Comment installer SSL dans Wordpress


, Mis à jour le 28 février, 2015

Comment installer SSL dans Wordpress

Tous les jours, nous révélons des informations personnelles sur internet. Rien que pendant la dernière heure, j’ai utilisé ma carte de crédit, acheté un livre, sauvegardé une copie de l’adresse de mes amis, envoyé des mails et fait quelques courses.

Partager nos informations est devenu tellement commun que l’on n’y pense même plus.

C’est là que SSL entre en jeu. SSL protège les données que l’on partage en ligne, les empêchant de tomber entre de mauvaises mains.

Utiliser SSL – de pair avec HTTPS- pour protéger votre site WordPress et ses visiteurs n’est pas difficile ni compliqué. Dans cet article, nous allons voir qu’est-ce que SSL et comment l’utiliser. C’est parti.

Qu’est-ce que SSL ?

Internet Engineering Task ForceSSL (Security Socket Layer) était à l’époque, en 1994, une méthode pour augmenter la sécurité entre un site web et ses utilisateurs, utilisée par Netscape Communication car ce dernier avait observé la nécessité d’une telle technologie. SSL fut plus tard modifié et lancé pour la première fois en version 3.0 en 1996, mais il possédait des failles. En 1999, il a été officiellement repris et grandement amélioré par IETF (Internet Engineering Task Force).

A cette époque, SSL fut renommé TLS (Transport Layer Security), mais il est toujours largement appelé SSL ou TLS/SSL. Son but est resté le même jusqu’à aujourd’hui et cette technologie est devenu le standard en termes de sécurité des sites web.

Quand devriez-vous utiliser SSL ?

L’année dernière, Google a annoncé qu’il favoriserait les sites utilisant SSL dans les classements de son moteur de recherche. Au fil du temps, le moteur de recherche prévoit d’améliorer ce coup de pouce, mais en attendant vous ne verrez qu’une augmentation de 1%, laissant à tout le monde une chance de basculer.

De plus, si votre site web nécessite de la part des utilisateurs de se connecter ou de fournir des informations personnelles comme leur nom, leur adresse, les détails de leur carte de crédit, etc.. vous aurez besoin d’une protection SSL. Sans cela, les informations de votre utilisateur peuvent être facilement compromises.

Comment fonctionne SSL ?

SSL fonctionne en cryptant les informations passées entre le serveur du site et le navigateur plutôt que de les laisser visible telles quelles, ce qui signifie qu’un texte sera réorganisé en une série de chiffres et de lettres supposés aléatoirement disposés plutôt qu’en mots lisibles.

Pour créer une connections SSL sur un site web, le propriétaire du site doit obtenir un certificat d’authentification SSL d’une société émettrice, qualifiée d’Autorité de Certification. Une fois l’achat du service effectué, les informations du site web et de l’entreprise, comme le nom, l’adresse et le numéro de téléphone, sont transmises à l’Autorité de Certification.

enregistrement certificat ssl

En retour, le propriétaire du site reçoit une clé publique et une clé privée. La clé privée ne doit être divulguée à personne – un peu comme un mot de passe- mais la clé publique n’a pas besoin de rester parfaitement cachée.

C’est une série de chiffres et de lettres cryptées qui coïncident mathématiquement – comme une serrure et sa clé. Ces séries sont créées pas par des algorithmes particuliers (Secure Hash Algorithm).

La clé publique est ensuite ajoutée aux informations fournies à l’Autorité dans un dossier appelé Demande de Signature de Certificat (Certificate Signing Request).

certificat ssl publique

L’Autorité vérifie les informations pour être sur qu’elles sont correcte – et que vous n’êtes pas un escroc ou un hacker – et si tout est en ordre, le certificat SSL est signé avec un SHA.

Le certificat réel est ensuite délivré. C’est à ce stade que le site web peut utiliser une connections cryptée SSL.

