Bien qu’ayant passé votre site en https, vous aviez toujours une alerte indiquant que votre site n’était pas sécurisé.
Panique à bord ! Vous lancez un SOS, et un bon samaritain vous conseille LE plugin qui remédiera à votre problème : Really Simple SSL.
Et, de fait, vous avez enfin le fameux petit cadenas sur toutes les pages du site.
Mais est-ce vraiment une bonne idée de conserver ce plugin ? En quoi pose-t-il problème ?
Pour bien comprendre le problème, je vous propose une analogie médicale.
Really Simple SSL est un faux médicament : il ne soigne pas, il ne fait que masquer les symptômes de la maladie.
Celle-ci est toujours présente. Pour preuve, si vous désactivez le plugin, s’en est fini du petit cadenas et le message d’alerte réapparaît.
Votre site est donc condamné de prendre, à vie, sa dose de Really Simple SSL.
Mais vous le savez : tous les médicaments ont des effets secondaires.
Et c’est d’autant plus dommage de subir ces effets secondaires qu’il est relativement simple d’éradiquer une bonne fois pour toute la maladie.
Simple et rapide : dans la très grande majorité des cas, en moins de dix à quinze minutes, le problème est définitivement résolu.
Dans les faits, tout le monde se méprend sur l’utilisation, le but, de Really Simple SSL :
Ce plugin, bien pratique au demeurant, ne devrait être installé et activé que temporairement.
Juste le temps nécessaire que vous trouviez vous-même le temps “d’administrer” le remède qui va éradiquer une bonne fois pour toute la maladie.
Concernant les effets secondaires, ils sont de deux natures :
Les effets secondaires connus de Really Simple SSL tiennent à sa nature même.
Pour masquer les symptômes, chaque fois que vous ou l’un des visiteurs demande à afficher une page du site, Really Simple SSL intercepte la page, la parcourt à la recherche des liens http:// et les remplace par https://.
Il fait ceci pour chaque page, pour chaque visiteur, et à chaque fois : si un même visiteur demande plusieurs fois la même page, celle-ci sera interceptée et traitée autant de fois que réclamée.
Cela se traduit par une consommation plus importante des ressources du serveur qui héberge votre site :
Oui, une pénalisation potentielle, car il y a des “bots” (des petits robots logiciels) qui parcourent le web en lisant directement les fichiers sur le disque où se trouve votre site. Ces bots ne passent pas par un navigateur. Les fichiers ne sont donc pas interceptés par le plugin pour corriger les liens qui seraient spécifiés “en dur” dans le code (par exemple au sein du functions.php d’un thème enfant, etc.).
Aujourd’hui, votre site fonctionne comme vous vous y attendez. Parfait.
Mais que se passera-t-il lors d’une prochaine mise à jour ? Et les mises à jour sont nombreuses et fréquentes :
Ça en fait des combinaisons possibles. Et tout autant de risques d'incompatibilités !
Enfin, il faut tenir compte également du devenir de Really Simple SSL.
Même si on souhaite tout le meilleur du monde à ce plugin et à son auteur, vous savez comme moi que rien n’y personne n’est immuable.
Le remède est très simple pour éradiquer définitivement la maladie. Ça se fait en moins de 15 minutes maximum.
À la fin de “l’opération”, vous n’aurez plus qu’à supprimer Really Simple SSL.
Plus de médicament à prendre à vie, un site plus rapide, une gestion simplifiée.
Il suffit d'installer, momentanément, un plugin afin de corriger les liens des “ressources” que vous avez insérés dans votre site.
Les ressources, se sont votre logo, les images, peut-être des feuilles de styles personnalisées et/ou des fichiers javascripts, des polices, etc.
Si vous ne vous sentez pas de faire l’intervention, je vous propose de la faire pou vous, en toute sécurité,
» pour 35 € « !
En prime, je vérifierai si votre site ne comporte pas de liens http:// “en dur” afin qu’il ne soit pas pénalisé par les bots d'indexation.
Juste faire un test : cela vous permettra de voir si vos tables ne sont pas trop volumineuses pour effectuer le remplacement en 1 seule fois. Dans le cas contraire il faudra sélectionner les tables par plus petits groupes ou une par une si votre site est déjà très volumineux.
