Vous vous demandez peut-être pourquoi aurions-nous besoin d'implémenter WordPress SSL / TLS ou d'activer WordPress sur HTTPS? Avant de commencer là-dessus, nous devons donner un peu d'histoire.
Avec 3.9 milliards d'utilisateurs utilisant Internet (et de plus en plus chaque jour) et 1.7 milliard de sites Web sur Internet, nous pouvons certainement dire qu'Internet est devenu notre deuxième maison - ce que l'on appelait autrefois «aller en ligne» n'est plus vraiment exact. Nous sommes toujours connectés, toujours actifs. Facebook est passé à plus de 2.5 milliards d'utilisateurs actifs par mois. Nous parlions autrefois de «virtuel», mais Internet est devenu aussi réel que réel peut l'être, faisant partie de notre vie quotidienne.
Ces statistiques sont tout simplement accablantes! Et il n'y a absolument aucun signe de ralentissement. À mesure que les pays émergents auront accès à un Internet bon marché, les chiffres continueront de croître dans un avenir prévisible.
WordPress a certainement grandi depuis ses modestes débuts en tant que blog. Et lorsque vous avez autant de personnes qui visitent l'un de vos sites WordPress, il devient un devoir de fournir une plate-forme hautement sécurisée qui ne compromet pas leur sécurité.
Dans l'article d'aujourd'hui, qui fait partie de notre série de didacticiels WordPress informatifs (que vous pouvez voir dans notre menu), nous vous guiderons ci-dessous sur les différentes façons dont vous pouvez implémenter WordPress SSL / TLS ou WordPress HTTPS sur votre site Web.
Note latérale: une partie de la lecture et du travail impliqués dans cet article est hautement technique et nécessite des connaissances du développeur. Si vous souhaitez embaucher un développeur WordPress Consultez l'article lié pour en savoir plus sur tout ce que vous devez prendre en compte avant d'embaucher un développeur.
Besoin d'aide pour sécuriser votre site Web? Essayez ces concerts abordables les mieux notés sur Fiverr!
Cliquez ici pour trouver des experts sur mise en place de certificats sécurisés WordPress.
1. Tout d'abord. Est-ce SSL ou TLS? Ou HTTPS?
Vraiment et vraiment, aujourd'hui, cela devrait être TLS (qui est un acronyme pour Transport Layer Security).
En effet, TLS est la dernière version des certificats sécurisés à utiliser. Cependant, à l'origine, le nom du transport de sécurité utilisé était SSL (Secure Sockets Layer).
Alors qu'en réalité, TLS est utilisé aujourd'hui, la plupart des gens se réfèrent aux certificats sécurisés comme des certificats SSL. À proprement parler, nous devrions les appeler uniquement des certificats sécurisés.
HTTPS signifie HTTP livré sur Scommunication sûre. HTTPS est aujourd'hui implémenté via l'utilisation de certificats sécurisés via TLS.
2. Rôle des certificats sécurisés et comment ils s'intègrent à la sécurité WordPress
SSL est l'acronyme qui signifie Secure Sockets Layer et est une technologie utilisée pour effectuer des communications sécurisées sur un réseau.
Cette forme de transport sécurisé est obtenue en créant un lien chiffré entre une machine cliente et un serveur. Dans la plupart des cas, ce serait un serveur Web et un navigateur client sur lesquels un site Web sera affiché; ou dans le cas de clients de messagerie tels que MS Outlook, une connexion est établie avec le serveur de messagerie.
Le certificat sécurisé est généralement émis par une autorité de certification telle que Comodo SSL. Cela signifie qu'une autorité centrale de confiance "se porte garante" du serveur. Essentiellement, lorsque le serveur Web crypte un message, il le « signe » pour vérifier son authenticité avec un certificat de l'autorité.
Le navigateur vérifie ensuite la signature et vérifie que la signature provient d'une autorité «de confiance». Si le certificat est approuvé, une communication sécurisée est établie entre le client et le serveur.
Le certificat est ensuite utilisé pour décrypter le message et lire son contenu.
Cela permet la possibilité d'avoir une communication sécurisée, qui ne peut pas être lue par des tiers. Cela donne le feu vert aux utilisateurs pour qu'ils aient confiance que les données confidentielles qu'ils envoient sur Internet, telles que les identifiants bancaires, les identifiants de connexion, les numéros de sécurité sociale, les données de commerce électronique, les détails de carte de crédit et autres informations confidentielles arriveront en toute sécurité sur le site Web où ils se trouveront. traité.
Car en réalité, le problème de la "confiance" ne se situe pas au niveau du site Web, mais de la communication entre le site et le client.
Avant cette technologie, ou lorsqu'un site Web utilise HTTP uniquement pour sa communication pas si avancée, les données étaient envoyées sous forme de texte brut. Cela l'a fait vulnérable aux attaques malveillantes - qui ont pu lire les données, et bien sûr, les utiliser à des fins malveillantes. Par exemple, les identifiants de connexion pourraient être volés pour prendre le contrôle d'un site Web, ou les données de carte de crédit pourraient être lues et utilisées pour acheter des choses de manière frauduleuse.
