Dans le cadre du développement du site internet www.WPSERVEUR.netJ’ai dû remettre un site WordPress dans une version sécurisée HTTP en face de HTTPS.

Si cette procédure est relativement simple, elle nécessite tout de même quelques clarifications et précautions communes, que je vous décrirai rapidement dans ce tutoriel;)

https-ssl-wordpress

Définitions SSL et HTTPS

Commençons par quelques définitions clés et rappels:

SSL : Secure Sockets Layer est un protocole de sécurisation des échanges Internet développé à l’origine par Netscape. Il s’agit de la norme de sécurité technologique permettant d’établir une connexion cryptée entre un serveur Web et un navigateur. Ce lien garantit que toutes les données échangées entre le serveur Web et les navigateurs restent privées et infalsifiables afin d’éviter l’espionnage et la manipulation.

HTTPS : Protocole de transmission HyperText Sécurisé, littéralement «protocole de transmission hypertexte sécurisé» est la combinaison de HTTP avec une couche de cryptage SSL ou TLS. HTTPS permet aux visiteurs de vérifier l’identité du site Web auquel ils accèdent à l’aide d’un certificat d’authentification émis par une autorité tierce et considéré comme fiable. Il garantit théoriquement la confidentialité et l’intégrité des données envoyées par l’utilisateur et reçues par le serveur (notamment les informations saisies dans les formulaires). Il est utilisé pour vérifier l’identité du visiteur s’il utilise également un certificat d’authentification client.

En résumé, le SSL est la norme qui définit la manière dont les connexions sont cryptées via HTTPS !

https-sécurisé-WordPress

La différence entre HTTP et HTTPS

De nombreux critères distinguent HTTP du HTTPS. Voici les trois principaux:

  1. Le schéma d’URL : Les URL HTTPS commencent par « https: // » et utilisent le port 443 par défaut, tandis que les URL HTTP commencent par « http: // » et utilisent le port 80.
  2. Sécurité : HTTP n’est pas sécurisé et fait l’objet de nombreuses attaques qui pourraient permettre à un attaquant d’accéder à des informations sensibles. Cependant, un site Web HTTPS est conçu pour résister et protéger de telles attaques.
  3. Couches de réseau : HTTP fonctionne au plus haut niveau du modèle TCP / IP, la couche application. Le protocole SSL sécurisé agit comme la sous-couche inférieure du même modèle TCP / IP, mais crypte le message HTTP avant sa transmission et le déchiffre à l’arrivée. Nous pouvons donc dire que HTTPS n’est pas un protocole séparé, mais fait référence à l’utilisation de HTTP normal sur une connexion SSL cryptée.

http-vs-https

Pourquoi utiliser HTTPS pour WordPress?

En préambule, HTTPS est particulièrement utile dans les réseaux non chiffrés (tels que le Wi-Fi), où n’importe qui sur le même réseau local peut «renifler» des données de reniflage de paquets et accéder à des informations confidentielles.

Lorsque vous diffusez du contenu de votre site Web via HTTPS, vous pouvez être sûr que personne ne changera la façon dont les informations sont reçues des utilisateurs. Lorsque vous faites des affaires en ligne, vous avez besoin de SSL. C’est le meilleur moyen de protéger les données de vos utilisateurs contre le vol d’identité.

De plus en plus d’internautes refusent d’effectuer des transactions sur un site sans certificat SSL. En fin de compte, en affichant leur certificat SSL sur le site Web, il indique aux clients qu’ils peuvent acheter et utiliser votre site Web en toute confiance et qu’ils sont protégés.

Pour un meilleur référencement? Les sites sécurisés SSL bénéficient également d’un avantage pour leur référencement sur les pages de résultats de recherche. C’est ce que Google a annoncé, qui ajoute aujourd’hui le cryptage du site à sa liste de critères de positionnement. Je continue à être fortement mélangé sur la prime SEO / HTPPS et vous invite à lire ceci éléments.

sans danger pour wpseveur

Un certificat SSL pour commencer!

Acheter un certificat SSL

Il existe de nombreux sites Web qui proposent l’achat de certificats SSL: Temple des médias, Allez papa, SSLs.com, OVH, Comodo et Namecheap.

Pour ma part, j’ai choisi Namecheap pour le certificat PositiveSSL en raison de son excellent rapport qualité prix et de son processus simplifié de 7 € / an.

Quel certificat dois-je choisir?

Il existe différents types de certificats SSL:

  1. Validation de domaine C’est le certificat standard et généralement le moins cher. Ces certificats fournissent un cryptage de base, sont émis très rapidement et nécessitent une simple vérification de la propriété du domaine.
  2. Validation de l’entreprise : Ces certificats contiennent l’authentification de l’entreprise et / ou de l’organisation propriétaire du domaine.
  3. Validation étendue : Avec ce type de validation, l’autorité de certification procède à un examen approfondi de votre entreprise avant de délivrer le certificat. Ce certificat SSL offre le plus haut niveau de sécurité.

Plus d’informations sur les différents certificats dans l’article Quel certificat dois-je choisir?

Certificat SSL gratuit

Maintenant, la plupart des hébergeurs offrent des certificats gratuits Nous cryptons SSL. Let’s Encrypt est tout aussi puissant que les certificats payants et une autorité de certification à but non lucratif qui fournit ses certificats TLS pour 180 millions de sites Web.

