Installer SSL dans WordPress : le guide !
Installer SSL dans WordPress : le guide !
Pourquoi installer un SSL pour son site WordPress ? Nous révélons nos informations, qu’elles soient personnelles ou non, tous les jours sur internet. Je passe commande sur internet avec ma carté de crédit, j’accepte les cookies sur n’importe quel site, j’autorise l’accès à ma position géographique, j’envoie des mails… Nous partageons nos informations sans même y prêter attention !
C’est donc la que SSL entre en jeu. SSL protège les données que l’on partage en ligne en les empêchant de se retrouver entre de mauvaises mains. En effet, utiliser SSL, de pair avec HTTPS, pour protéger votre site web WordPress et ses visiteurs n’est pas une tâche compliquée. Cet article va vous initier à SSL en vous expliquant sa fonction et en vous montrant comment l’utiliser. Allons-y !
I. Mais SSL, c’est quoi ?
En 1994, SSL (Security Socket Layer) était une méthode pour optimiser la sécurité entre un site web et ses utilisateurs. L’outil avait été utilisé par Netscape Communication, qui voyait déjà la nécessité d’une telle technologie. Plus tard, SSL à été lancé après modification pour la première fois en version 3.0 en 1996. Possédant encore des failles, l’outil à été officiellement repris et amélioré par IETF (Internet Engineering Task Force) en 1999. SSL fut alors nommé TLS (Transport Layer Security) mais il est toujours plus appelé SSL. Le but de cet outil est toujours resté le même, il est alors devenu le standard en termes de sécurité des sites web.
1.1. Quand dois-je utiliser SSL ?
L’année dernière, Google a annoncé qu’il privilégierait les sites utilisant SSL dans son classement des moteurs de recherche. Les moteurs de recherche prévoient d’améliorer ce coup de pouce au fil du temps, mais en attendant, vous ne verrez qu’une augmentation de 1 %, donnant à chacun une chance de convertir.
De plus, si votre site Web demande aux utilisateurs de se connecter ou de fournir des informations personnelles telles que le nom, l’adresse, les détails de la carte de crédit, etc., vous aurez besoin d’une protection SSL. Sans cela, vos informations d’utilisateur peuvent facilement être divulguées.
1.1.1. SSL : comment ça fonctionne ?
SSL fonctionne en cryptant les informations transmises entre le serveur du site et le navigateur, plutôt que de les laisser visibles telles quelles, ce qui signifie que le texte sera réorganisé en une série de chiffres et de lettres dits aléatoires au lieu d’être un mot lisible.
Pour créer une connexion SSL sur un site Web, le propriétaire du site Web doit obtenir un certificat d’authentification SSL auprès d’une société émettrice qualifiée par une autorité de certification. Après l’achat du service, les informations sur le site Web et l’entreprise (telles que le nom, l’adresse et le numéro de téléphone) seront transférées à l’Autorité de Certification.
En retour, le propriétaire du site va alors recevoir une clé publique et une clé privée. La clé privée ne doit être divulguée à personne, comme un mot de passe. Cependant, la clé publique n’a pas forcément besoin de rester parfaitement cachée. C’est une série de chiffres et de lettres cryptées qui coïncident mathématiquement, comme une serrure et sa clé. Ces séries sont créées par des algorithmes particuliers (Secure Hash Algorithm).
La clé publique va ensuite être ajoutée aux informations fournies à l’Autorité dans un dossier qui est appelé Demande de Signature de Certificat (Certificate Signing Request).
L’Autorité va ensuite vérifier les informations pour être sur qu’elles soient correctes et que vous êtes ni un escroc, ni un hacker. Si tout est alors en ordre, le certificat SSL est signé avec un SHA. Le certificat réel va ensuite être délivré. C’est donc à ce stade que le site web peut utiliser une connexion cryptée SSL.
Lorsque un utilisateur visite un site protégé, le serveur du site fait coïncider son certificat SSL avec la clé privée et lorsqu’ils coïncident, un lien crypté entre le site et le serveur, et entre l’utilisateur et son navigateur, est créé.
1.2. Achetez un certificat SSL.
Plusieurs sites offrent actuellement des certificat SSL à des prix attractifs, en voici quelques exemples :
- Namecheap (USA)
- GoDaddy (International)
- Ex2 (France)
- Rapidenet (Canada)
II. Un site protégé par SSL : à quoi ça ressemble ?
Sur un site protégé par SSL, le préfixe https apparaîtra devant l’URL au lieu de http. Un petit cadenas vert est aussi observable dans la barre de recherche lorsque le site est protégé.
Si le site a choisi d’acheter une Extension de Validation du Certificat SSL, votre barre d’adresse sera complètement verte ou alors le nom de l’entreprise apparaîtra sur un fond vert juste avant l’URL. L’Extension de Validation du Certificat SSL est plus sûre et est délivrée une fois que l’entreprise a passé un examen plus approfondi. Des preuves de leur adresse physique leur sont demandées et de leurs activités légales, en plus des informations standards.