3. Pourquoi devriez-vous servir votre site Web en toute sécurité?
Les propriétaires de sites Web qui n'ont pas implémenté HTTPS sont susceptibles de «fouiner».
Le serveur Web étant incapable de crypter le trafic envoyé au navigateur, TOUTES les communications de données, y compris les données confidentielles, peuvent être lues très facilement par les pirates. Essentiellement, toutes les données passant entre le client et le serveur Web peuvent être lues. Si vous vous connectez à un site Web, vos informations d'identification peuvent être lues. Si vous transmettez les détails de votre carte de crédit, ceux-ci peuvent être volés.
Si vous envoyez des données confidentielles, cela peut être lu si vous n'implémentez pas la sécurité du site Web via des certificats sécurisés.
Si vous n'implémentez pas le cryptage complet, votre site sera sensible à ce que l'on appelle une attaque de l'homme au milieu. En savoir plus à ce sujet sur Wikipédia. Des outils tels que WireShark (outil gratuit et disponible pour téléchargement et utilisation par n'importe qui), il est très très facile de lire le trafic sur Internet, et les pirates mettent en place des infrastructures complètes pour lire des données non chiffrées.
Ci-dessous, une capture d'écran de Wireshark lisant un mot de passe envoyé via HTTP:
Les utilisateurs malveillants disposent d'outils tels que ceux ci-dessus qui sont capables de rechercher des modèles spécifiques, tels que les numéros de carte de crédit, les détails de sécurité sociale, les mots de passe et d'autres données qui leur sont utiles.
En revanche, si vous implémentez HTTPS sur WordPress, vous avez mis en place un système de cryptage qui offre plusieurs avantages de sécurité tels que l'intégrité, l'identité et surtout la confidentialité.
Il permet uniquement au serveur et au navigateur de décrypter le texte envoyé sur le canal de communication. Il affirme si les données sont intactes et n'ont pas été modifiées de manière à garantir l'intégrité des données (c'est-à-dire qu'elles n'ont pas été altérées).
4. HTTPS et SEO
Les sites Web qui implémentent des HTTP obtiennent un gain de classement dans les moteurs de recherche.
Google dans un blog intitulé "HTTPS comme signal de classement". a annoncé qu'il donnerait un avantage aux sites Web qui utilisent cette technologie sécurisée.
Cela rend d'autant plus important sa mise en œuvre sur votre site Web. Sinon, votre site Web est désavantagé par rapport aux concurrents qui ont mis en œuvre HTTPS.
Google souhaite que la sécurité reçoive la plus grande attention et la plus grande priorité. L'entreprise a pris la responsabilité de s'assurer que la sécurité totale est utilisée dans l'ensemble de l'industrie. Cela garantit que les internautes utilisant le moteur de recherche Google et ses autres services bénéficieront de communications sécurisées entre tous les services.
Ils ont également mis au point le concept de «HTTPS partout» pour favoriser un sentiment de sécurité Internet accrue.
Cependant, cela ne leur suffisait pas. Puisqu'ils ont tellement d'influence, ils ont ajouté SSL comme signal de classement pour le référencement et les classements des moteurs de recherche.
Si votre site Web implémente HTTPS, il aura un avantage sur les sites Web qui ne le mettent pas en œuvre (tous les autres signaux de classement étant égaux).
En savoir plus: Liste de contrôle de référencement WordPress sur la page: un guide en 19 étapes pour augmenter le trafic.
La migration de HTTP vers HTTPS nuira-t-elle à mon classement?
Beaucoup de gens se demandent si le passage de HTTP à HTTPS nuira à leur classement organique actuel. Étant donné que les versions HTTP et HTTPS d'un site Web sont considérées comme différentes, cela signifie-t-il que tous les backlinks vers la version http: // du site sont perdus?
C'est une préoccupation très valable.
Vous avez beaucoup travaillé pour obtenir de précieux backlinks, et les perdre signifierait que vous gagneriez un petit coup de pouce au classement, mais perdriez le plus grand signal de classement provenant des liens.
Cependant, comme vous le verrez plus loin, nous effectuerons une redirection 301. Cela signifie que le serveur qui vivait ici a été définitivement déplacé vers un nouvel emplacement.
Google comprend qu'une redirection 301 signifie "Bonjour Google - c'est toujours moi, mais je suis maintenant passé à une nouvelle adresse de façon permanente". Cela signifie que vous ne perdrez aucun de votre trafic, backlinks ou jus de liens.
Vous voudrez peut-être en savoir un peu plus sur Redirection 301 sur le site Web de Moz. Vous constaterez qu'ils feront nos recommandations exactes.
La seule chose que notre site a perdue lors de la redirection vers l'URL sécurisée de notre site était notre Comptes de partage social.
En effet, Facebook et la plupart des autres compteurs de partage traitent https://www.collectiveray.com et https://www.collectiveray.com comme deux URL complètement différentes. C'est quelque chose avec lequel vous devrez probablement vivre. En réalité, plus tôt vous le faites, plus vite vous commencez à acquérir de nouveaux comptes d'actions sur votre adresse sécurisée.
