{"id":2763,"date":"2019-02-03T19:20:08","date_gmt":"2019-02-03T19:20:08","guid":{"rendered":"https:\/\/reskator.fr\/?p=2763"},"modified":"2021-01-14T11:01:30","modified_gmt":"2021-01-14T11:01:30","slug":"forcer-la-connexion-en-https","status":"publish","type":"post","link":"https:\/\/dev9.reskator.fr\/cms\/2019\/forcer-la-connexion-en-https\/","title":{"rendered":"Forcer la connexion en https"},"content":{"rendered":"\n

Dans un article pr\u00e9c\u00e9dent<\/a>, je vous ai montr\u00e9 comment basculer votre site https sans avoir recours \u00e0 un plugin suppl\u00e9mentaire.
Suite \u00e0 ce basculement votre site est d\u00e9sormais accessible par d\u00e9faut en https.
Toutefois, rien n'emp\u00eache un utilisateur d'y acc\u00e9der en non s\u00e9curis\u00e9. Pour cela, il lui suffit de saisir explicitement l'adresse de votre site en omettant le \"s\" : http:\/\/votre-site.com au lieu de https:\/\/votre-site.com.
Voyons comment forcer les connexions en https et d\u00e9jouer la tentative de cet utilisateur.<\/p>\n\n\n\n

Avant d'aller plus loin, commencez par v\u00e9rifier si votre site est concern\u00e9 : il se peut qu\u2019un tiers (votre h\u00e9bergeur ou un prestataire) ait d\u00e9j\u00e0 configur\u00e9 votre site en cons\u00e9quence lors de l\u2019installation du certificat ssl.<\/p>\n\n\n\n

V\u00e9rifier si le https est d\u00e9j\u00e0 forc\u00e9<\/h2>\n\n\n\n

Pour v\u00e9rifier si votre serveur force ou non l\u2019acc\u00e8s en https, saisissez l\u2019url de votre site dans la barre d'adresse du navigateur et ajoutez \u201c\/?<\/strong>\u201d :<\/p>\n\n\n\n

http:\/\/reskator.fr\/?<\/pre>\n\n\n\n
remplacez \"reskator.fr\" par le nom et l'extension de votre site.<\/em><\/p>\n\n\n\n
L\u2019ajout de \/?<\/strong> nous permet de contourner la fonctions d\u2019historique\/cache du navigateur. Celui-ci ayant trop souvent tendance \u00e0 \u201ccorriger\u201d de lui-m\u00eame la saisie avec ce qu\u2019il a en m\u00e9moire\u2026).<\/em><\/p><\/blockquote>\n\n\n\n
Si la page s\u2019affiche sans le cadenas, si l\u2019url n\u2019a pas \u00e9t\u00e9 remplac\u00e9e, c\u2019est donc la preuve que votre site est toujours accessible en non s\u00e9curis\u00e9. Il va falloir y rem\u00e9dier.<\/p>\n\n\n\n
Si la page s\u2019affiche en https (il y a le petit cadenas), cela signifie que le serveur a d\u00e9tect\u00e9 la tentative d\u2019acc\u00e8s non s\u00e9curis\u00e9 et l\u2019a corrig\u00e9e.
