WordPress en HTTPS en 2 étapes et sans certificat SSL

Dans ce tutoriel vous allez apprendre à passer votre site WordPress en HTTPS sans avoir ni à acheter un certificat SSL, ni recourir à certificat SSL gratuit (Let’s Encrypt), ni même prendre la peine d’installer un certificat SSL auto-signé. Vous n’aurez même pas besoin de compétence technique !

1. Créez un compte sur Cloudflare

Cloudflare est un service qui permet d’accélérer l’affichage et d’accroître la sécurité d’un site web. C’est à la fois un CDN (Content Delivery Network) et un reverse proxy. C’est un service que j’utilise beaucoup et que je recommande vivement.

Rendez-vous sur le site de Cloudflare, créez un compte et suivez les étapes pour ajouter votre site web.

Création d'un compte Cloudflare
Création d’un compte Cloudflare

Vous pouvez vous limiter à la version gratuite, largement suffisante dans le cadre de votre besoin.

A la fin de la procédure d’inscription, n’oubliez pas de changer les nameservers de votre nom de domaine par ceux donnés par Cloudflare.

Voir également comment protéger son site web des attaques brute force avec Cloudflare.

2. Installez le plugin Really Simple SSL

Rendez-vous dans l’interface d’administration de votre site WordPress pour y installer le plugin gratuit « Really Simple SSL ». Vous pourrez également retrouver ce plugin dans le répertoire des extensions du site WordPress.org.

Really Simple SSL sur WordPress.org
Really Simple SSL sur WordPress.org

Activez le, c’est fini, aucun paramétrage à faire !

Vous pouvez maintenant accéder à votre site WordPress en HTTPS sécurisé par le certificat SSL de Cloudflare.

Conseil : faites une redirection 301

Si votre site web WordPress était déjà référencé avant de passer en HTTPS, je vous conseille fortement de paramétrer une redirection 301 pour indiquer aux moteurs de recherche qu’il a déménagé, sans quoi vous risquez le duplicate content. Il existe de nombreux tutoriaux vidéos à ce sujet.

Pour cela deux options :

  1. Vous utilisez le fichier .htaccess,
  2. Vous utilisez les règles Cloudflare.

Par souci de simplicité, je vous recommande la seconde option. Donc rendez-vous dans votre Cloudflare > Pages Rules > Create Page Rule.

Cloudflare Always Use HTTPS
Cloudflare Always Use HTTPS

Dans le premier champ, mettez http://votredomaine.com/*
Dans le second, sélectionnez Always Use HTTPS
Puis cliquez sur Save and Deploy

Note sur la sécurité de votre WordPress en HTTPS

Après avoir effectué les deux étapes ci-dessus, vos visiteurs peuvent se rendre sur votre site internet en mode sécurisé. Mais il faut savoir que les données ne sont cryptées qu’entre le navigateur de l’internaute et les serveurs de Cloudflare, entre ces derniers et votre hébergement web, la communication se fait en clair.

Donc pour ceux qui veulent aller plus loin, il suffit d’installer un certificat SSL auto-signé sur votre hébergement web (la procédure est simplifiée si vous avez cPanel ou Plesk, y compris sur certains hébergements web gratuits), puis dans Cloudflare > Crypto sélectionnez Full (et non Full strict !!) dans le premier champ.

Cloudflare WordPress HTTPS Full
Cloudflare WordPress HTTPS Full

Cette méthode peut aussi être utilisée pour sécuriser à moindre coût un logiciel web comme un ERP ou un CRM gratuit.

Vous avez des questions ou vous avez besoin d’aide, n’hésitez pas à utiliser les commentaires ci-dessous !




2 Commentaires

  1. Bonjour
    Je teste votre méthode ce jour. Je verrais demain ou ça en est, j’ai fait toutes les modifs.
    Pour l’instant je n’ai rien encore…. Je suppose qu’il faut quelques heures pour que les changements des nameserveurs prennent effet. Merci à vous ;)

    • Bonjour,
      Il faut attendre quelques heures pour la propagation DNS :)

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here