Nous l'avons fait sur plusieurs sites en plus CollectiveRay, et il n'y a jamais eu d'effet négatif sur les classements ou le trafic. Tant que vous effectuez une configuration correcte, vous ne devriez pas vous en préoccuper.
MISE À JOUR: Récemment, Google a confirmé que 301 redirections de HTTP vers HTTPS ne perdent absolument aucun jus de lien. En effet, bien sûr, il n'a pas de sens d'obtenir une pénalité pour le passage à quelque chose que Google préconise.
5. Que dois-je faire d'autre après avoir activé SSL?
Si vous voulez vous assurer d'envoyer un message fort à Google indiquant que votre site a réellement déménagé, le moyen idéal est de le faire via la console de recherche Google.
Ajoutez simplement votre site comme s'il s'agissait d'un nouveau site dans la console de recherche Google.
Bien sûr, cela peut signifier que vous perdez certaines choses telles que les données structurées et que vous devrez soumettre à nouveau vos sitemaps. Aucunless, nous pensons qu'il s'agit d'un indicateur très fort pour Google qu'il s'agit d'une migration valide et pleinement approuvée.
6. Gagner la confiance avec la sécurité
Comme vous le savez probablement déjà, certains sites Web afficheront une barre verte dans le navigateur. Cela signifie que le site Web a mis en place une communication sécurisée.
Vous pouvez voir un exemple très clair de cela sur le site Web de Paypal.
Comment pouvez-vous vérifier si votre site Web est protégé ou non?
Pour vérifier si un site Web est protégé par SSL ou non, vous pouvez vérifier si le préfixe https: // apparaît devant l'URL au lieu du http: // normal.
En dehors de cela, vous pouvez également trouver un cadenas présent dans le champ d'adresse avant le début du site Web.
L'image ci-dessus indique qu'un site Web a un certificat SSL autorisé, cependant, l'apparence du cadenas varie d'un navigateur à l'autre. Les sites Web qui ont acheté un certificat de validation étendue afficheront une barre d'adresse entièrement verte ou le nom de l'entreprise apparaîtra avant l'URL.
Les certificats de validation étendue sont assez coûteux à acheter et à mettre en œuvre car ils nécessitent un certain nombre de vérifications physiques pour confirmer que le serveur Web appartient réellement à l'entreprise qui l'implémente.
Pour ceux qui utilisent Safari, ils verront qu'une police verte est utilisée pour indiquer que l'entreprise utilise un certificat EV.
L'exemple suivant est un certificat EV utilisé pour le navigateur Safari. Ici, la barre d'adresse n'a pas de fond vert comme les autres navigateurs. Au lieu de cela, ils ont choisi d'utiliser une police verte.
Les certificats de validation étendue offrent une sécurité étendue qui ressort du nom.
Un certificat EV est délivré à une entreprise qui a franchi toutes les étapes du processus de validation. Des formalités légales telles que la preuve de leur adresse physique et l'accès à des fichiers spécifiques sur un serveur sont nécessaires pour compléter l'autorisation légale. Il existe également de nombreuses autres validations qu'une entreprise devrait subir pour obtenir un certificat de validation étendue valide, mais cela dépasse le cadre de cet article.
Vous pouvez en savoir plus sur Certificats de validation étendus ici.
En implémentant WordPress HTTPS, une société tierce confirme et vérifie essentiellement que le serveur Web est bien celui qu'il prétend être. Cette agence est appelée l'émetteur du certificat - également appelée autorité de certification de confiance.
Que se passe-t-il lorsque les certificats sécurisés cessent de fonctionner
En utilisant les indicateurs ci-dessus, on peut savoir si leurs certificats sécurisés fonctionnent ou non.
De même, les utilisateurs peuvent rapidement comprendre que le trafic d'un site Web n'est pas chiffré ou que leur certificat de sécurité a expiré. Lorsque le cadenas apparaît en rouge et qu'une ligne rouge apparaît, cela indique l'une de ces choses:
- le site Web utilise un certificat auto-signé, c'est-à-dire émis par le même serveur Web. Cela signifie que le certificat n'est pas approuvé, car le certificat n'a pas été émis par une autorité de confiance
- la date d'expiration est passée et le certificat n'est plus valide
- le certificat devient non approuvé pour toute autre raison et est marqué comme invalidé
Dans l'image ci-dessus, vous pouvez voir l'avertissement avant de visiter un site Web lorsque le navigateur reconnaît que le certificat sécurisé utilisé par un site Web sur lequel vous vous trouvez a expiré.
La plupart des navigateurs modernes ont cette capacité d'avertir un certificat invalide (donc un transfert de données non sécurisé) avant qu'un utilisateur ne puisse accéder à un site Web non sécurisé.
Après l'expiration du certificat, tout ce que vous avez à faire est de renouveler le certificat à partir du lieu d'autorité (d'où le certificat a été obtenu à l'origine). De plus, il est suggéré que les certificats ne soient pas du tout autorisés à expirer. Une telle défaillance crée une mauvaise impression d'un site Web sur les visiteurs.