Vous n\u2019avez rien \u00e0 faire, vous pouvez interrompre votre lecture ici.<\/p>\n\n\n\n
Forcer le https<\/h2>\n\n\n\n
Vous \u00eates toujours l\u00e0 ? C\u2019est donc que vous voulez savoir comment forcer l\u2019acc\u00e8s https. Alors allons-y !<\/p>\n\n\n\n
Pour rem\u00e9dier au probl\u00e8me, nous devons acc\u00e9der au serveur via un logiciel FTP afin de modifier 2 fichiers sur votre h\u00e9bergement : assurez-vous de disposez d'un logiciel FTP<\/a>, et des identifiants de votre compte FTP
(ils vous ont \u00e9t\u00e9 fournis par votre h\u00e9bergeur).<\/p>\n\n\n\n
Si vous ne vous sentez pas de faire l\u2019intervention, je vous propose de la faire pour vous, en toute s\u00e9curit\u00e9, 
\u00bb pour 35 \u20ac<\/a>  \u00ab !<\/strong><\/p><\/blockquote>\n\n\n\n
Directive WordPress<\/h3>\n\n\n\n
Dans l\u2019absolu, cette directive sera redondante avec la mise en place des redirections https au niveau du serveur, mais elle ne co\u00fbte rien et s\u2019appliquera m\u00eame si le .htaccess \u00e9tait d\u00e9sactiv\u00e9 pour une raison ou une autre.<\/p>\n\n\n\n
Cette directive WordPress a pour fonction de forcer le https pour toute la partie administrative (back-office) et pour la page de connexion (login.php).<\/p>\n\n\n\n
Acc\u00e8s FTP<\/h3>\n\n\n\n
Connectez-vous en FTP \u00e0 votre h\u00e9bergement, recherchez le fichier wp-config.php situ\u00e9 \u00e0 la racine de votre site et ouvrez-le afin de l\u2019\u00e9diter.<\/p>\n\n\n\n
Vers la fin du fichier, rep\u00e9rez la ligne :<\/p>\n\n\n\n
\/* That's all, stop editing! Happy blogging. *\/<\/pre>\n\n\n\n
Comme nous y invite le texte (ici en anglais), nous allons ajouter notre directive AVANT<\/p>\n\n\n\n
\/* Force SSL for admin and login *\/ \ndefine( 'FORCE_SSL_ADMIN', true ); \n\/* That's all, stop editing! Happy blogging. *\/<\/pre>\n\n\n\n
Si vous n\u2019avez pas la ligne \/* That's all, stop editing! Happy blogging. *\/<\/code>,
ajoutez le define( 'FORCE_SSL_ADMIN', true ); AVANT<\/p>\n\n\n\n
if ( ! defined( 'ABSPATH' ) ) {\n    define( 'ABSPATH', __DIR__ . '\/' );\n}\nrequire_once( ABSPATH . 'wp-settings.php' );\n<\/pre>\n\n\n\n
Ce qui donnerait :<\/p>\n\n\n\n
\/* Force SSL for admin and login *\/\ndefine( 'FORCE_SSL_ADMIN', true );\n\nif ( ! defined( 'ABSPATH' ) ) {\n  define( 'ABSPATH', __DIR__ . '\/' );\n}\n\nrequired_once( ABSPATH . 'wp-settings.php' );\n<\/pre>\n\n\n\n
Enregistrez et fermez le fichier wp-config.php.<\/p>\n\n\n\n
Serveur Apache : fichier .htaccess<\/h3>\n\n\n\n
Nous nous int\u00e9ressons ici qu\u2019aux h\u00e9bergements utilisant un serveur Apache<\/strong> (actuellement la plus grande majorit\u00e9 des installations).
Si votre h\u00e9bergement utilise un serveur nginx<\/strong>, voyez plus bas<\/a>.<\/p>\n\n\n\n
Attention :<\/strong> il n\u2019y a pas de m\u00e9thode universelle, cela d\u00e9pend de votre h\u00e9bergeur. Je vous propose ci-dessous quelques m\u00e9thodes d\u2019h\u00e9bergeurs avec qui j\u2019ai eu l\u2019occasion de travailler. Si vous doutez ou que votre h\u00e9bergeur n\u2019est pas cit\u00e9, reportez-vous \u00e0 la FAQ de votre h\u00e9bergeur.<\/p>\n\n\n\n
Acc\u00e8s FTP<\/h4>\n\n\n\n
Connectez-vous en FTP \u00e0 votre h\u00e9bergement et recherchez le fichier .htaccess<\/strong> situ\u00e9 \u00e0 la racine de votre site.
