Ce guide est destiné à l’utilisateur de WordPress :
- Qui envisage simplement d’implémenter HTTPS au lieu du traditionnel HTTP sur leur WordPress auto-hébergé, que ce soit pour de nombreuses URLs ou seulement quelques-unes sensibles.
- Qui désire utiliser WordPress comme plateforme e-commerce, avec la nécessité d’encaisser des paiements via une passerelle de paiement tierce telle qu’Authorize.Net.
- Qui est un développeur souhaitant vérifier le HTTPS en localhost (ordinateur personnel).
- Dont l’installation de WordPress est restreinte à un groupe contenant des informations sensibles (éducation, gouvernement, etc.).
Sommaire
Prérequis
Quelques prérequis sont indispensables pour suivre l’exemple de ce manuel :
- Vous devez disposer d’un serveur web avec Apache2, tel qu’une configuration type Linux-Apache-PHP-MySQL (LAMP).
- Vous devez avoir des connaissances de base ou être accompagné d’un technicien en cas de problèmes liés à la mise en place de HTTPS.
Obtention d’un Certificat SSL
Open SSL offre la possibilité d’obtenir un HTTPS gratuit, mais pour un usage personnel. Il n’est pas utilisé en production car il annonce généralement une erreur de sécurité à l’utilisateur final. L’administrateur de WordPress peut générer un certificat via son hébergeur (s’il utilise, par exemple, Let’s Encrypt, s’il est proposé), ou acheter un certificat SSL auprès de ces mêmes sociétés d’hébergement selon les options appropriées.
Configuration pour le HTTPS
Le HTTPS nécessite l’activation de modules Apache supplémentaires (mod_ssl), l’ouverture du port 443, ainsi que la configuration correcte de paramètres supplémentaires tels que ceux du VirtualHost. Il n’y a pas de réglages supplémentaires ou spéciaux requis, en particulier pour WordPress au niveau du serveur pour HTTPS. WordPress est prêt à utiliser les URLs HTTPS lorsque le serveur est correctement configuré.
Installation de WordPress avec HTTPS
Installez normalement WordPress (via HTTP ou HTTPS, les deux fonctionnent, mais il est plus facile d’utiliser HTTP pour l’installation). L’installation via HTTPS nécessite au préalable d’obtenir un certificat SSL pour votre domaine. Une fois WordPress installé, rendez-vous dans Réglages > Général et assurez-vous que l’URL est en HTTPS. Sinon, ajoutez un « S » après « HTTP » et mettez à jour les paramètres.
Par la suite, vérifiez que vos pages se chargent correctement en HTTPS. Il est néanmoins toujours possible à ce stade d’y accéder via HTTP si vous n’avez pas encore redirigé tout le trafic utilisant HTTP vers HTTPS.
Impact du HTTPS sur la Sécurité et les Performances
HTTPS renforce la sécurité, mais a un impact sur la puissance de calcul du serveur. Il n’est pas obligatoire de faire fonctionner une page en HTTPS, sauf s’il y a des questions de confidentialité (même s’il est toujours préférable d’utiliser HTTPS). De plus, il faut légèrement plus de temps pour obtenir une page Web en HTTPS qu’en HTTP.
Optimisation du Site pour HTTPS
Remarque : pour optimiser la vitesse de votre site, vous pouvez utiliser du cache (par exemple le plugin WP Super Cache) ou tout CDN qui a une certification SSL légitime (sinon il y aura des erreurs de contenu mixte sur HTTPS).
Note 2 : Dans vos réglages DNS, vous pouvez utiliser le CNAME pour obtenir une URL de connexion personnalisée sous HTTPS (avec un sous-domaine virtuel par exemple).
Exemple d’URL de Connexion Personnalisée
Exemple ; votre WordPress est installé et accessible via l’URL suivante :
avec une URL de connexion classique :
Mais vous pourriez très bien avoir une URL de cette forme, grâce au CNAME :
Attention, dans ce cas, votre certificat SSL doit couvrir l’ensemble de votre domaine ainsi que le/les éventuels sous-domaines (ou avoir un certificat qui couvre au minimum votre/vos sous-domaines). Nous vous conseillons également de rediriger dans ce cas, via le htaccess par exemple, la page de connexion, notamment pour éviter qu’elle ne soit accessible en HTTP, afin que tout fonctionne correctement et de manière plus sécurisée.
Bonnes Pratiques pour la Sécurité
Rappel : quelques bonnes pratiques :
- Faire appel à un hébergeur de bonne réputation avec une IP non blacklistée
- Utiliser des certificats SSL d’un revendeur/fournisseur fiable
- Utiliser des CDN qui peuvent également utiliser HTTPS pour éviter les erreurs/avertissements de contenus mixtes.
- Pour optimiser votre site : réduisez vos fichiers CSS / JavaScript
- Effectuez des redirections appropriées via le fichier .htaccess
- Maîtrisez la gestion de votre serveur ou faites appel à des personnes aux compétences reconnues et fiables. Il est primordial de surveiller les erreurs de serveur, veiller à les corriger, effectuer les mises à jour et contrôler régulièrement la sécurité de chacun des éléments de votre site.
Erreurs à Éviter
Rappels : quelques erreurs à éviter :
- Si vous passez votre site en HTTPS, il est inutile, voire dans certains cas dangereux, de laisser votre site accessible en HTTP (surtout si votre site contient des données sensibles ou est amené à en gérer). Pensez à rediriger le HTTP vers le HTTPS. De plus, il faut savoir que le fait d’avoir son site en HTTPS est un bon facteur pour le référencement, par rapport au simple HTTP.
- Essayer à tout prix de réduire le budget alloué à la sécurité et à la maintenance de votre site web, ou passer par une autorité de certification douteuse pour la génération du certificat SSL.