Un site Web est censé avoir un certificat auto-signé si le certificat est créé par le même serveur Web, au lieu d'être émis par une autorité de certification de confiance. Ce certificat est PAS DE CONFIANCE.
Les navigateurs ne font confiance qu'aux certificats SSL délivrés par des autorités de certification de confiance. Dans tous les autres cas, ils affichent un avertissement pour les sites Web qui s'exécutent sur un certificat auto-signé.
Liste de contrôle de la migration HTTP vers HTTPS
Maintenant que nous comprenons parfaitement pourquoi WordPress HTTPS profitera à notre site, nous vous expliquerons en détail ci-dessous comment l'implémenter sur votre site Web. Nous avons également une liste de contrôle de migration HTTP vers HTTPS que nous listons ci-dessous pour nous assurer que vous avez couvert toutes les étapes liées à la migration vers HTTPS.
Avant de lancer WordPress en toute sécurité
1.1. | Paramètre de certification SSL | Obtenez, configurez et testez le certificat TLS à l'aide de SHA-2 pour SSL | Server |
1.2. | Inscription à la console de recherche Google | Enregistrez les deux domaines http et https dans Google Search Console, ainsi que vos versions www et non www. Si vous aviez également enregistré des sous-domaines ou sous-répertoires individuels dans la Google Search Console, répliquez cette inscription et cette configuration avec leur version https. | Google Search Console |
1.3. | Suivi des classements | Commencez à surveiller les classements du site en parallèle avec le domaine https | Logiciel de suivi des classements |
1.4. | Identification des principales pages et requêtes du site | Identifiez les pages principales - et les requêtes associées - en attirant la visibilité de la recherche organique et le trafic à prioriser lors de la validation et du suivi des performances du site | Google Search Console et Google Analytics |
1.5. | Exploration actuelle du site | Explorez le site http pour identifier et corriger les liens internes rompus et la structure Web actuelle avant de le déplacer. | Environnement de rassemblement |
1.6. | Nouveau paramètre Web HTTPS avec liens internes mis à jour | Définissez la nouvelle version Web pour apporter les modifications, tester et mettre à jour les liens sur un environnement de test, pour pointer vers les URL (pages et ressources telles que images, js, pdfs, etc.) avec HTTPS | Environnement de rassemblement |
1.7. | Nouvelle canonisation Web HTTPS | Mettez à jour les balises canoniques pour inclure des URL absolues à l'aide de https dans l'environnement de la scène | Environnement de rassemblement |
1.8. | Nouvelle canonisation Web HTTPS | Vérifiez dans l'environnement de préparation que tous les comportements de réécriture et de redirection déjà existants (non-www vs www; slash vs non-slash, etc.) sont également implémentés dans la version Web sécurisée car ils fonctionnaient auparavant sur http | Environnement de rassemblement |
1.9. | Redirige la préparation | Préparez et testez les règles de réécriture qui redirigeront 301 de toutes les URL existantes identifiées (pages, images, js, etc.) sur le domaine http vers le domaine https | Server |
1.10. | Nouvelle génération de sitemap XML | Générez un nouveau plan de site XML avec les URL avec la sécurité implémentée à télécharger dans le profil HTTP de la console de recherche Google une fois le site déplacé | Générateur de sitemap XML |
1.11. | Préparation des robots.txt | Préparez le fichier robots.txt à télécharger sur la version du domaine https lorsque le site est lancé en répliquant les directives existantes pour http, mais en pointant vers les URL https si nécessaire | Robots.txt |
1.12. | Préparez les modifications sur les publicités, les e-mails ou les campagnes d'affiliation pour commencer à pointer vers les versions des URL https une fois la migration terminée | Plateformes de campagnes | Diverses plateformes |
1.13. | Désavouer la configuration | Vérifiez s'il y a eu des demandes de désaveu soumises dans le passé qui devront être resoumises pour les versions d'URL sécurisées dans son propre profil Google Search Console | Google Search Console |
1.14. | Configuration de la géolocalisation | Si vous migrez un gTLD que vous ciblez géographiquement via la Google Search Console (ainsi que ses sous-domaines ou sous-répertoires, au cas où vous les géolisez individuellement), assurez-vous de les cibler à nouveau avec la version de domaine sécurisé. | Google Search Console |
1.15. | Configuration des paramètres d'URL | Si les paramètres d'URL sont gérés via la console de recherche Google, la configuration existante doit être répliquée dans le profil de site sécurisé | Google Search Console |
1.16. | Préparation de la configuration CDN | Si un CDN est utilisé, vérifiez qu'ils seront en mesure de servir correctement la version de domaine sécurisé du site et de gérer SSL une fois la migration terminée | Fournisseur CDN |
1.17. | Préparation des annonces et des extensions tierces | Vérifiez que tout code d'annonce diffusé, extensions de partie 3D ou plugins sociaux utilisés sur le site fonctionnera correctement lorsqu'il sera déplacé vers https. | Plates-formes d'annonces et d'extensions |