À la fin de l’opération, Better Search Replace vous indique le nombre de remplacements effectués :
Juste faire un test ?Selon l’état initial de votre site ou lors du rechercher/remplacer, il se peut que vous deviez vous reconnecter : c’est normal, pas de panique…
Et voilà, votre site WordPress est désormais en “vrai” https. Vous pouvez vous en assurer en affichant chacune de vos pages : toutes devraient comporter le petit cadenas 🙂
Désactivez le plugin Better Search Replace puis supprimez-le. Supprimez également Really Simple SSL devenu inutile.
[mise à jour du 03 fév. 2019]
Votre site est désormais par défaut en https, mais il faut maintenant s'assurer que personne ne puisse y accéder en http (si un visiteur supprime intentionnellement le "s" dans la barre d'adresse) :
c'est > ici < que ça se passe !
Si vous ne vous sentez pas de faire l’intervention, je vous propose de la faire pour vous, en toute sécurité,
» pour 35 € « !
En prime, je vérifierai si votre site ne comporte pas de liens http:// “en dur” afin qu’il ne soit pas pénalisé par les bots d'indexation.
Retrouvez la version vidéo de ce tuto, explications et procédure pas à pas.
En regardant l'une des deux vidéos ci-dessous, vous ne serez pas ‘pisté’ : ces vidéos sont hébergées sur mon site.
En revanche, si vous êtes trop nombreux à les visionner en même temps, il se peut que le site se mette à ramer…
Si le fait d'être pisté vous importe peu, ou que le site rame, vous pouvez accéder à la vidéo hébergée sur Youtube.
Il y a quelque chose que j'aimerais comprendre : que ce passe t-il quand on est passés en https et q'un internautes arrive sur votre site en ayant tapé : http .
est-ce qu'il ait prévenus qu'il y a un changement ou est-ce qu'il tombe sur une page vide ?
Peut-on mettre une page d'avertissements : veuillez vous reconnecter avec le lien suivant : https etc
Bonjour Olivier,
Non, rien de tout ça (surtout pas mettre en place une page d'avertissement !), il faut gérer ça au niveau de l'hébergement, du serveur.
Ainsi, c'est transparent pour le visiteur. S'il tente d'accéder via http, il sera AUTOMATIQUEMENT redirigé sur la version https.
Regardez bien dans l'article, le bloc "Mise à jour du 03 fév. 2019", il vous dirigera sur l'article complémentaire à celui-ci 😉
Philippe
Merci à toi El Reskator !
pour la mention au plugin Better Surch Replace
jusque là je me tapais les requêtes SQL
Bonsoir,
J'ai passe mon site de http en https en suivant ce tuto que je remercie.
J'ajoute cependant 2 choses importantes :
1 - certains hebergeurs vont proposer un tarif pour l'option du certificat "letsencrypt" necessaire, son installation et ses renouvellements.
2 - Oui Priscillia, tous les http seront modifier en https, sauf ceux des iFrame et ceux dans certains fichiers atteignables par le ftp.
J'espere apporter un complement a cet excellent tuto qui m'a mis le pied a l'etrier.
Jean-Michel,
heureux d'avoir pu t'aider.
Garde à l'esprit que ce tuto concerne les liens wordpress internes au site et qui figurent dans la base de données WordPress. Donc si le lien de ton iframe pointe sur un autre site, c'est normal qu'il ne soit pas modifié (et le devrait-il d'ailleurs ?).
Bonjour,
En effet, il vaut idéalement mieux se passer d’une extension pour ce genre de chose, ceci dit, il manque quelque chose de très important dans votre solution, quelque chose que Really Simple SSL fait et qui doit être mis en place sur tout site qu’on passe en https : les redirections 😉
Oui, c’est exact Bruno,
la redirection permet d’empêcher un utilisateur d’accéder au site en http.
Cela peut être mis en place via le fichier .htaccess (la solution la plus efficace et performante, mais pas toujours à la portée de tout le monde).
Sinon, c’est une fonction qui est très souvent intégrée à des plugins de sécurité, de cache ou de référencement…
J'ai fait appel à vos services pour ce problème et en ai été très satisfaite !
Très intéressant merci !
Est-ce que ça remplace bien les url HTTP des images aussi ?
C'est vrai qu'on ne pense pas assez souvent aux conséquences d'installer autant de plugins sur son site !
Priscilla,
oui, ça remplace TOUTES les urls. Il faut juste veiller à ce que toutes les tables soient traitées.