Activez votre certificat SSL

Il existe autant d’options que d’hébergement et le processus varie selon le fournisseur (dédié, VPS, partagé, etc.). Par conséquent, je ne décrirais pas en détail l’installation sur mon serveur Apache dédié. Cependant, cela est essentiel pour les personnes intéressées https://support.comodo.com/installation-apache-mod_ssl.

Contactez vos hôtes pour un hébergement partagé. Certains proposent des certificats SSL dans leurs offres.

namecheap1

Recherchez l’erreur SSL 3 POODLE

Une équipe de Google a récemment mis en évidence une faille de sécurité dans le protocole SSL, qui crypte l’échange de données entre un navigateur et un site Web. Lors de la mise en œuvre, un pirate informatique peut se faire passer pour une victime et accéder à des données privées depuis un service tel que le webmail ou le serveur d’une banque.

Cette vulnérabilité SSL a été identifiée comme «POODLE» pour Oracle On Downgraded Legacy Encryption Padding. Il utilise une ancienne version 3 du protocole SSL publiée il y a 15 ans, qui assure le cryptage d’une transaction. Cependant, il existe une autre méthode plus robuste et largement utilisée: TLS 1.0. Cependant, certains sites Web continuent d’utiliser SSLv3 pour être compatibles avec Internet Explorer 6 sous Windows XP. Surtout, le technicien sait simuler un problème de connexion et forcer un navigateur à passer de TLS à SSLv3. Plus d’informations à ce sujet Faille Caniche SSLv3.

Pour éviter cela, vous devez désactiver SSL v3 sur votre serveur. Les instructions d’utilisation peuvent être lues sur www.digitalocean.com/protect-poodle-sslv3.

Pour vérifier la qualité de votre certificat SSL, il vous suffit de tester votre domaine sur le site web de https://www.ssllabs.com.

test-ssl-wpserveur

Déménager WordPress de HTTP -> HTTPS

Afin de mettre WordPress en HTTPS, comme nous l’avons vu, vous devez absolument obtenir un certificat SSL pour votre nom de domaine, l’installer sur le serveur, et enfin changer les permaliens du site de HTTP à HTTPS.

N’oubliez pas de sauvegarder votre base de données avant de commencer à passer à HTTPS.

Tous les liens dans WordPress (tels que les pièces jointes d’image, les thèmes CSS, les fichiers JavaScript) sont liés à l’URL d’installation. Pour changer votre WordPress de http à https, l’URL d’installation doit être modifiée: de http://monsite.com au https://monsite.com

Connectez-vous à votre tableau de bord WordPress et accédez à Paramètres >> Général. Assurez-vous que l’adresse WordPress (url) et l’adresse du site (url) sont toutes les deux en https.

Administration WP

Pour activer (et forcer) facilement la gestion de WordPress via SSL, la constante FORCE_SSL_ADMIN doit être défini sur « TRUE » dans votre fichier wp-config.php pour forcer toutes les connexions et sessions administratives à être via SSL.

define ( 'FORCE_SSL_ADMIN' , true);

Assurez-vous également que les URL d’installation ne sont pas codées en dur dans le fichier wp-config.php. Cette technique présente l’avantage que le paramètre est bloqué dans l’administration et évite ainsi une erreur d’édition qui entraînerait une modification accidentelle de l’URL. Voici un exemple pour WPFormation:

define('WP_HOME', 'https://wpformation.com');
define('WP_SITEURL', 'https://wpformation.com');

Si votre WordPress utilise un réseau de diffusion de contenu (CDN) pour fournir ses composants (images, JavaScript, feuilles de style CSS), vérifiez que toutes les URL sont en HTTPS. Sinon, ils ne considéreront pas le certificat de votre site Web comme satisfaisant.

Que faire après le passage à HTTPS

Maintenant que WordPress est passé avec succès à HTTPS, il reste encore quelques choses à faire!

N’oublions pas de rediriger! Ajoutez le code suivant au fichier .htaccess suivant pour configurer une redirection 301 permanente.

RewriteEngine on
RewriteCond% {HTTP_HOST} ^ votresite.com [NC, OR]
RewriteCond% {HTTP_HOST} ^ www.votresite.com [NC]
(*). RewriteRule ^ $ https: //www.votresite.com/$1 [L, R = 301, NC]

Recherchez ensuite toutes les URL commençant par http: // … dans votre contenu. Il suffit de montrer le code source de vos pages, parfois nous avons de vraies surprises …

Forcer le https sur les URL canoniques de votre site et c’est d’autant plus facile lorsque vous l’utilisez Plugin SEO de Yoast (à payer par SEO >> Permaliens)

reglages-yoast-https

Il existe des plugins WordPress pour HTTPS, personnellement je ne les ai pas utilisés, mais cela peut quand même être utile:

N’oubliez pas d’informer Google de Outils Google pour les webmasters Ce changement. Il ne vous reste plus qu’à valider votre nouveau domaine en HTTPS et à déclarer le transfert.

La liste de contrôle après le passage à HTTPS

Pour vous assurer de ne rien oublier, assurez-vous de ce qui suit:

Voici ce tutoriel prêt, j’espère que vous le trouverez utile!
Et vous, envisagez-vous de passer votre WordPress en HTTPS?

fermer



Source link

Recent Posts