1.18. | Préparation de la configuration Web Analytics | Assurez-vous que la configuration Web Analytics existante surveillera également le trafic du domaine sécurisé | Plateforme d'analyse Web |
Lors de la migration réelle vers un site Web sécurisé
2.1. | Lancement du site HTTPS | Publier la version validée du site https en direct | Environnement de production |
2.2. | Nouvelle version HTTPS Validation de la structure Web | Vérifiez que la structure de l'URL sur la version du site sécurisé est la même que celle du HTTP | Environnement de production |
2.3. | Nouvelle liaison interne de version sécurisée | Vérifiez que les liens du site pointent efficacement vers ses URL HTTPS | Environnement de production |
2.4. | Nouvelle canonisation de la version HTTPS | Vérifiez que les balises canoniques sur les pages pointent vers ses URL HTTPS | Environnement de production |
2.5. | Nouvelle canonisation de la version HTTPS | Implémentez les réécritures et les redirections de www vs non-www, slash vs sans slash, etc. dans la nouvelle version Web sécurisée | Environnement de production |
2.6. | Implémentation de la redirection HTTP vers HTTPS | Implémentez les redirections 301 à partir de chaque URL du site de sa version HTTP à HTTPS | Environnement de production |
2.7. | Configuration de l'analyse Web | Annotez la date de migration dans votre plateforme Web Analytics et vérifiez que la configuration est définie pour suivre la version Web sécurisée | Plateforme d'analyse Web |
2.8. | Validation de la configuration du serveur SSL | Vérifiez la configuration SSL de votre serveur Web. Vous pouvez utiliser des services comme https://www.ssllabs.com/ssltest/ | Environnement de production, test SSL |
2.9. | Mise à jour Robots.txt | Actualisez le paramètre robots.txt dans le domaine https avec les modifications appropriées | Robots.txt |
Après le lancement de HTTPS
3.1. | Validation de l'exploration HTTPS | Explorez le site pour vérifier que les URL sécurisées sont celles qui sont accessibles, liées et servies sans erreurs, non-indexations erronées, canonisations et redirections | Environnement de production |
3.2. | Validation des redirections du nouveau site HTTPS | Vérifiez que les règles de redirection de http vs https, www vs non-www & slash vs non-slash sont correctement implémentées | Environnement de production |
3.3. | Publication et soumission du plan de site XML | Importez et vérifiez le plan de site XML généré avec les versions d'URL sécurisées dans le profil https Google Search Console | Google Search Console |
3.4. | Mise à jour officielle des liens externes | Mettre à jour les liens externes officiels pointant vers le site pour accéder à la version sécurisée (sites partenaires de profils de réseaux sociaux, etc.) | Présence officielle sur les plateformes externes |
3.5. | Validation des annonces et des extensions tierces | Vérifiez que tous les plugins tels que les boutons sociaux, les publicités et le code tiers fonctionnent correctement dans les versions d'URL sécurisées. Vous pouvez analyser votre site Web pour rechercher du contenu non sécurisé avec https://www.jitbit.com/sslcheck/ | Plates-formes d'annonces et d'extensions, vérification SSL |
3.6. | Exécution de la mise à jour des campagnes | Mettre en œuvre les modifications pertinentes concernant les publicités, les e-mails et les campagnes d'affiliation pour se référer correctement à la version Web HTTPS | Plateformes de campagnes |
3.7. | Surveillance de l'exploration et de l'indexation | Surveillez l'indexation, la visibilité et les erreurs des versions de site HTTP et HTTPS | Google Search Console |
3.8. | Classements et surveillance du trafic | Surveillez à la fois le trafic des versions de site HTTP et HTTPS et l'activité des classements | Plateformes d'analyse Web et de suivi des classements |
3.9. | Validation de la configuration de Robots.txt | Vérifiez le paramètre robots.txt dans le domaine sécurisé pour vous assurer que la configuration a été correctement mise à jour | Robots.txt |
Cette liste de contrôle de migration HTTP vers HTTPS a été aimablement créée et partagée avec le groupe Facebook Advanced WP.
7. Comment pouvez-vous ajouter de la sécurité à votre site Web WordPress?
Passons à l'essentiel et mettons la main à la pâte. Il existe deux façons de configurer WordPress SSL:
- Configurer SSL manuellement sur votre site Web WordPress
- Utilisation du plugin WordPress HTTPS
Comment acquérir un certificat sécurisé
Tout d'abord, vous devrez acquérir en quelque sorte un certificat SSL.
Il existe différentes façons de le faire, mais le moyen le plus simple de le faire est via votre serveur d'hébergement.
À l'hébergement InMotion, vous pouvez acheter le certificat et tout ce dont vous avez besoin directement via la console du panneau de gestion de compte (AMP). La bonne chose est qu'ils vous soutiendront très bien si vous ne voulez pas vous salir les mains.
Inclus dans le prix de 99 $ / an, sera le prix de l'IP dédiée requise. Des frais uniques de 25 $ sont facturés car le certificat doit être installé sur le serveur qui alimente votre site Web.
Ces frais peuvent être annulés si vous avez un accès direct au serveur et pouvez installer le certificat vous-même.
