Bien qu’ayant passé votre site en https, vous aviez toujours une alerte indiquant que votre site n’était pas sécurisé.
Panique à bord ! Vous lancez un SOS, et un bon samaritain vous conseille LE plugin qui remédiera à votre problème : Really Simple SSL.
Et, de fait, vous avez enfin le fameux petit cadenas sur toutes les pages du site.
Mais est-ce vraiment une bonne idée de conserver ce plugin ? En quoi pose-t-il problème ?
Analogie médicale
Pour bien comprendre le problème, je vous propose une analogie médicale.
Really Simple SSL est un faux médicament : il ne soigne pas, il ne fait que masquer les symptômes de la maladie.
Celle-ci est toujours présente. Pour preuve, si vous désactivez le plugin, s’en est fini du petit cadenas et le message d’alerte réapparaît.
Votre site est donc condamné de prendre, à vie, sa dose de Really Simple SSL.
Mais vous le savez : tous les médicaments ont des effets secondaires.
Et c’est d’autant plus dommage de subir ces effets secondaires qu’il est relativement simple d’éradiquer une bonne fois pour toute la maladie.
Simple et rapide : dans la très grande majorité des cas, en moins de dix à quinze minutes, le problème est définitivement résolu.
Dans les faits, tout le monde se méprend sur l’utilisation, le but, de Really Simple SSL :
Ce plugin, bien pratique au demeurant, ne devrait être installé et activé que temporairement.
Juste le temps nécessaire que vous trouviez vous-même le temps “d’administrer” le remède qui va éradiquer une bonne fois pour toute la maladie.
Effets secondaires
Concernant les effets secondaires, ils sont de deux natures :
- il y a les effets secondaires connus : ceux qui sont à imputer au médicament lui-même ;
- et les effets secondaires inconnus, ou difficilement identifiables : ceux qui peuvent survenir lorsque le médicaments est associé à la prise d’autres médicaments…
Les effets secondaires connus
Les effets secondaires connus de Really Simple SSL tiennent à sa nature même.
Pour masquer les symptômes, chaque fois que vous ou l’un des visiteurs demande à afficher une page du site, Really Simple SSL intercepte la page, la parcourt à la recherche des liens http:// et les remplace par https://.
Il fait ceci pour chaque page, pour chaque visiteur, et à chaque fois : si un même visiteur demande plusieurs fois la même page, celle-ci sera interceptée et traitée autant de fois que réclamée.
Cela se traduit par une consommation plus importante des ressources du serveur qui héberge votre site :
- plus de temps de calcul ;
- plus de mémoire consommée ;
- de fait, un temps de réponse diminué (votre site n’est pas aussi rapide qu’il le pourrait, les visiteurs patientent davantage) ;
- et pour finir, une pénalisation potentielle lors de l’indexation de votre site par les moteurs de recherche.
Oui, une pénalisation potentielle, car il y a des “bots” (des petits robots logiciels) qui parcourent le web en lisant directement les fichiers sur le disque où se trouve votre site. Ces bots ne passent pas par un navigateur. Les fichiers ne sont donc pas interceptés par le plugin pour corriger les liens qui seraient spécifiés “en dur” dans le code (par exemple au sein du functions.php d’un thème enfant, etc.).
Les effets secondaires inconnus
Aujourd’hui, votre site fonctionne comme vous vous y attendez. Parfait.
Mais que se passera-t-il lors d’une prochaine mise à jour ? Et les mises à jour sont nombreuses et fréquentes :
- Mise à jour de WordPress ;
- Mise à jour du thème ;
- Mise à jour de Really Simple SSL ou d’un autre plugin.
Ça en fait des combinaisons possibles. Et tout autant de risques d’incompatibilités !
Enfin, il faut tenir compte également du devenir de Really Simple SSL.
Même si on souhaite tout le meilleur du monde à ce plugin et à son auteur, vous savez comme moi que rien n’y personne n’est immuable.
Le remède
Le remède est très simple pour éradiquer définitivement la maladie. Ça se fait en moins de 15 minutes maximum.
À la fin de “l’opération”, vous n’aurez plus qu’à supprimer Really Simple SSL.
Plus de médicament à prendre à vie, un site plus rapide, une gestion simplifiée.
Il suffit d’installer, momentanément, un plugin afin de corriger les liens des “ressources” que vous avez insérés dans votre site.
Les ressources, se sont votre logo, les images, peut-être des feuilles de styles personnalisées et/ou des fichiers javascripts, des polices, etc.
Si vous ne vous sentez pas de faire l’intervention, je vous propose de la faire pou vous, en toute sécurité,
» pour 35 € « !
En prime, je vérifierai si votre site ne comporte pas de liens http:// “en dur” afin qu’il ne soit pas pénalisé par les bots d’indexation.
Posologie
- Commencez par désactiver Really Simple SSL (pour l’instant, ne le supprimez pas. Contentez-vous de le désactiver).
- Installez et activez le plugin Better Search Replace afin de remplacer toutes les occurences des liens non sécurisés de votre site dans la base de données. Via Outils > Better Search Replace remplissez les champs concernés, sélectionnez les tables et les options.
Dans un premier temps, laissez la dernière case cochéeJuste faire un test
: cela vous permettra de voir si vos tables ne sont pas trop volumineuses pour effectuer le remplacement en 1 seule fois. Dans le cas contraire il faudra sélectionner les tables par plus petits groupes ou une par une si votre site est déjà très volumineux.
