Sélectionner une page

Bien qu’ayant passé votre site en https, vous aviez toujours une alerte indiquant que votre site n’était pas sécurisé.
Panique à bord ! Vous lancez un SOS, et un bon samaritain vous conseille LE plugin qui remédiera à votre problème : Really Simple SSL.
Et, de fait, vous avez enfin le fameux petit cadenas sur toutes les pages du site.
Mais était-ce vraiment une bonne idée d’activer ce plugin ? En quoi pose-t-il problème ?

Analogie médicale

Pour bien comprendre le problème, je vous propose une analogie médicale.

Really Simple SSL est un faux médicament : il ne soigne pas, il ne fait que masquer les symptômes de la maladie.
Celle-ci est toujours présente. Pour preuve, si vous désactivez le plugin, s’en est fini du petit cadenas et le message d’alerte réapparaît.

Alerte de site Non sécurisé
Alerte de site Non sécurisé (ici pour Google Chrome)

Votre site est donc condamné de prendre, à vie, sa dose de Really Simple SSL.
Mais vous le savez : tous les médicaments ont des effets secondaires.

Et c’est d’autant plus dommage de subir ces effets secondaires qu’il est relativement simple d’éradiquer une bonne fois pour toute la maladie.
Simple et rapide dans la très grande majorité des cas : en moins de dix à quinze minutes, le problème est définitivement corrigé.

Dans les faits, tout le monde se méprend sur l’utilisation, le but, de Really Simple SSL :
Ce plugin, bien pratique au demeurant, ne devrait être installé et activé que temporairement.
Juste le temps nécessaire que vous trouviez vous-même le temps “d’administrer” le remède qui va éradiquer une bonne fois pour toute la maladie.

Effets secondaires

Concernant les effets secondaires, ils sont de deux natures :

  • il y a les effets secondaires connus : ceux qui sont à imputer au médicament lui-même ;
  • et les effets secondaires inconnus, ou difficilement identifiables : ceux qui peuvent survenir lorsque le médicaments est associé à la prise d’autres médicaments…

Les effets secondaires connus

Les effets secondaires connus de Really Simple SSL tiennent à sa nature même.
Pour masquer les symptômes, chaque fois que vous ou l’un des visiteurs demande à afficher une page du site, Really Simple SSL intercepte la page, la parcours afin de voir s’il y a des liens http:// et, si c’est le cas, il les remplace par https://.
Il fait ceci pour chaque page, pour chaque visiteur, et à chaque fois : si un même visiteur demande plusieurs fois la même page, celle-ci sera interceptée autant de fois que réclamée.
Cela se traduit par une consommation plus importante des ressources du serveur qui héberge votre site :

  • plus de temps de calcul ;
  • plus de mémoire consommée ;
  • de fait, un temps de réponse diminué (votre site n’est pas aussi rapide qu’il le pourrait, les visiteurs patientent davantage) ;
  • une pénalisation potentielle lors de l’indexation de votre site par les moteurs de recherche.

Oui, une pénalisation potentielle, car il y a des “bots” (des petits robots logiciels) qui parcourent le web en lisant directement les fichiers du site web. Ces bots accèdent directement aux fichiers, ils ne passent pas par un navigateur. Les fichiers ne sont donc pas interceptés par le plugin pour corriger les liens qui seraient spécifiés “en dur” dans le code (par exemple au sein du functions.php d’un thème enfant, etc.).

Les effets secondaires inconnus

Aujourd’hui, votre site fonctionne comme vous vous y attendez.
Mais que se passera-t-il lors d’une prochaine mise à jour ? Et les mises à jour sont nombreuses et fréquentes :

  • Mise à jour de WordPress ;
  • Mise à jour du thème ;
  • Mise à jour de Really Simple SSL ou d’un autre plugin.

Ça en fait des combinaisons possibles. Et tout autant de risques d’incompatibilités !

Enfin, il faut tenir compte également du devenir de Really Simple SSL.
Même si on souhaite tout le meilleur du monde à ce plugin et à son auteur, vous savez comme moi que rien n’y personne n’est immuable.

Le remède

Le remède est très simple pour éradiquer définitivement la maladie. Ça se fait en moins de 15 minutes maximum.
À la fin de “l’opération”, vous n’aurez plus qu’à supprimer Really Simple SSL.
Plus de médicament à prendre à vie, un site plus rapide, une gestion simplifiée.
Il suffit de modifier deux informations dans les réglages de WordPress ET de corriger les liens des “ressources” que vous avez insérés dans votre site.
Les ressources, se sont votre logo, les images, peut-être des feuilles de styles personnalisées et/ou des fichiers javascripts, des polices, etc.

Si vous ne vous sentez pas de faire l’intervention, je vous propose de la faire pour vous, en toute sécurité, » pour 25 €  « !
En prime, je vérifierai si votre site ne comporte pas de liens http:// “en dur” afin qu’il ne soit pas pénalisé par les bots d’indexation.

Posologie

  1. Commencez par désactiver Really Simple SSL (pour l’instant, ne le supprimez pas. Contentez-vous de le désactiver).
  2. Installez et activez le plugin Better Search Replace afin de remplacer toutes les occurences des liens non sécurisés de votre site dans la base de données. Via Outils > Better Search Replace remplissez les champs concernés, sélectionnez les tables et les options.
    Dans un premier temps, laissez la dernière case cochée Juste faire un test : cela vous permettra de voir si vos tables ne sont pas trop volumineuses pour effectuer le remplacement en 1 seule fois. Dans le cas contraire il faudra sélectionner les tables par plus petits groupes ou une par une si votre site est déjà très volumineux.
Écran principal de Better Search Replace
Remplissez les champs, sélectionnez les tables et les options
  1. Remplissez les champs, sélectionnez les tables et les options
  2. Lancez le Rechercher/Remplacer en cliquant sur le bouton concerné. L’opération s’exécute :
Barre de progression de Better Search Replace
Exécution du remplacement

À la fin de l’opération, Better Search Replace vous indique le nombre de remplacements effectués :

Résultat de Better Search Replace
Nombre de remplacements effectués
  1. Si tout c’est bien passé lors du test, alors recommencer l’opération mais cette fois-ci en décochant la case Juste faire un test ?
    Si l’opération échoue en raison d’un dépassement de temps, refaites un test en sélectionnant moins de tables à la fois. Au besoin, procédez table par table.

(selon l’état initial de votre site ou lors du rechercher/remplacer, il se peut que vous deviez vous reconnecter : c’est normal, pas de panique.)


Et voilà, votre site WordPress est désormais en “vrai” https. Vous pouvez vous en assurer en affichant chacune de vos pages : toutes devraient comporter le petit cadenas :)
Désactivez le plugin Better Search Replace puis supprimez-le. Supprimez également Really Simple SSL devenu inutile.

[mise à jour du 03 fév. 2019]
Votre site est désormais par défaut en https, mais il faut maintenant s’assurer que personne ne puisse y accéder en http (si un visiteur supprime intentionnellement le « s » dans la barre d’adresse) :
c’est > ici < que ça se passe !

Si vous ne vous sentez pas de faire l’intervention, je vous propose de la faire pour vous, en toute sécurité, » pour 25 € « !
En prime, je vérifierai si votre site ne comporte pas de liens http:// “en dur” afin qu’il ne soit pas pénalisé par les bots d’indexation.

Aliquam efficitur. Lorem consectetur ipsum risus velit, libero. eleifend Curabitur Donec