Dans ce tutoriel vous allez apprendre à passer votre site WordPress en HTTPS sans avoir ni à acheter un certificat SSL, ni recourir à certificat SSL gratuit (Let’s Encrypt), ni même prendre la peine d’installer un certificat SSL auto-signé. Vous n’aurez même pas besoin de compétence technique !
1. Créez un compte sur Cloudflare
Cloudflare est un service qui permet d’accélérer l’affichage et d’accroître la sécurité d’un site web. C’est à la fois un CDN (Content Delivery Network) et un reverse proxy. C’est un service que j’utilise beaucoup et que je recommande vivement.
Rendez-vous sur le site de Cloudflare, créez un compte et suivez les étapes pour ajouter votre site web.
Vous pouvez vous limiter à la version gratuite, largement suffisante dans le cadre de votre besoin.
A la fin de la procédure d’inscription, n’oubliez pas de changer les nameservers de votre nom de domaine par ceux donnés par Cloudflare.
Voir également comment protéger son site web des attaques brute force avec Cloudflare.
2. Installez le plugin Really Simple SSL
Rendez-vous dans l’interface d’administration de votre site WordPress pour y installer le plugin gratuit « Really Simple SSL ». Vous pourrez également retrouver ce plugin dans le répertoire des extensions du site WordPress.org.
Activez le, c’est fini, aucun paramétrage à faire !
Vous pouvez maintenant accéder à votre site WordPress en HTTPS sécurisé par le certificat SSL de Cloudflare.
Conseil : faites une redirection 301
Si votre site web WordPress était déjà référencé avant de passer en HTTPS, je vous conseille fortement de paramétrer une redirection 301 pour indiquer aux moteurs de recherche qu’il a déménagé, sans quoi vous risquez le duplicate content. Il existe de nombreux tutoriaux vidéos à ce sujet.
Pour cela deux options :
- Vous utilisez le fichier .htaccess,
- Vous utilisez les règles Cloudflare.
Par souci de simplicité, je vous recommande la seconde option. Donc rendez-vous dans votre Cloudflare > Pages Rules > Create Page Rule.
Dans le premier champ, mettez http://votredomaine.com/*
Dans le second, sélectionnez Always Use HTTPS
Puis cliquez sur Save and Deploy
Note sur la sécurité de votre WordPress en HTTPS
Après avoir effectué les deux étapes ci-dessus, vos visiteurs peuvent se rendre sur votre site internet en mode sécurisé. Mais il faut savoir que les données ne sont cryptées qu’entre le navigateur de l’internaute et les serveurs de Cloudflare, entre ces derniers et votre hébergement web, la communication se fait en clair.
Donc pour ceux qui veulent aller plus loin, il suffit d’installer un certificat SSL auto-signé sur votre hébergement web (la procédure est simplifiée si vous avez cPanel ou Plesk, y compris sur certains hébergements web gratuits), puis dans Cloudflare > Crypto sélectionnez Full (et non Full strict !!) dans le premier champ.
Cette méthode peut aussi être utilisée pour sécuriser à moindre coût un logiciel web comme un ERP ou un CRM gratuit.
Vous avez des questions ou vous avez besoin d’aide, n’hésitez pas à utiliser les commentaires ci-dessous !
Bonjour
Je teste votre méthode ce jour. Je verrais demain ou ça en est, j’ai fait toutes les modifs.
Pour l’instant je n’ai rien encore…. Je suppose qu’il faut quelques heures pour que les changements des nameserveurs prennent effet. Merci à vous ;)
Bonjour,
Il faut attendre quelques heures pour la propagation DNS :)