2.1. Que faire quand SSL ne fonctionne plus ?
Lorsqu’un certificat SSL expire, est auto-signé ou n’est pas valide, le cadenas généralement vert devient rouge et est parfois barré d’une ligne rouge. Lorsque le certificat a expiré, le propriétaire du site doit alors renouveler le SSL via l’Autorité, et l’encryptage sera renouvelé. Il est préférable de ne pas laisser le temps au certificat d’expirer de manière à garder une sécurité constante pour votre site.
Si vous avez demandé et reçu votre certificat SSL, mais que vous n’avez pas été vérifié par une autorité de certification, vous utilisez un certificat auto-signé.
La plupart des navigateurs ne font confiance qu’aux certificats SSL émis par des autorités de certification de confiance et affichent un avertissement pour tous les sites utilisant des certificats auto-signés. Si vous avez acheté un certificat SSL à une entreprise qui n’est pas coté comme bonne Autorité de Certification, votre site peut être reconnu comme utilisant un certificat auto-signé.
De plus, un certificat SSL peut être invalide pour plusieurs autres raisons, telles qu’un cryptage SHA obsolète. Le hachage est la conversion d’une grande quantité d’informations écrites en caractères en une information plus compacte communément appelée clé, et s’effectue via un ensemble de règles mathématiques. En fait, plus la technologie avance, plus le hachage doit être complexe pour maintenir une bonne sécurité.
SHA0 n’est plus utilisé et SHA1 est progressivement évincé par plusieurs navigateurs. Des avertissements seront affichés par Chrome le 1er janvier pour les sites utilisant SHA1. Le standard actuel pour les encryptages est SHA2 qui va surement se faire doubler pas SHA3.
Un certificat SSL peut être invalidé par un navigateur ne parvenant pas à le vérifier avec l’Autorité. Cela peut être le cas si le nom de domaine du certificat ne coïncide pas avec le site l’utilisant.
Mettre à jour votre certificat avec votre Autorité et suivre leurs instructions est la meilleure manière d’éviter ces problèmes. Si un cadenas jaune apparait avec une forme triangulaire, la cause probable est que le lien de votre site est considéré comme menant à une page non sécurisé. Faites en sorte que toutes vos images, vos menus et vos liens utilisent https dans l’URL.
Pour trouver facilement la source d’un certificat invalide, vous pouvez utiliser l’outil gratuit Why No Padlock. Il vous informe instantanément des problèmes spécifiques, y compris des images et des scripts invalides.
2.1.1. Utiliser SSL avec WordPress
Une fois votre certificat SSL prêt, vous pouvez l’utiliser avec votre site.
N’oubliez pas de sauvegarder la totalité de votre site avant de faire un changement quelconque pour éviter de tout perdre si quelque chose ne fonctionne pas comme prévu. Une fois que c’est fait, vous pouvez continuer. Pour installer SSL sur un seul site ou sur plusieurs, éditez d’abord votre wpconfig.php et ajoutez la ligne de code suivante. Cela forcera à la fois la connexion et l’accès à la section admin de WordPress pour utiliser SSL :
define(‘FORCE_SSL_ADMIN’, true);
Faites en sorte qu’il soit placé juste au-dessus de la ligne « stop edition » comme montré ci-dessous :
/* C’est tout!, stop edition! */
Maintenant nous allons mettre au point une redirection 301 pour que chaque utilisateur qui visite votre site soit automatiquement redirigé vers votre site sécurisé qui utilise https au lieu de http.
Ensuite, éditez votre fichier .htaccess ou créez en un nouveau s’il n’existe pas déjà. Si vous n’en avez pas encore, placez le code suivant au-dessus de tout ce qui est déjà présent.
N’oubliez pas de remplacer « mysite.com » par votre nom de domaine et faites en sorte que vous entrez le bon port de serveur, si le vôtre n’est pas 80.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ [R,L]
</IfModule>
Maintenant visitez votre site pour le tester. Si https apparaît dans votre URL avec un cadenas vert à côté, alors félicitation, vous avez réussi !
Pour protéger votre site web et ses utilisateurs, avoir un certificat SSL est essentiel, mais le SSL n’est pas l’unique mesure de sécurité que vous devez prendre. Pour être vraiment certain que votre site est protégé et sûr pour tout le monde, vous pouvez aussi utiliser un plugin WordPress comme Wordfence ou iThemes.
Si vous êtes intéressé par un certificat SSL gratuit, depuis 18 Novembre 2014, l’Electronic Frontier Foundation rend des certificats SSL gratuits et avec la possibilité de les installer en quelques clics.
Il existe aussi des plugins qui peuvent vous aider à installer SSL sur votre site, mais il faut savoir qu’ils ne sont peut-être pas à jour et compatibles avec la dernière version de WordPress. Parfois il est plus agréable d’utiliser des plugins un peu plus vieux si plusieurs personnes, y compris vous, arrivez à les utiliser plus facilement, mais la sécurité de votre site est une chose avec laquelle vous ne devriez pas plaisanter.
Pour conclure, la sécurité sur internet est primordiale. Nous nous servons d’internet à longueur de journée alors la moindre des choses est de protéger nos informations. Heureusement, les SSL existent, alors n’attendez plus et utilisez les pour vos sites web WordPress !