Quand un utilisateur visite un site protégé, le serveur du site fait coïncider son certificat SSL avec la clé privé et lorsque qu’ils coïncident, un lien crypté entre le site et le serveur, et entre l’utilisateur et son navigateur, est créé.

Pour en savoir davantage sur les étapes à suivre pour installerun certificat SSL à partir de WHMlisez notre article

D'où acheter un certificat SSL?

Il existe plusieurs sites qui offrent des Certificats SSL pas cher. Voici quelques exemples :

 

A quoi ressemble un site protégé par SSL ?

Le préfixe https apparaitra devant l’URL au lieu de http. On peut aussi observer un petit cadenas vert dans la barre de recherche du navigateur.

barre de navigation avec https

Si le site a choisi d’acheter une Extension de Validation du Certificat SSL, soit votre barre d’adresse sera complètement verte soit le nom de l’entreprise apparaitra sur un fond vert juste avant l’URL. L’Extension de Validation du Certificat SSL est plus sûre et est délivrée une fois que l’entreprise a passé un examen plus approfondi. Il leur est demandé des preuves de leur adresse physique et de leurs activités légales, en plus des informations standards.

Quand SSL ne marche plus

Si un certificat SSL a expiré, est auto-signé ou bien si il est invalide, le cadenas devient rouge et est parfois barré d’un trait rouge.

certificat ssl non fiable

Lorsque le certificat a expiré, le propriétaire du site doit simplement renouveler le SSL via l’Autorité, et l’encryptage sera renouvelé. Il est mieux de ne pas laisser le temps au certificat  d’expirer de manière à garder une sécurité constante pour votre site.

Vous utilisez un certificat auto-signé si vous avez demandé et reçu votre certificat SSL mais qu’il n’a pas été validé par l’Autorité de Certification.

La plupart des navigateurs ne font confiance qu’aux certificats SSL distribués par des Autorités de Certification dignes de confiance et afficheront un avertissement pour tous les sites utilisant un certificat auto-signé. Si vous avez acheté un certificat SSL à une entreprise qui n’est pas coté comme bonne Autorité de Certification, votre site peut être  reconnu comme utilisant un certificat auto-signé.

ssl expiré

Un certificat SSL peut devenir invalide pour plusieurs autres raisons, comme par exemple si l’encryptage SHA est obsolète.

Le hachage est la conversion d’un nombre important d’information écrit sous forme de caractères en information plus compact souvent désigné comme clé, et se fait à travers un ensemble de règles mathématiques. Plus la technologie avance, plus les hachages doivent être complexes pour maintenir une bonne sécurité.

SHA0 n’est plus utilisé et SHA1 est progressivement  évincé par plusieurs navigateurs. Chrome commencera à afficher des avertissements le 1er Janvier 2016 pour les sites utilisant SHA1. Le standard actuel pour les encryptages est SHA2 qui va surement se faire doubler pas SHA3.

Un certificat SSL peut aussi être invalide si le navigateur ne parvient pas à le vérifier avec l’Autorité. Cela peut arriver si le nom de domaine du certificat ne coïncide pas avec le site qui l’utilise en ce moment.

La meilleure manière de résoudre ces problèmes est de mettre à jour votre certificat avec votre Autorité et de suivre leurs instructions.

Si un cadenas jaune apparait avec une forme triangulaire, la cause probable est que le lien de votre site est considéré comme menant à une page non sécurisé. Faites en sorte que toutes vos images, vos menus et vos liens utilisent https dans l’URL.

Pour trouver facilement la source d’un certificat invalide, vous pouvez utiliser l’outil gratuit Why No Padlock. Il vous informe instantanément des problèmes spécifiques, y compris des images et des scripts invalides.

Utiliser SSL avec WordPress

Une fois que votre certificat SSL est prêt, vous pouvez l’utiliser avec votre site.

