Comment sécuriser WordPress grâce à SSL et HTTPS (en trois étapes)
S’il y a bien une chose plus vitale que vos bénéfices, c’est la sécurisation des données client. Vous ne devez jamais faire preuve de négligence vis-à-vis des coordonnées bancaires, des adresses et autres informations sensibles.
En outre, Google Chrome 68 signale tous les sites HTTP comme « non sécurisés » depuis juillet 2018. Même si votre site est un simple blog ou un catalogue en ligne, vous avez besoin du protocole HTTPS pour éviter que vos visiteurs voient s’afficher ce message « non sécurisé ».
Heureusement, la technologie propose des solutions, comme les protocoles SSL (Secure Sockets Layer) et HTTPS (Hyper Text Transfer Protocol Secure), afin de protéger les données saisies dans un navigateur et transitant d’un serveur Web à un autre. Ces technologies peuvent sembler complexes à première vue, mais sont simples à implémenter pour les utilisateurs WordPress en quête de sécurité.
Vous ne savez pas comment installer HTTPS et SSL sur WordPress ? Lisez ce qui suit.
Présentation de Secure Sockets Layer (SSL) et de HTTPS
Le cadenas vert est un indicateur clé d’un site avec chiffrement.
Auparavant, les données transitant entre serveurs lorsque vous interagissiez avec un site Web n’étaient pas toujours cryptées ni protégées contre le risque d’interception. Il reste encore beaucoup à faire dans ce domaine. Si les histoires de SSL et de HTTPS sont peu associées, elles ont chacune été créées pour répondre à un besoin, celui de protéger les données en ligne.
Ces deux technologies ont leur propre rôle :
- SSL : ce protocole assure la sécurité des communications sur un réseau.
- HTTPS : il s’agit principalement d’une version protégée de HTTP, qui fournit l’authentification d’un site Web et de son serveur associé.
Sachez toutefois que l’un ne va pas sans l’autre : dès qu’ils sont tous les deux implémentés, ces protocoles protègent au maximum les données transférées entre les serveurs.
Comment implémenter HTTPS et installer SSL pour sécuriser WordPress
Malgré leur complexité, le Secure Sockets Layer et l’Hyper Text Transfer Protocol Secure sont de plus en plus faciles à utiliser. Installer SSL et HTTPS sur WordPress est aujourd’hui à la portée de tout le monde – ou presque. Pour être opérationnel en un clin d’œil, suivez simplement les trois étapes ci-dessous.
Étape 1 : choisir un certificat SSL approprié
Le processus de connexion d’un certificat à votre site peut être simple, mais choisir la bonne certification demande un peu de réflexion. Si de nombreuses options sont disponibles en fonction des besoins, les plus couramment utilisées se divisent en trois catégories :
- Validation de domaine (DV) : ce certificat vérifie simplement que vous êtes le propriétaire du nom de domaine.
- Validation d’organisation (OV) : parallèlement à la vérification du domaine, ce certificat prouve la légitimité de votre organisation.
- Validation étendue (EV) : ce certificat garantit la sécurité la plus élevée à vos clients. Tous les candidats doivent passer par un processus de sélection rigoureux.
Globalement, plus les données que vous traitez sont des données sensibles, plus le niveau de sécurité requis pour les protéger est élevé. Toutefois, qui dit sécurité accrue, dit coût supplémentaire. Le choix du niveau de sécurité sur WordPress vous revient, mais selon nous, le certificat SSL EV est le seul choix sûr si vous traitez les données bancaires de vos clients.
GoDaddy propose toutes ces solutions de Certificats SSL WordPress. Si vous bénéficiez d’un hébergement web chez GoDaddy, ces solutions sont simples à installer – un simple clic suffit ! Vous n’utilisez pas GoDaddy ? Vous pouvez quand même obtenir des données chiffrées en quelques minutes seulement.
Étape 2 : générer une demande de signature de certificat (CSR)
Pour faire valider votre site Web, votre entreprise et votre serveur, vous aurez besoin d’une demande de signature de certificat (CSR). Pour résumer, la CSR identifie le serveur et les domaines avec lesquels vous utiliserez votre certificat.
Si les instructions varient selon le serveur utilisé, vous devrez généralement :
- Vous connecter à votre serveur via le protocole Secure Shell (SSH).
- Exécuter une commande en console.
- Saisir votre adresse URL et les détails de votre entreprise.
- Copier-coller le texte dans la zone de demande SSL de votre compte.
Comme mentionné plus haut, les étapes de cryptage des données sont moins nombreuses pour les clients GoDaddy : en effet, GoDaddy prend en charge cette partie du processus. Quel que soit votre hébergeur, vous devrez toutefois apporter quelques petits changements sur votre tableau de bord WordPress une fois votre certificat prêt.
Étape 3 : configurer WordPress pour utiliser SSL et HTTPS
La dernière étape consiste à configurer WordPress pour utiliser SSL et HTTPS. Tout d’abord, rendez-vous sur votre tableau de bord WordPress, puis cliquez sur Settings (Paramètres) > General (Généralités). Faites défiler jusqu’aux champs WordPress Address (URL) et Site Address (URL), puis remplacez http:// par https://:
Une fois vos modifications enregistrées, tout devrait fonctionner ! Sachez toutefois que si vous installez le protocole SSL sur votre site existant, vous devrez également modifier votre fichier .htaccess. Avant d’aller bricoler dans vos fichiers core WordPress, nous vous conseillons de rafraîchir vos connaissances FTP (protocole de transfert de fichier) et d’effectuer une sauvegarde de votre site Web au cas où un problème surviendrait.
Ensuite, connectez-vous à votre site via FTP, repérez l’emplacement du fichier .htaccess dans votre dossier principal, puis ajoutez les lignes de code suivantes :
RewriteEngine On RewriteCond %{SERVER_PORT} 80 RewriteRule ^(.*)$ https://www.votresite.com/$1 [R,L]
Veillez à remplacer votresite.com par l’URL de votre site, puis enregistrez les modifications. À ce stade, votre site devrait être chiffré. Pour en être sûr, accédez à la version front-end de votre site et vérifiez la barre d’adresse du navigateur Web.
Il est possible que les navigateurs certifient votre site uniquement comme « partiellement sûr ». Ce problème est répandu parmi les sites WordPress utilisant des certificats tiers. Heureusement, plusieurs plugins (comme Really Simple SSL) permettent de résoudre rapidement ce problème et d’assurer la sécurisation optimale de WordPress.
Vous êtes préoccupé par le référencement naturel ? Utilisez la liste de contrôle SSL de Search Engine Land : elle détaille les étapes de vérification à suivre pour vous assurer que l’implémentation de SSL dans votre site WordPress tient compte du référencement naturel. Pratique ! Cette liste prévoit en outre des mesures de protection supplémentaires, qui vous aident à vous assurer que votre site ou blog met à jour tous les liens et sitemaps, conformément aux critères d’optimisation pour les moteurs de recherche.
Lorsqu’il s’agit de votre site Web, la sécurité de vos utilisateurs doit être votre priorité absolue. Des entreprises influentes telles que Google et WordPress elle-même font d’ailleurs pression auprès des sites pour qu’ils protègent les données qu’ils traitent. En d’autres termes, vous devez apprendre à installer SSL et HTTPS pour sécuriser WordPress et apporter les changements sans tarder.