Le https, on en parle depuis maintenant un certain de temps.

On le sent venir tel un vent froid issu du Nord, en particulier depuis début 2017, lorsque Google a annoncé que les sites qui n’affichaient pas le protocole HTTPS seraient progressivement pénalisés par un message d’alerte sécurité.

La procédure pour passer un site en HTTPS étant assez délicate, nous avons tous plus ou moins tardé à nous lancer, d’autant que de nombreux intervenants du web considéraient cette nouvelle exigence comme abusive car peu légitime.

Toujours est-il que Google reste notre maître à tous, qu’on le veuille ou non. Le 8 février dernier, le moteur de recherche a publié un article qui met les points sur les i.

Le mois de juillet sonnera donc la fin de la récré : passer en HTTPS ou mourir.

Puisque peu de gens aiment mourir, le temps semble venu pour la redirection http vers https généralisée : le web “secure”, c’est pour demain !

L’intention étant validée, ne reste « plus » que l’action, que je vous propose d’aborder dans cet article. Puisque nous travaillons sous WordPress, une partie des éléments présentés concerne ce CMS (mais pas tous).

Passer wordpress en https, qu’est-ce que cela implique ?

Commençons par définir notre sujet :

Le protocole https c’est quoi ?

“Https” signifie “HyperText Transfer Protocol Secure”. En français : protocole de transfert hypertexte sécurisé.

Plus concrètement :

“HTTPS permet au visiteur de vérifier l’identité du site web auquel il accède, grâce à un certificat d’authentification émis par une autorité tierce, réputée fiable (et faisant généralement partie de la liste blanche des navigateurs internet). Il garantit théoriquement la confidentialité et l’intégrité des données envoyées par l’utilisateur (notamment des informations entrées dans les formulaires) et reçues du serveur.” (Source : Wikipedia)

Passer un site en https, c’est quoi ?

Concrètement, il s’agit de transformer une URL HTTP en URL HTTPS.

Par exemple :

Visuellement, cela ressemble à une toute bête affaire de “s”.

Mais qu’y a-t-il derrière ce “s” ?  La manipulation est-elle vraiment toute bête ? Vous vous en doutez, la réponse est non.

En réalité, si le résultat est quasi transparent pour l’utilisateur, l’opération est complexe,  d’autant qu’elle nécessite des ajustements connexes qui, s’ils sont négligés, peuvent engendrer de douloureux dommages collatéraux.

Car en l’espèce, une redirection http vers https, c’est une migration, ni plus ni moins :  il s’agit de rediriger la totalité de votre site web vers l’URL qui contient votre protocole HTTPS. Passer son site en https, c’est à peu près la même chose que changer de nom de domaine :

  • Mêmes contraintes,
  • Mêmes enjeux,
  • Mêmes risques.

Quand on considère les choses sous cet angle, on se rend compte rapidement de la quantité de paramètres à prendre en compte, car absolument tout ce qui est lié à votre url va devoir être revu.

Penchons-nous sur la question :

WordPress, https et petits plaisirs migratoires

Tour d’horizon des paramètres à prendre en compte pour une redirection https sur WordPress :

La base pour passer wordpress en https : la migration

La procédure est identique à toute démarche de migration. En voici les principales étapes :

  • Transformer toutes les URLs stockées en base de donnée de http:// vers https://, soit par requêtes SQL, soit en exportant les tables, en remplaçant les occurrences dans un éditeur de code, puis en ré-important les tables modifiées.
  • Modifier aussi les URLs qui peuvent être présentes dans le code des pages (appels aux fichiers externes type CSS et javascript par exemple)
  • Rediriger l’ensemble des anciennes url vers les nouvelles via le fichier htaccess

Si vous n’êtes pas à l’aise avec le côté technique de l’opération, il existe des plugins pour passer wordpress en https qui vous simplifieront la tâche. Par exemple : WP Force SSL ou Really Simple SSL.

Quelle que soit la méthode choisie, réservez-vous une plage temporelle large et surtout très calme. Car si l’opération peut s’effectuer sans accrocs et rapidement, un seul grain de sable dans la mécanique peut en revanche passablement allonger la procédure et surtout vous compliquer la vie ! Mieux vaut donc une plage sans grains de sable…

Le type de problématique que l’on rencontre régulièrement :

  • La reconstruction des URL n’est que partielle : une partie de votre site est passée en HTTPS, une autre partie est restée en HTTP. Le résultat est ce que l’on appelle le “mixed content”. Il suffit ainsi qu’une seule image soit encore sur l’url d’origine pour que votre redirection HTTPS ne fonctionne pas. Par exemple :

url-non-securisee

  • La gestion des redirections n’a pas (ou a mal) été faite : vous avez à présent X pages qui s’affichent à la fois en HTTP et en HTTPS, ce qui signifie qu’on peut les consulter à deux adresses différentes. C’est typiquement ce que Google considère (et pénalise) comme du “duplicate content”.
  • L’import de votre base de données s’est partiellement effectué. Dans ce cas de figure, le résultat est spectaculaire : vous avez tout cassé.
  • Je vous laisse compléter la liste avec vos propres expériences…

Bref, tout n’est pas simple. Pire, quand vous avez fini… C’est pas fini :

Passer en HTTPS les produits Google

Souvenez-vous : même s’il ne s’agit que d’un tout petit “s”, vous avez changé l’adresse de votre WordPress. Rien ne sera plus jamais comme avant…

Donc :

Reparamétrer la Google Search Console

Eh oui, c’est énervant : vous êtes logué sur la version HTTP de votre site, Google ne connaît pas la nouvelle en HTTPS. Tout-à-re-com-mencer !

On prend donc son courage et ses doigts à deux mains, on les utilise (les doigts) pour accéder à Google Search Console afin d’y passer wordpress en https : à l’heure actuelle, la Search Console ne gérant pas de changement d’url, il vous faudra créer une nouvelle propriété :

creer-propriete-googlesearchconsole

La suite, vous la connaissez…

Passer en HTTPS Google Analytics

La vie est un éternel recommencement… Épargnons-nous un peu de lecture avec un screenshot :

https-googleanalytics-1024x512

Soyez bien vigilant : vous devez passer wordpress en https aussi bien dans les paramètres de la propriété que dans les paramètres de la vue. L’un n’ira pas sans l’autre !

Passer en HTTPS vos pixels de réseaux sociaux

Si vous faites un peu de marketing sur votre (vos) sites, vous savez sans-doute ce que sont les pixels. On les utilise notamment pour la publicité sur Facebook, Linkedin, Twitter.

Or donc, ils ont été paramétrés pour se déclencher sur des url précis… en HTTP. Tout-à-re-com-mencer (rien que de l’écrire, ça m’épuise) !

Et le reste !

Le reste, c’est à vous de brainstormer : où l’ancienne adresse HTTP est-elle utilisée ?

  • Avez-vous une image dans votre signature d’email ? Tout-à-re-com-mencer.
  • Avez-vous un compte Hubspot CRM lié à votre WordPress ? Tout-à-re-com-mencer
  • Avez-vous… Bref, c’est vous qui voyez : y en a qui ont essayé de ne pas être rigoureux, ils ont eu des problèmes.

Tout cela pour vous dire que mettre son site en HTTPS n’a rien, vraiment rien d’une toute bête affaire de “s”. Les enjeux comme les risques sont importants : prenez-donc vraiment le temps de vous préparer (mais ne trainez pas trop car le mois de juillet, c’est hier !).

Et si l’approche technique vous effraie un peu, contactez-nous : c’est comme qui dirait un peu notre métier !