Avant de faire quoi que ce soit, dupliquez ce fichier et nommez-le .htaccess-bck afin d\u2019avoir une sauvegarde.<\/strong>
Ceci fait, ouvrez le fichier .htaccess afin de l'\u00e9diter.<\/p>\n\n\n\n
Rep\u00e9rez le bloc d'instructions ajout\u00e9 par WordPress :<\/p>\n\n\n\n
# BEGIN WordPress\n<IfModule mod_rewrite.c>\nRewriteEngine On\nRewriteBase \/\nRewriteRule ^index\\.php$ - [L]\nRewriteCond %{REQUEST_FILENAME} !-f\nRewriteCond %{REQUEST_FILENAME} !-d\nRewriteRule . \/index.php [L]\n<\/IfModule>\n# END WordPress<\/pre>\n\n\n\n
Nous devons ajouter les instructions concernant le https AVANT<\/strong> le bloc WordPress.<\/p>\n\n\n\n
Dans les propositions ci-dessous, rep\u00e9rez celle qui concerne votre h\u00e9bergeur, copiez-la et collez-la une ligne avant le # BEGIN WordPress afin d\u2019obtenir quelque chose comme ceci :<\/p>\n\n\n\n
# Begin Force HTTPS\n<IfModule mod_rewrite.c>\nRewriteEngine On\nRewriteCond %{HTTP:X-Forwarded-Proto} !https\nRewriteRule (.*) https:\/\/%{HTTP_HOST}\/$1 [R=301,L]\n<\/IfModule>\n# End Force HTTPS\n\n# BEGIN WordPress\n<IfModule mod_rewrite.c>\nRewriteEngine On\nRewriteBase \/ RewriteRule ^index\\.php$ - [L]\nRewriteCond %{REQUEST_FILENAME} !-f\nRewriteCond %{REQUEST_FILENAME} !-d\nRewriteRule . \/index.php [L]\n<\/IfModule>\n# END WordPress<\/pre>\n\n\n\n
Ne recopiez pas le code ci-dessus, il s\u2019agit d'un exemple : les lignes color\u00e9es sont \u00e0 adapter en fonction de votre h\u00e9bergeur, voir ci-apr\u00e8s.<\/p>\n\n\n\n
Apr\u00e8s avoir enregistr\u00e9 le fichier .htaccess, testez votre site.
Faites une tentatives d\u2019acc\u00e8s non s\u00e9curis\u00e9e et v\u00e9rifiez qu'elle est redirig\u00e9e en https. V\u00e9rifiez ensuite que le site se comporte normalement.<\/p>\n\n\n\n
En cas de probl\u00e8me, v\u00e9rifiez que vous avez correctement copi\u00e9 le code correspondant \u00e0 votre h\u00e9bergeur, qu\u2019il n\u2019y a pas de caract\u00e8res parasites, etc.
Si le probl\u00e8me persiste, supprimez le code que vous venez d'ajouter et enregistrez. V\u00e9rifiez que le site fonctionne.
Si le site ne fonctionne toujours pas, supprimez le fichier .htaccess et r\u00e9tablissez le fichier pr\u00e9c\u00e9demment sauvegard\u00e9 : renommez le fichier .htaccess-bck en .htaccess afin de revenir \u00e0 la configuration initiale.<\/p>\n\n\n\n
Si vous ne vous sentez pas de faire l\u2019intervention, je vous propose de la faire pour vous, en toute s\u00e9curit\u00e9, 
\u00bb pour 35 \u20ac<\/a>  \u00ab !<\/strong><\/p><\/blockquote>\n\n\n\n
Infomaniak<\/h5>\n\n\n\n
Si vous utilisez Local by Flywheel en serveur Apache, vous pouvez \u00e9galement utiliser ce code.<\/em><\/p>\n\n\n\n
Copiez\/collez le code ci-dessous dans le fichier .htaccess, enregistrez et fermez, puis testez le fonctionnement du site.<\/p>\n\n\n\n
# Begin Force HTTPS\n<IfModule mod_rewrite.c>\nRewriteEngine On\nRewriteCond %{HTTP:X-Forwarded-Proto} !https\nRewriteRule (.*) https:\/\/%{HTTP_HOST}\/$1 [R=301,L]\n<\/IfModule>\n# End Force HTTPS<\/pre>\n\n\n\n
Si une erreur de boucle survient, remplacez la ligne :<\/p>\n\n\n\n
RewriteCond %{HTTP:X-Forwarded-Proto} !https<\/pre>\n\n\n\n
par<\/p>\n\n\n\n
RewriteCond %{HTTPS} off<\/pre>\n\n\n\n
o2Switch<\/h5>\n\n\n\n