- Remplissez les champs, sélectionnez les tables et les options
- Lancez le Rechercher/Remplacer en cliquant sur le bouton concerné. L’opération s’exécute :
À la fin de l’opération, Better Search Replace vous indique le nombre de remplacements effectués :
- Si tout c’est bien passé lors du test, alors recommencer l’opération mais cette fois-ci en décochant la case
Juste faire un test ?
Si l’opération échoue en raison d’un dépassement de temps, refaites un test en sélectionnant moins de tables à la fois. Au besoin, procédez table par table.
Selon l’état initial de votre site ou lors du rechercher/remplacer, il se peut que vous deviez vous reconnecter : c’est normal, pas de panique…
Et voilà, votre site WordPress est désormais en “vrai” https. Vous pouvez vous en assurer en affichant chacune de vos pages : toutes devraient comporter le petit cadenas :)
Désactivez le plugin Better Search Replace puis supprimez-le. Supprimez également Really Simple SSL devenu inutile.
[mise à jour du 03 fév. 2019]
Votre site est désormais par défaut en https, mais il faut maintenant s’assurer que personne ne puisse y accéder en http (si un visiteur supprime intentionnellement le “s” dans la barre d’adresse) :
c’est > ici < que ça se passe !
Si vous ne vous sentez pas de faire l’intervention, je vous propose de la faire pour vous, en toute sécurité,
» pour 35 € « !
En prime, je vérifierai si votre site ne comporte pas de liens http:// “en dur” afin qu’il ne soit pas pénalisé par les bots d’indexation.
Le tuto vidéo
Retrouvez la version vidéo de ce tuto, explications et procédure pas à pas.
En regardant l’une des deux vidéos ci-dessous, vous ne serez pas ‘pisté’ : ces vidéos sont hébergées sur mon site.
En revanche, si vous êtes trop nombreux à les visionner en même temps, il se peut que le site se mette à ramer…
Si le fait d’être pisté vous importe peu, ou que le site rame, vous pouvez accéder à la vidéo hébergée sur Youtube.
Philippe,
Bien content d’être tombé sur ta page !
Autant la lecture des articles que les tutos sont très pros; on sent le travail fourni en amont pour apporter du très bon contenu.
Moi qui suit totalement novice avec l’utilisation de WordPress, je te remercie pour le temps passé ainsi que les conseils apportés.
Cordialement.
Il y a quelque chose que j’aimerais comprendre : que ce passe t-il quand on est passés en https et q’un internautes arrive sur votre site en ayant tapé : http .
est-ce qu’il ait prévenus qu’il y a un changement ou est-ce qu’il tombe sur une page vide ?
Peut-on mettre une page d’avertissements : veuillez vous reconnecter avec le lien suivant : https etc
Bonjour Olivier,
Non, rien de tout ça (surtout pas mettre en place une page d’avertissement !), il faut gérer ça au niveau de l’hébergement, du serveur.
Ainsi, c’est transparent pour le visiteur. S’il tente d’accéder via http, il sera AUTOMATIQUEMENT redirigé sur la version https.
Regardez bien dans l’article, le bloc “Mise à jour du 03 fév. 2019”, il vous dirigera sur l’article complémentaire à celui-ci ;)
Philippe
Merci à toi El Reskator !
pour la mention au plugin Better Surch Replace
jusque là je me tapais les requêtes SQL
Bonsoir,
J’ai passe mon site de http en https en suivant ce tuto que je remercie.
J’ajoute cependant 2 choses importantes :
1 – certains hebergeurs vont proposer un tarif pour l’option du certificat “letsencrypt” necessaire, son installation et ses renouvellements.
2 – Oui Priscillia, tous les http seront modifier en https, sauf ceux des iFrame et ceux dans certains fichiers atteignables par le ftp.
J’espere apporter un complement a cet excellent tuto qui m’a mis le pied a l’etrier.
Jean-Michel,
heureux d’avoir pu t’aider.
Garde à l’esprit que ce tuto concerne les liens wordpress internes au site et qui figurent dans la base de données WordPress. Donc si le lien de ton iframe pointe sur un autre site, c’est normal qu’il ne soit pas modifié (et le devrait-il d’ailleurs ?).
Bonjour,
En effet, il vaut idéalement mieux se passer d’une extension pour ce genre de chose, ceci dit, il manque quelque chose de très important dans votre solution, quelque chose que Really Simple SSL fait et qui doit être mis en place sur tout site qu’on passe en https : les redirections ;)
Oui, c’est exact Bruno,
la redirection permet d’empêcher un utilisateur d’accéder au site en http.
Cela peut être mis en place via le fichier .htaccess (la solution la plus efficace et performante, mais pas toujours à la portée de tout le monde).
Sinon, c’est une fonction qui est très souvent intégrée à des plugins de sécurité, de cache ou de référencement…
J’ai fait appel à vos services pour ce problème et en ai été très satisfaite !
Très intéressant merci !
Est-ce que ça remplace bien les url HTTP des images aussi ?
C’est vrai qu’on ne pense pas assez souvent aux conséquences d’installer autant de plugins sur son site !
Priscilla,
oui, ça remplace TOUTES les urls. Il faut juste veiller à ce que toutes les tables soient traitées.