N’oubliez pas de sauvegarder la totalité de votre site avant de faire un quelconque changement pour éviter de tout perdre si quelque chose ne va pas. Une fois que c’est fait, vous pouvez continuer. Pour installer SSL sur un seul site ou sur plusieurs, éditez d’abord votre wpconfig.php et ajoutez la ligne de code suivant. Cela forcera à la fois la connexion et l’accès à la section admin de WordPress pour utiliser SSL :

define('FORCE_SSL_ADMIN', true);

Faites en sorte qu’il soit placé juste au-dessus de la ligne « stop edition » comme montré ci-dessous :

/* C'est tout!, stop edition!  */

Maintenant nous allons mettre au point une redirection 301 pour que chaque utilisateur qui visite votre site soit automatiquement redirigé vers votre site sécurisé qui utilise https au lieu de http.

Editez votre fichier .htaccess ou créez en un nouveau s’il n’existe pas déjà. Si vous n’en avez pas encore, placez le code suivant au-dessus de tout ce qui est déjà présent.

N’oubliez pas de remplacer « mysite.com » par votre nom de domaine et faites en sorte que vous entrez le bon port de serveur, si le vôtre n’est pas 80.

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.monsite.com/$1 [R,L]
</IfModule>

Maintenant visitez votre site pour le tester. Si https apparait dans votre URL avec un cadenas vert à coté, vous avez réussi.

Conclusion

Avoir un certificat  SSL est une étape essentielle pour protéger votre site web et ses utilisateurs, mais ce n’est pas l’unique mesure de sécurité que vous pouvez utiliser. Pour être vraiment certain que votre site est sûr pour tout le monde, vous pouvez aussi utiliser un plugin WordPress comme Wordfence ou iThemes.

Si vous avez besoin de plus d’indications concernant l’utilisation de SSL avec WordPress pour des besoins spécifiques, vous pouvez faire un tour sur la page Administration Over SSL du Codex WordPress.

Vous êtes intéressé par un certificat SSL gratuit ? Le 18 Novembre 2014, l’Electronic Frontier Foundation a annoncé qu’ils travaillaient sur un projet libre pour rendre des certificats SSL gratuits et avec la possibilité de les installer en quelques clics. Cela sera disponible mi 2015.

Il existe des plugins qui peuvent vous aider à installer SSL sur votre site, mais il faut savoir qu’ils ne sont peut-être pas à jour et compatibles avec la dernière version de WordPress.

Parfois il est plus agréable d’utiliser des plugins un peu plus vieux si plusieurs personnes, y compris vous, arrivez à les utiliser plus facilement, mais la sécurité de votre site est une chose avec laquelle vous ne devriez pas plaisanter.

Si vous voulez des informations plus précises sur la sécurité des sites web, jetez un œil à nos autres articles l’Essentiel de la Sécurité WordPress : Dites Adieu aux Hackers et quoi faire si votre site wordpress est piraté 

Plus le temps passe et plus il y a de raisons de sécuriser votre site avec SSL. Quelles sont les vôtres ? Faites le moi savoir dans les commentaires ci-dessous

 


comments powered by Disqus

Comment changer un domaine principal wp multi-site

Comment changer un domaine principal wp multi-site

Si vous voulez changer le domaine principal de l'installation de votre WordPress multi-site, il y a 5 valeurs à modifier. Vous n’aurez pas besoin d'effectuer une dump de base de données. Ceci est en fait désapprouvé parceque WordPress enregistre des données en séries, et la modification de cela peut … Continuer

Publié le 8 octobre, 2016

0 Commentaires
Supprimer le spam dans wordpress

Supprimer le spam dans wordpress

L’augmentation des commentaires spams dans WordPress devenant un problème, vous vous retrouvez peut-être avec des centaines, voire même des milliers de commentaires en attente que vous avez à supprimer. Malheureusement, l’installation de base de WordPress vous laisse seulement supprimer en masse les … Continuer

Publié le 8 mai, 2016

0 Commentaires
Optimiser la base de données de Wordpress avec Cron

Optimiser la base de données de Wordpress avec Cron

Nous avons déjà souligné l’importance d’avoir une base de données simple et optimisée pour votre site web WordPress pour accélérer la performance de votre site. Après un certain temps, les tableaux MySQL deviennent encombrés et exigeront grandement quelques réparations et travaux d’entretien. Comme … Continuer