Copiez\/collez le code ci-dessous dans le fichier .htaccess, enregistrez et fermez, puis testez le fonctionnement du site.<\/p>\n\n\n\n
# Begin Force HTTPS\n<IfModule mod_rewrite.c>\nRewriteEngine On\nRewriteCond %{HTTP:X-Forwarded-Proto} !https\nRewriteCond %{HTTPS} !on\nRewriteRule ^(.*) https:\/\/%{HTTP_HOST}%{REQUEST_URI} [L,R=301]\n<\/IfModule>\n# End Force HTTPS<\/pre>\n\n\n\n
1&1, BlueHost, DreamHost, Godaddy\u2026<\/h5>\n\n\n\n
Si vous utilisez LAMP, vous pouvez \u00e9galement utiliser cette m\u00e9thode.<\/em><\/p>\n\n\n\n
Copiez\/collez le code ci-dessous dans le fichier .htaccess, enregistrez et fermez, puis testez le fonctionnement du site.<\/p>\n\n\n\n
# Begin Force HTTPS\n<IfModule mod_rewrite.c>\nRewriteEngine On\nRewriteCond %{HTTPS} !=On\nRewriteRule ^ https:\/\/%{HTTP_HOST}%{REQUEST_URI} [R=301,L]\n<\/IfModule>\n# End Force HTTPS<\/pre>\n\n\n\n
Ionos (selon le commentaire de Bos Informatique)<\/h5>\n\n\n\n
Copiez\/collez le code ci-dessous dans le fichier .htaccess, remplacez VOTRE.NOM.DE.DOMAINE par votre site internet, enregistrez et fermez, puis testez le fonctionnement du site.<\/p>\n\n\n\n
# Begin Force HTTPS\n<IfModule mod_rewrite.c>\nRewriteEngine On\nRewriteCond %{SERVER_PORT} 80\nRewriteRule ^(.*)$ https:\/\/VOTRE.NOM.DE.DOMAINE\/$1 [R,L]\n<\/IfModule>\n# End Force HTTPS<\/pre>\n\n\n\n
OVH<\/h5>\n\n\n\n
Copiez\/collez le code ci-dessous dans le fichier .htaccess, enregistrez et fermez, puis testez le fonctionnement du site.<\/p>\n\n\n\n
# Begin Force HTTPS\n<IfModule mod_rewrite.c>\nRewriteEngine On\nRewriteCond %{HTTPS} !=on\nRewriteRule ^\/?(.*) https:\/\/%{SERVER_NAME}\/$1 [R,L]\n<\/IfModule>\n# End Force HTTPS<\/pre>\n\n\n\n
Alternative<\/h5>\n\n\n\n
Rien ne fonctionne ? Essayez avec les instructions ci-dessous.
Copiez\/collez le code ci-dessous dans le fichier .htaccess, enregistrez et fermez, puis testez le fonctionnement du site.
Si la redirection https ne s'effectue toujours pas, r\u00e9tablissez la configuration initiale, puis consultez la FAQ de votre h\u00e9bergeur.<\/p>\n\n\n\n
# Begin Force HTTPS\n<IfModule mod_rewrite.c>\nRewriteCond %{ENV:HTTPS} !=On\nRewriteRule ^(.*)$ https:\/\/%{HTTP_HOST}%{REQUEST_URI} [R=301,L]\n<\/IfModule>\n# End Force HTTPS<\/pre>\n\n\n\n
Serveur nginx<\/h2>\n\n\n\n
Pour un h\u00e9bergement sous serveur nginx, modifiez la configuration en ajoutant une directive server selon l'exemple ci-dessous.
Directive que vous placez \u00e0 l'int\u00e9rieur de la section html { \u2026 }.
Bien s\u00fbr, remplacez les exemple.com par votre nom de domaine.<\/p>\n\n\n\n
html {\n\tserver {\n\t\tlisten 80 default_server;\n\t\tlisten [::]:80 default_server;\n\t\tserver_name exemple.com www.exemple.com;\n\t\treturn 301 https:\/\/$server_name$request_uri;\n\t}\n\t# autres directives existantes dans votre config...\n}<\/pre>\n\n\n\n
Si vous ne vous sentez pas de faire l\u2019intervention, je vous propose de la faire pour vous, en toute s\u00e9curit\u00e9, 
\u00bb pour 35 \u20ac<\/a>  \u00ab !<\/strong><\/p><\/blockquote>\n\n\n\n
\n\n\n\n
<\/p>\n","protected":false},"excerpt":{"rendered":"
Dans un article pr\u00e9c\u00e9dent, je vous ai montr\u00e9 comment basculer votre site https sans avoir recours \u00e0 un plugin suppl\u00e9mentaire.
