. Ainsi, si les choses tournent mal, vous pouvez toujours revenir à l’état précédent. Voici une liste de plugins qui pourront vous aider

Cherchez-vous les meilleurs thèmes et plugins WordPress ?

Téléchargez les meilleurs plugins et thèmes WordPress sur Envato et créez facilement votre site web. Déjà plus de 49.720.000 de téléchargements. [EXCLUSIF]

2. Ajouter le SSL sur votre tableau de bord WordPress

La première chose que nous voulons faire est d’ajouter une connexion HTTPS pour toutes les pages sur le tableau de bord WordPress. De cette façon, quand quelqu’un se connecte sur votre site, toutes les données seront échangées en toute sécurité.

Pour ce faire, vous devez ajouter la ligne de code suivante à votre wp-config.php fichier:

define ('FORCE_SSL_ADMIN', true);

Une fois que vous avez ajouté la ligne, enregistrez le fichier et envoyez-le sur votre serveur, il est temps de lancer un test rapide. Accédez à votre page de connexion (https://votresite.com/wp-admin) pour vérifier si tout fonctionne bien.

Si tout va bien, vous devez avoir une connexion sécurisée. Toutefois, si vous rencontrez un problème, supprimez la ligne de wp-config.php car il y aura du dépannage à faire.

Cependant, pour l’instant, nous supposerons que tout va bien et nous pouvons passer à l’étape suivante.

3. Mettre votre à jour

Si votre zone d’administration a été déplacé avec succès sur HTTPS, il est temps de faire la même chose pour le reste du site. Pour cela, nous devons d’abord changer votre adresse de site.

C’est très simple il suffit d’aller à l’emplacement Réglages> Général et ajouter https:// à la fois pour votre adresse de WordPress (où réside votre installation) et l’adresse du site (l’adresse que les visiteurs entrent sur le navigateur).

reglages-generaux

Enregistrez et c’est tout. Vous serez probablement invité à vous connecter à nouveau par la suite.

Pour vous assurer que vos visiteurs peuvent surfer sur votre site en toute sécurité, vous devez également mettre en place une redirection en .htaccess. La plupart des gens devraient déjà avoir ce fichier présent sur ​​leur serveur (assurez-vous que votre FTP montre les fichiers cachés) sinon vous devez en créer un.

Dans ce fichier .htaccess, ajoutez les lignes de code suivantes:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond% {} HTTPS off
RewriteRule (*). Https: //% {HTTP_HOST}% {REQUEST_URI} [R = 301, L]
</ IfModule>

Maintenant, tous vos visiteurs devraient être automatiquement redirigés vers la partie sécurisée de votre site web.

Comment configurer le protocole HTTPS sur certaines pages

Je vous conseille d’utiliser SSL partout sur votre site, pourtant certains pourraient vouloir ne pas l’utiliser sur certaines pages.

Voici un cas d’utilisation est par exemple : Vous décidez de mettre en œuvre des connexions sécurisées seulement pour les parties sensibles de votre site tels que les formulaires de la boutique, les paniers et laisser le reste sans sécurité SSL.

Cet objectif peut être atteint avec le plugin WordPress HTTPS (SSL). Il vous permet de choisir où utiliser le protocole HTTPS sur votre site.

WordPress-HTTPS-SSL-plugin-settings

Si est vrai que le plugin n’a pas été mis à jour depuis un certain moment, des sources fiables prétendent qu’il est encore possible de l’utiliser. Si vous rencontrez des problèmes, je vous propose Better WP Security qui a des fonctionnalités similaires.

Dépannage

En théorie, ce qui précèdent devrait être plus que suffisant pour déplacer l’ensemble de votre site vers le SSL. Cependant, puisque les choses ne vont pas toujours comme on le souhaite, voici quelques conseils de dépannage.

1. Avertissement des contenus mixtes

Le contenu mixte se produit lorsque les parties de votre contenu continue à être livrés via HTTP tandis que le reste de votre site a été déplacé sur le HTTPS, plus sécurisé.

Dans ce cas, les navigateurs modernes affichent un avertissement, qui signale un message d’insécurité de votre contenu.

Utilisez l’outil gratuit SSL Check pour analyser l’ensemble de votre site afin de trouver les images non-sécurisées, des scripts et des fichiers CSS etc. Avec cette information, vous pouvez alors prendre des mesures correctives. Une alternative pour vérifier pages singulières est WhyNoPadLock.

Vous pouvez également rechercher le symbole du cadenas sur la barre de votre navigateur tout en surfant sur votre site. Il affichera un avertissement lorsque vous visitez une partie qui utilise un mélange de contenu.

Si vous rencontrez une telle page, vous pouvez trouver le coupable en jettant ayant un coup d’oeil sur la console dans les outils de développement Chrome ou Firefox ou avec une extension telle que Firebug.

Créez Facilement votre Boutique en ligne

Téléchargez gratuitement WooCommerce, le meilleurs plugins e-commerce pour vendre vos produits physiques et numériques sur WordPress. [Recommandé]

2. Certificats qui expirent

Lorsque votre certificat expire, les visiteurs obtiennent un fort avertissement à ce sujet et sont invités à ne pas parcourir votre site. Par conséquent, vous ne devez pas laisser cela se produire.Assurez-vous de toujours renouveler votre certificat dans le temps.

Le même avertissement peut également être donné pour les certificats auto-signés qui ne sont pas validées par une autorité extérieure.

3. Le nom de domaine du certificat ne correspond pas à l’adresse du site

Parfois, la raison pour laquelle de votre site ne reçoit pas le feu vert des navigateurs repose sur la différence entre le nom de domaine réel et celui enregistré sur le certificat. Si tel est le cas, vous avez besoin de le résoudre avec votre autorité de votre domaine.

Vous pourrez facilement décrypter cette erreur en utilisant la solution WhyNoPadLock précitée. Un autre outil d’analyse de serveur est SSL Server Test par « SSL Labs« . Il est également libre et peut vous donner des tas d’informations sur votre configuration SSL.

4. Le CDN ne prend pas en considération le SSL

Si vous êtes l’un des nombreux utilisateurs de WordPress qui utilisent les réseaux de diffusion de contenu pour accélérer leur site, vous devez vous assurer que votre CDN prend en charge SSL avant de l’utiliser avec votre CDN. MaxCDN est un exemple qui prend en charge le protocole HTTPS. Renseignez-vous au près de votre fournisseur.

Pour se résumer

Si vous utilisez un site WordPress qui traite des données sensibles, vous ne devez pas contourner le protocole HTTPS. Sans chiffrement du trafic, le risque que l’information de vos clients soient interceptée est tout simplement trop grande.

En plus d’être un fournisseur de service responsable, la couche supplémentaire de sécurité est également un point positif pour les moteurs de recherche. Donc, si vous ne le faites pas pour vos clients, au moins le faire pour les classements.

Cependant, il est important de noter que le protocole HTTPS n’est pas l’alpha et l’oméga de la sécurité WordPress. Pour garder votre site vraiment sûr, des mesures supplémentaires sont nécessaires.

Cet article comporte 0 commentaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Back To Top
12 Partages
Partagez9
Tweetez
Enregistrer3