Si vous disposez d'un serveur privé virtuel, l'installation manuelle du certificat est très simple. Nous avons documenté les étapes de notre VPS InMotion examen, nous ne reviendrons donc pas là-dessus.
Si vous n'êtes pas hébergé avec InMotion, (pourquoi pas? Vous ne savez pas que leurs serveurs sont plus rapides et leur support mieux?), La procédure sera similaire.
Essayez l'hébergement InMotion maintenant
Une fois le certificat acheté et installé, vous devez maintenant activer WordPress SSL / TLS.
Utilisation de Let's Encrypt comme autorité de certification
Dans cet article, nous avons mentionné que les certificats sécurisés sont émis par ce qu'on appelle une autorité de certification. Il s'agit d'un organisme qui peut «certifier» que le serveur sur lequel vous avez installé votre certificat est vraiment celui qu'il prétend être. Cela implique bien sûr du travail, et généralement vous serez facturé pour ce travail.
Let's Encrypt est un nouveau autorité de certification qui veut faciliter l'acquisition d'un certificat sécurisé pour tout le monde, en rendant le processus d'acquisition d'un certificat automatisé et gratuit.
Il s'agit essentiellement d'une autorité gérée par un certain nombre de sociétés appelées Internet Security Research Group, y compris de grands noms comme Akamai (CDN), Google Chrome, Cisco, SiteGround, Mozilla, Facebook et bien d'autres qui veulent faire le processus d'acquisition d'un certificat de sécurité : Gratuit, Automatisé, Sécurisé, Transparent, Ouvert et Coopératif.
Pourquoi ces entreprises voudraient-elles vous offrir des trucs gratuitement? Parce qu'un Internet sécurisé et plus sûr est un objectif souhaitable pour tout le monde.
Bien que cela puisse être relativement facile, il s'agit encore d'une procédure technique pour obtenir le certificat. Cependant, la plupart des sociétés d'hébergement Web de nos jours ont intégré la fonctionnalité de telle sorte que pour la plupart des entreprises, l'acquisition d'un certificat Let's Encrypt est une question de cliquer sur un bouton et le certificat sera créé et mis en place.
Création manuelle d'un certificat sécurisé à l'aide de Let's Encrypt
(Vous pouvez ignorer cette partie si vous ne prévoyez pas de créer votre propre certificat Let's Encrypt et l'acquérir via votre serveur d'hébergement)
Vous allez avoir besoin d'un accès root direct ou shell à votre serveur pour pouvoir exécuter la procédure suivante.
1. Installez la bibliothèque Let's Encrypt sur votre serveur
Exécutez la commande suivante pour installer la bibliothèque Let's Encrypt
$ sudo clone de git https://github.com/letsencrypt/letsencrypt / opt / letsencrypt
Cette commande téléchargera et copiera le référentiel LetsEncrypt dans votre répertoire / opt.
2. Générez un certificat sécurisé
La meilleure façon de générer un certificat est d'utiliser la méthode autonome avec une taille de clé de 4096 (ce qui est très fort).
$ ./letsencrypt-auto certonly --standalone --rsa-key-size 4096
Dès que vous exécutez cette commande, une fenêtre apparaîtra, vous demandant le nom de domaine. Il est suggéré de saisir à la fois votre domaine racine et les autres sous-domaines avec lesquels vous prévoyez d'utiliser le certificat.
L'étape suivante consiste à lire et à accepter les conditions d'utilisation de Chiffrons. Une fois que vous serez d'accord, vous pourrez voir le chemin du fichier .pem. Il sera situé dans / etc / letsencrypt / live / votre-nom-de-domaine /. Si vous rencontrez des erreurs lors de la création du certificat, vous souhaiterez peut-être vérifier la configuration de votre pare-feu car un certain nombre de connexions seront nécessaires pour créer les certificats.
Le certificat généré expirera dans 90 jours et devra être renouvelé tous les 90 jours. C'est un peu un point négatif et positif. Tu peux trouver les raisons pour lesquelles les certificats de 90 jours sont utilisés ici. Pour renouveler le certificat, il vous suffit d'exécuter le script de renouvellement Let's Encrypt.
Vous voudrez peut-être écrire une tâche cron pour automatiser le processus.
Ceci est particulièrement important si vous avez tendance à oublier cela. Une fois votre certificat expiré, vous verrez l'avertissement rouge fugace indiqué ci-dessus, vous voudrez peut-être garder cela à l'esprit.
Étape 3: Générer une sécurité de cryptographie à clé publique forte à l'aide d'un groupe Diffie Hellman
Pour augmenter encore la sécurité, vous devez également générer un groupe Diffie-Hellman fort. Pour générer un groupe de 4096 bits, utilisez cette commande:
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 4096
Cela peut prendre quelques minutes, mais quand c'est fait, vous aurez un groupe DH fort à /etc/ssl/certs/dhparam.pem
Maintenant que vous avez un certificat, vous devrez l'installer sur votre serveur Web via la fonction SSL / TLS de CPanel ou tout ce que votre hébergeur utilise.