\nSuite \u00e0 ce basculement votre site est d\u00e9sormais accessible par d\u00e9faut en https.
\nToutefois, rien n'emp\u00eache un utilisateur d'y acc\u00e9der en non s\u00e9curis\u00e9. Pour cela, il lui suffit de saisir explicitement l'adresse de votre site en omettant le \"s\" : http:\/\/votre-site.com au lieu de https:\/\/votre-site.com.
\nVoyons comment forcer les connexions en https et d\u00e9jouer la tentative de cet utilisateur.<\/p>\n","protected":false},"author":3,"featured_media":45469,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[10],"tags":[19,20,21,22],"class_list":["post-2763","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-wordpress-wordpress","tag-htaccess","tag-apache","tag-https","tag-nginx"],"featured_image_urls_v2":{"full":["https:\/\/dev9.reskator.fr\/cms\/wp-content\/uploads\/2019\/02\/https-web-page-internet-security-3344700.jpg",1280,512,false],"thumbnail":["https:\/\/dev9.reskator.fr\/cms\/wp-content\/uploads\/2019\/02\/https-web-page-internet-security-3344700-150x150.jpg",150,150,true],"medium":["https:\/\/dev9.reskator.fr\/cms\/wp-content\/uploads\/2019\/02\/https-web-page-internet-security-3344700-300x120.jpg",300,120,true],"medium_large":["https:\/\/dev9.reskator.fr\/cms\/wp-content\/uploads\/2019\/02\/https-web-page-internet-security-3344700-768x307.jpg",768,307,true],"large":["https:\/\/dev9.reskator.fr\/cms\/wp-content\/uploads\/2019\/02\/https-web-page-internet-security-3344700-1024x410.jpg",1024,410,true],"1536x1536":["https:\/\/dev9.reskator.fr\/cms\/wp-content\/uploads\/2019\/02\/https-web-page-internet-security-3344700.jpg",1280,512,false],"2048x2048":["https:\/\/dev9.reskator.fr\/cms\/wp-content\/uploads\/2019\/02\/https-web-page-internet-security-3344700.jpg",1280,512,false],"acf-gallery":["https:\/\/dev9.reskator.fr\/cms\/wp-content\/uploads\/2019\/02\/https-web-page-internet-security-3344700-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"
Dans un article pr\u00e9c\u00e9dent, je vous ai montr\u00e9 comment basculer votre site https sans avoir recours \u00e0 un plugin suppl\u00e9mentaire.
\nSuite \u00e0 ce basculement votre site est d\u00e9sormais accessible par d\u00e9faut en https.
\nToutefois, rien n'emp\u00eache un utilisateur d'y acc\u00e9der en non s\u00e9curis\u00e9. Pour cela, il lui suffit de saisir explicitement l'adresse de votre site en omettant le \"s\" : http:\/\/votre-site.com au lieu de https:\/\/votre-site.com.
\nVoyons comment forcer les connexions en https et d\u00e9jouer la tentative de cet utilisateur.<\/p>\n","category_list_v2":"WordPress<\/a>","author_info_v2":{"name":"Philippe Reskator","url":"https:\/\/dev9.reskator.fr\/cms\/author\/philippe\/"},"comments_num_v2":"1 commentaire","_links":{"self":[{"href":"https:\/\/dev9.reskator.fr\/cms\/wp-json\/wp\/v2\/posts\/2763","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/dev9.reskator.fr\/cms\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/dev9.reskator.fr\/cms\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/dev9.reskator.fr\/cms\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/dev9.reskator.fr\/cms\/wp-json\/wp\/v2\/comments?post=2763"}],"version-history":[{"count":0,"href":"https:\/\/dev9.reskator.fr\/cms\/wp-json\/wp\/v2\/posts\/2763\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/dev9.reskator.fr\/cms\/wp-json\/wp\/v2\/media\/45469"}],"wp:attachment":[{"href":"https:\/\/dev9.reskator.fr\/cms\/wp-json\/wp\/v2\/media?parent=2763"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/dev9.reskator.fr\/cms\/wp-json\/wp\/v2\/categories?post=2763"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/dev9.reskator.fr\/cms\/wp-json\/wp\/v2\/tags?post=2763"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}