Sélectionner une page

Bien qu’ayant passé votre site en https, vous aviez toujours une alerte indiquant que votre site n’était pas sécurisé.
Panique à bord  ! Vous lancez un SOS, et une bonne âme vous conseille LE plugin qui remédiera à votre problème : Really Simple SSL.
Et, de fait, vous avez enfin le fameux petit cadenas sur toutes les pages de votre site.
Mais était-ce vraiment une bonne idée de garder ce plugin ? En quoi pose-t-il problème ?

Analogie médicale

Pour bien comprendre le problème, je vous propose une analogie médicale.

Really Simple SSL est un faux médicament : il ne soigne pas, il ne fait que masquer les symptômes de la maladie.
Celle-ci est toujours présente. Pour preuve, si vous désactivez le plugin, s’en est fini du petit cadenas et le message d’alerte réapparaît.

Alerte de site Non sécurisé

Alerte de site Non sécurisé (ici pour Google Chrome)

Votre site est donc condamné de prendre, à vie, sa dose de Really Simple SSL.
Mais vous le savez : tous les médicaments ont des effets secondaires.

Et c’est d’autant plus dommage de subir ces effets secondaires qu’il est relativement simple d’éradiquer une bonne fois pour toute la maladie.
Simple et rapide dans la très grande majorité des cas : en moins de dix à quinze minutes, le problème est définitivement corrigé.

Dans les faits, tout le monde se méprend sur l’utilisation, le but, de Really Simple SSL :
Ce plugin, bien pratique au demeurant, ne devrait être installé et activé que temporairement.
Juste le temps nécessaire que vous trouviez vous-même le temps « d’administrer » le remède qui va éradiquer une bonne fois pour toute la maladie.

Effets secondaires

Concernant les effets secondaires, ils sont de deux natures :

  • Il y a les effets secondaires connus, ceux qui sont à imputer au médicament lui-même ;
  • et les effets secondaires inconnus, ou difficilement identifiables : ceux qui peuvent survenir lorsque le médicaments est associé à la prise d’autres médicaments…

Les effets secondaires connus

Les effets secondaires connus de Really Simple SSL tiennent à sa nature même.
Pour masquer les symptômes, chaque fois que vous ou l’un des visiteurs demande à afficher une page du site, Really Simple SSL intercepte la page, la parcours afin de voir s’il y a des liens http:// et, si c’est le cas, il les remplace par https://.
Il fait ceci pour chaque page, pour chaque visiteur, et à chaque fois : si un même visiteur demande plusieurs fois la même page, celle-ci sera interceptée autant de fois que réclamée.
Cela se traduit par une consommation plus importante des ressources du serveur qui héberge votre site :

  • plus de temps de calcul ;
  • plus de mémoire consommée ;
  • de fait, un temps de réponse diminué (votre site n’est pas aussi rapide qu’il le pourrait, les visiteurs patientent davantage) ;
  • une pénalisation potentielle lors de l’indexation de votre site par les moteurs de recherche.

Oui, une pénalisation potentielle, car il y a des « bots » (des petits robots logiciels) qui parcourent le web en lisant directement les fichiers du site web. Ces bots accèdent directement aux fichiers, ils ne passent pas par un navigateur. Les fichiers ne sont donc pas interceptés par le plugin pour corriger les liens qui seraient spécifiés « en dur » dans le code (par exemple au sein du functions.php d’un thème enfant, etc.).

Les effets secondaires inconnus

Aujourd’hui, votre site fonctionne comme vous vous y attendez.
Mais que se passera-t-il lors d’une prochaine mise à jour ? Et les mises à jour sont nombreuses et fréquentes :

  • Mise à jour de WordPress ;
  • Mise à jour du thème ;
  • Mise à jour de Really Simple SSL ou d’un autre plugin.

Ça en fait des combinaisons possibles. Et tout autant de risques d’incompatibilités !

Enfin, il faut tenir compte également du devenir de Really Simple SSL.
Même si on souhaite tout le meilleur du monde à ce plugin et à son auteur, vous savez comme moi que rien n’y personne n’est immuable.

Le remède

Le remède est très simple pour éradiquer définitivement la maladie. Ça se fait en moins de 15 minutes maximum.
À la fin de « l’opération », vous n’aurez plus qu’à supprimer Really Simple SSL.
Plus de médicament à prendre à vie, un site plus rapide, une gestion simplifiée.
Il suffit de modifier deux informations dans les réglages de WordPress ET de corriger les liens des « ressources » que vous avez insérés dans votre site.
Les ressources, se sont votre logo, les images, peut-êtres des feuilles de styles personnalisées et/ou des fichiers javascripts, des polices, etc.

Si vous ne vous sentez pas de faire l’intervention, je vous propose de la faire pour vous, en toute sécurité, » pour 25 €  « !
En prime, je vérifierai si votre site ne comporte pas de liens http:// « en dur » afin qu’il ne soit pas pénalisé par les bots d’indexation.

Posologie

  1. Commencez par désactiver Really Simple SSL (pour l’instant, ne le supprimez pas. Contentez-vous de le désactiver).
  2. Depuis l’administration, accédez à Réglages > Général.
    Là, dans les champs Adresse web de WordPress (URL) et Adresse web du site (URL), remplacez le http:// par https://

    Champs Adresse Web

    Adresses web dans les Réglages Généraux de WordPress

     

  3. Installez et activez le plugin Better Search Replace afin de remplacer toutes les occurrences des liens non sécurisés de votre site dans la base de données. Via Outils > Better Search Replace remplissez les champs concernés, sélectionnez les tables et les options.
    Dans un premier temps, laissez la case Juste faire un test ? cochée : cela vous permettra de voir si vos tables ne sont pas trop volumineuses pour effectuer le remplacement en 1 seule fois. Dans le cas contraire, il faudra sélectionner les tables par plus petits groupes ou une par une si votre site est déjà très volumineux.

    Écran principal de Better Search Replace

    Remplissez les champs, sélectionnez les tables et les options

     

  4. Lancez le Rechercher/Remplacer en cliquant sur le bouton concerné. L’opération s’exécute :
    Barre de progression de Better Search Replace

    Exécution du remplacement

     

  5. À la fin de l’opération, Better Search Replace vous indique le nombre de remplacements effectués :
    Résultat de Better Search Replace

    Nombre de remplacements effectués

     

  6. Si tout c’est bien passé lors du test, alors recommencer l’opération mais cette fois-ci en décochant la case Juste faire un test ?
    Si l’opération échoue en raison d’un dépassement de temps, refaites un test en sélectionnant moins de tables à la fois. Au besoin, procédez table par table.

Et voilà, votre site WordPress est désormais en « vrai » https. Vous pouvez vous en assurer en affichant chacune de vos pages : toutes devraient comporter le petit cadenas 🙂
Désactivez le plugin Better Search Replace puis supprimez-le. Supprimez également Really Simple SSL devenu inutile.

Si vous ne vous sentez pas de faire l’intervention, je vous propose de la faire pour vous, en toute sécurité, » pour 25 € « !
En prime, je vérifierai si votre site ne comporte pas de liens http:// « en dur » afin qu’il ne soit pas pénalisé par les bots d’indexation.

Nullam porta. felis odio elit. id vulputate, dolor. tristique lectus venenatis vel,