Si cette procédure vous fait peur, gardez à l'esprit que ces jours-ci, la plupart de ces choses sont entièrement automatisées sur la plupart des hôtes.
8. Comment configurer votre WordPress pour utiliser SSL (ou TLS) et HTTPS (la manière manuelle)
Une fois que vous avez un certificat sécurisé et que vous l'avez installé ou rendu disponible sur le serveur sur lequel vous hébergez votre site Web, vous devez effectuer les étapes suivantes pour activer HTTPS sur WordPress.
La toute première étape à faire est d'intégrer HTTPS dans votre site Web afin de mettre à jour l'URL de votre site Web. Pour ce faire, vous devez descendre dans Paramètres → Général et vous pouvez mettre à jour votre champ d'adresse WordPress et URL de site.
Si vous avez un site Web existant et que vous activez SSL, vous devez également définir une redirection 301 qui force toutes les requêtes HTTP à être servies en toute sécurité. Cela garantira également qu'aucun de vos liens existants à partir de sites Web externes ne sera perdu, tout en ne perdant aucun jus de lien.
Cela peut être fait en ajoutant l'extrait de code ci-dessous dans le fichier .htaccess de votre site Web, auquel vous pouvez accéder via votre gestionnaire de fichiers CPanel.
RewriteEngine On RewriteCond% {SERVER_PORT} 80 RewriteRule ^ (. *) $ Https://www.yourwebsitehere.com/$1 [R = 301, L]
Vous pouvez voir qu'il s'agit d'une redirection 301, ce qui vous assurera de ne perdre aucun jus de lien. Assurez-vous que vous avez remplacé yourwebsitehere.com par l'URL de votre site Web.
Ce qui précède force réellement votre serveur à diffuser du contenu en toute sécurité. À titre de remarque, toutes les URL du domaine principal seront converties en HTTPS à l'aide de ce qui précède. Donc, n'importe lequel de vos anciens liens sur disons http://www.collectiveray.com/wordpress/ deviendrait automatiquement https://www.collectiveray.com/wordpress/
Pour ceux qui sont sur des serveurs Nginx, vous devez ajouter la redirection HTTP ci-dessous pour la convertir en HTTPS:
serveur {écoute 80; nom_serveur nom_site.com www.nom_site.com; return 301 https: //websitename.com$request_uri; }
Les étapes suivantes vous aideront à vous assurer que tout le contenu du site sera diffusé en toute sécurité.
Configurer un administrateur sécurisé
Vous pouvez configurer le forçage d'un administrateur WordPress sécurisé (c'est-à-dire la partie administration de votre site Web ou / wp-admin) via votre fichier wp-config.php. Si vous souhaitez forcer la sécurité sur un site Web WordPress qui a des pages de connexion multi-sites ou dans la zone d'administration, tout ce dont vous avez besoin est d'ajouter l'extrait de code suivant au fichier wp-config.php.
define ('FORCE_SSL_ADMIN', vrai);
C'est surtout ça, vous devriez maintenant pouvoir accéder à votre administrateur WordPress en toute sécurité!
9. Implémentez HTTPS à l'aide de plugins SSL WordPress
Un autre moyen simple de configurer SSL sur votre site Web consiste à utiliser un plugin SSL WordPress.
Le Really Simple SSL plug-in
Le plugin de choix pour activer WordPress HTTPS sur votre site est le Really Simple SSL brancher. C'est un plugin très bien écrit par Rogier Lankhorst. L'avantage de ce plugin est qu'il supprime toute la complexité associée à l'activation de certificats sécurisés sur votre site.
Vraiment et vraiment, il s'agit d'un plugin d'activation SSL en un clic.
Après avoir acquis le certificat SSL en utilisant l'une des méthodes décrites ci-dessus et l'avoir installé sur votre serveur, il vous suffit d'installer et Activer le Really Simple SSL plugin et il fera le reste du travail pour vous.
Il fait en fait pas mal de travail sous le capot pour résoudre les problèmes les plus connus liés à l'activation de HTTPS sur votre site Web. Il prend en compte la configuration du serveur et effectue toutes les modifications nécessaires pour que vous n'ayez pas à vous soucier de quoi que ce soit.
Ce qui suit est une capture d'écran du plugin après l'activation - il a fait du travail et a détecté qu'un certificat est déjà installé sur le serveur.
Comme vous pouvez le voir, vous pouvez maintenant simplement cliquer sur "Activer SSL" et vous avez terminé!
Une fois que votre site Web a été converti en SSL, vous jetez un œil aux paramètres ou recherchez tous les problèmes et problèmes comme le montre la capture d'écran ci-dessous.
Le plugin tentera alors de résoudre tous les problèmes trouvés.
Ce plugin est votre guichet unique pour activer SSL.
Autres plugins pour activer SSL
Bien sûr, ce qui précède n'est pas le seul plugin que vous pouvez utiliser pour activer des certificats sécurisés. Voici quelques autres options que vous voudrez peut-être utiliser. Les deux atteignent finalement le même objectif, activer HTTPS sur votre site WordPress.