Publié le 24 janvier, 2016

0 Commentaires
Comment protéger wp-config.php

Comment protéger wp-config.php

Il est triste de constater à quel point de nombreux sites WordPress sont incroyablement faciles à pirater. Beaucoup d'entre eux ne sont même équipé de la dernière version. Cependant, l'un des fichiers parmi les plus dangereux et les plus sensibles dans WordPress est le wp-config.php. Ce fichier cont … Continuer

Publié le 21 octobre, 2015

0 Commentaires
Comment changer un site html en un site Wordpress

Comment changer un site html en un site Wordpress

Récemment, sur un forum que je fréquente, une vieille connaissance m’a demandé comment convertir un de ses anciens sites Dreamweaver vers WordPress, sans que cela ne lui demande trop d’effort. J’ai d’abord pensé que ce serait impossible de faire cela facilement, mais après avoir vu d’autres réponses … Continuer

Publié le 13 juillet, 2015

2 Commentaires
Comment ajouter un bouton donation dans Wordpress

Comment ajouter un bouton donation dans Wordpress

Il y a un grand nombre de sites web qui offrent des logiciels gratuits ou autres services libres de droit (open source). Les développeurs font beaucoup d’efforts pour nous fournir des outils spécialisés pour divers besoins. Les plugins WordPress sont eux-mêmes un bon exemple. Regardez le nombre d’ad … Continuer

Publié le 11 juillet, 2015

0 Commentaires
Comment ajouter une FAQ dans Wordpress

Comment ajouter une FAQ dans Wordpress

Si vous voulez que vos visiteurs trouvent rapidement des informations sur votre site, vous devriez publier une foire aux questions (FAQ). Par exemple, une FAQ pourrait trouver sa place sur les pages de produits et de services. Vous avez peut-être plusieurs catégories de services, et vous avez donc b … Continuer

Publié le 11 janvier, 2015

0 Commentaires



Les avis des clients

Avis des utilisateurs


Faites entendre votre voix. Passez en revue votre fournisseur d'hébergement Web - bon ou mauvais.


J'apprécie tout particulièrement le C Panel et aussi l'installateur de logiciels libres intégré (Softaculous). Une assistance par mail extrêmement réactive et efficace. le fonctionnement de mes plateforme de formation et de mes sites internet est parfait. J'en suis à mon 3ème hébergeur en dix ans, j …

ANDRE Jeannick à propos Ex2hosting

Montrer une autre revue
Lire les avis Ex2hosting



Plans d'hébergement




Les plans d'hébergement de 59 sociétés d'hébergement partout dans le monde


Meilleur hébergeurs web

# hébergeur web prix action

1

Ikoula

1.95 EURO

Ajouter un Avis
Visiter

2

Siteground

6.95 USD

Ajouter un Avis
Visiter

3

Ex2hosting

3.99 EURO

Ajouter un Avis
Visiter

4

Inmotion

5.95 USD

Ajouter un Avis
Visiter

5

Webhostinghub

4.95 USD

Ajouter un Avis
Visiter

6

Bluehost

6.95 USD

Ajouter un Avis
Visiter






Hébergeurs par avis de clients

Ex2hosting
78 avis des clients
Nuxit France
70 avis des clients
Hostpapa France
67 avis des clients
1and1 France
62 avis des clients
Rapidenet
50 avis des clients
Ajouter un avis Tous les profils


Hébergeurs par fidélité de clients

Ex2hosting
73 / 78 recommandé
Nuxit France
68 / 70 recommandé
Rapidenet
49 / 50 recommandé
Infomaniak France
48 / 48 recommandé
Hostpapa France
39 / 67 recommandé
Évaluer hébergeur Tous les profils


Question de la Semaine


Le plus important critère de votre hébergeur



Contacter l'éditeur

Posez votre question