- Redirection HTTPS facile
- SSLZen - ceci est un nouveau plugin, il vous aide en fait à créer le certificat Let's Encrypt via le plugin lui-même
10. Tester la configuration correcte du certificat sécurisé de votre site Web
Pour vous assurer que votre site a été entièrement configuré, nous vous recommandons de tester votre site à l'aide de cette Vérificateur de référencement SSL outil, qui vérifie si vous disposez de la configuration SSL recommandée pour WordPress.
Une fois le test exécuté, vous obtiendrez un rapport SSL semblable au suivant:
11. N'oubliez pas de renouveler votre certificat sécurisé
Un certificat expiré est un certificat mort.
Si un certificat expire, vous ne pouvez pas le renouveler.
Vous devez en obtenir un nouveau et le réinstaller sur votre site. C'est, bien sûr, plus de maux de tête que ce dont vous avez vraiment besoin, alors n'oubliez pas de le renouveler avant qu'il n'expire.
Cela nous est arrivé à l'anniversaire de notre première configuration de certificat sécurisé. Ce n'est pas une situation agréable de voir soudainement TOUT votre trafic passer à zéro. Les gens hésitent beaucoup à aller au-delà d'un certificat expiré, de sorte que le trafic que vous obtiendrez sera énorme.
Nous vous suggérons de mettre en place un rappel quelques semaines avant l'expiration.
Vous avez été réchauffé. Les certificats expirés demandent beaucoup de travail, alors n'oubliez pas de les renouveler.
Voulez-vous prendre la solution de facilité?
Bien sûr, même si nous faisons paraître les choses simples, il y a des moments où les choses ne se passent pas comme vous l'attendez, alors assurez-vous d'avoir vos numéros d'assistance à portée de main au cas où tout se passerait mal lors de la configuration de votre fonctionnalité SSL WordPress. .
Si vous souhaitez vous en sortir facilement, il vous suffit de demander à InMotion de tout configurer pour vous. Vous obtiendrez un site Web plus rapide, en plus d'être alimenté par SSL. Vous obtiendrez également un domaine gratuit et ils transféreront le site pour vous. CollectiveRay les visiteurs bénéficient également d'une réduction EXCLUSIVE de 47% sur le prix normal, alors faites-vous une bonne affaire MAINTENANT.
Il s'agit d'une offre à durée limitée jusqu'en août 2024, alors profitez-en avant l'expiration de l'offre.
Questions Fréquemment Posées
WordPress a-t-il SSL?
WordPress prend en charge SSL à la fois sur le front-end et sur le backend. Pour l'activer, vous devez acquérir un certificat soit en en achetant un, soit en utilisant Let's Encrypt via votre société d'hébergement et l'installer sur le serveur. Une fois le certificat installé, vous pouvez activer HTTPS en utilisant l'une des méthodes ci-dessus, par exemple en utilisant le Really Simple SSL plugin.
Comment activer SSL dans WordPress?
Pour activer SSL dans WordPress, la méthode la plus simple consiste à utiliser un plugin tel que Really Simple SSL. Cela utilise le certificat actuellement configuré pour le domaine, alors assurez-vous que le certificat sécurisé a déjà été installé avant de l'activer.
Comment obtenir un SSL gratuit sur WordPress?
Pour obtenir un SSL gratuit sur WordPress, vous devez utiliser la fonctionnalité Let's Encrypt disponible sur votre serveur d'hébergement. Cela émettra un certificat sécurisé gratuit et l'installera sur votre domaine. La plupart des hébergeurs proposent cette fonctionnalité aujourd'hui, vous pouvez utiliser InMotion pour ce faire.
Quelle est la différence entre HTTP et HTTPS?
La différence entre HTTP et HTTPS est que ce dernier est transmis sur un canal sécurisé. Le certificat sécurisé installé sur le serveur crypte les messages avant de les envoyer d'une manière qui ne peut être décryptée que par le navigateur qui a démarré la connexion. Cela signifie que les données sensibles telles que la connexion à un site Web à l'aide d'un nom d'utilisateur / mot de passe, la soumission de données sensibles telles que l'envoi de détails de carte de crédit ou d'autres données peuvent être envoyées en toute sécurité.
Conclusion: HTTPS est un must
Comme vous l'avez peut-être vu, bien que la mise en œuvre de HTTPS ou SSL ne soit pas toujours simple, elle est essentielle. Google a récemment annoncé qu'il étiqueterait les sites Web comme NON SÉCURISÉS, s'ils ne sont pas compatibles SSL. Assurez-vous donc de le configurer sur votre site Web dès aujourd'hui.
Veuillez laisser un incontournable commentez vos pensées, puis partagez-les sur votre ou vos groupes Facebook qui trouveraient cela utile et récoltons ensemble les avantages. Merci d'avoir partagé et d'être gentil!
Divulgation: Cette page peut contenir des liens vers des sites externes pour des produits que nous aimons et que nous recommandons sans réserve. Si vous achetez des produits que nous suggérons, nous pouvons percevoir des frais de parrainage. Ces frais n'influencent pas nos recommandations et nous n'acceptons pas les paiements pour les avis positifs.