Si vous voulez directement le code à intégrer dans votre fichier .htaccess pour forcer https et www, cliquez simplement ici.
Bonus de référencement pour les sites avec certificat SSL
Depuis 2015, Google recommande d’installer un certificat SSL sur tous les sites web. Ceci afin de contribuer à rendre Internet plus sûr. Pour inciter les webmasters à passer le pas, Google assure qu’un petit bonus SEO sera attribué à tous les sites en https. Donc au détriment des sites encore en http.
Bénéfice du certificat SSL
En réalité, les spécialistes SEO s’accordent à dire, même en 2021 que l’impact du certificat SSL sur le positionnement d’un site dans les résultats de Google est tellement faible qu’il est indétectable. Pas de quoi vampiriser tous les clics dans la première page de Google.
Par contre, suite à cette annonce, les navigateurs (Chrome, Firefox, Edge, etc.) ont peu à peu affiché un message à l’attention de leurs utilisateurs, pour les avertir que les sites http n’étaient pas sécurisés. La plupart des internautes ont donc commencé à se poser des questions et à craindre de visiter des sites « non sécurisés ».
Un certificat SSL permet d’empêcher d’intercepter les informations qui transitent entre les internautes et les sites Internet, en les cryptant. Donc cela n’a strictement aucun intérêt pour la plupart des sites Internet. Cela se justifie dès lors que des données sensibles peuvent être saisies dans un formulaire par les utilisateurs, telles que des données personnelles médicales ou financières. Bien entendu, c’est totalement indispensable pour le site d’une banque par exemple. Mais pour un site vitrine qui ne fait que présenter une société et quelques produits, on peut se demander quel est le véritable intérêt.
Il faut passer en https
Si le bonus de référencement annoncé par Google pour les sites détenteurs d’un certificat SSL n’était pas suffisant, la crainte croissante des utilisateurs face à des sites « non sécurisés » a convaincu beaucoup de webmasters.
Pour l’anecdote, sachez que ce site à l’heure où j’écris ces lignes ne profite pas d’un certificat SSL (mais rassurez-vous, votre vie et votre portefeuille ne craignent rien ici). L’installation est prévue pour les semaines à venir, mais comme bien souvent les cordonniers sont les plus mal chaussés. Je m’occupe en priorité des sites de mes clients.
Forcer https et www en même temps
Pour avoir travaillé à plusieurs reprises sur des sites WordPress chez l’hébergeur Ionos (anciennement 1and1), j’ai été confronté à un problème provenant d’un mauvais paramétrage du fichier .htaccess. Voici donc ce qu’il faut faire (du moins, ce qui fonctionne très bien dans mon cas) pour configurer correctement la redirection de http vers https en forçant en même temps www.
# Forcer https et www en même temps
RewriteCond %{HTTPS} off [OR]
RewriteCond %{HTTP_HOST} !^www\. [NC]
RewriteRule (.*) https://www.votre-domaine.com/$1 [R=301,L]
Collez le code ci-dessus dans le fichier .htaccess situé à la racine de votre site Internet (sans oublier bien entendu de remplacer votre-domaine.com par l’adresse de votre propre site Internet.
Précision importante : ce code doit se trouver AU-DESSUS de la ligne # BEGIN WordPress
. Si vous le placez en dessous des directives gérées dynamiquement par WordPress (c’est-à-dire en dessous de # END WordPress
), il ne sera pas exécuté correctement. La redirection vers https pourrait ne pas impacter la totalité du site. Ceci qui provoquerait des problèmes pour votre référencement étant donné que les vos URL pourraient être accessibles à fois en http et en https.
Les étapes pour la migration http vers https de votre site WordPress
Il existe plusieurs articles très détaillés sur le sujet, je ne vais donc faire qu’un résumé des étapes à suivre pour bien procéder.
1. Activez votre certificat SSL
Chez Ionos, je recommande l’achat du pack SSL illimité qui revient beaucoup moins cher que d’acheter des certificats à l’unité. Les garanties financières sont moindres, mais si vous possédez un certain nombre de sites sur le même pack d’hébergement, vous y gagnerez. Surtout s’il s’agit simplement de passer en https pour faire plaisir à Google et à vos utilisateurs. Pour des sites importants avec des données sensibles, tournez-vous vers des certificats plus puissants. Enfin il existe aussi des certificats gratuits, que je n’ai personnellement jamais utilisés.
2. Changer l’URL de votre site
Dans l’espace d’administration de votre WordPress, dans le menu Réglages > Général, remplacez http par https dans l’URL.
Dans Google Search Console, je vous recommande de créer une nouvelle propriété de type « domaine » qui prend en charge tous les protocoles et tous les sous-domaines. C’est plus simple à utiliser. Par contre la validation de cette propriété demandera une modification des DNS.
Pas de panique, si vous lisez cet article, c’est que votre site est chez Ionos. Si tel est le cas (ça marche aussi chez d’autres gros hébergeurs), la procédure est automatiquement réalisée par Google. Il suffit de l’autoriser à apporter la modification nécessaire dans votre compte Ionos. Je l’ai fait de nombreuses fois. Il arrive que la procédure échoue. Il suffit de recommencer immédiatement.
Faites aussi cette modification dans Google Analytics (ou n’importe quel autre outil de mesure associé à votre URL). Pour Analytics, il faut aller cliquer sur Administration -> Choisir la propriété -> Paramètres de la propriété.
Bien entendu, les indications de menus peuvent changer au cours du temps. Mais cela vous permettra de comprendre le cheminement nécessaire pour réaliser les modifications.
3. Modifiez le .htaccess
Référez-vous au code un peu plus haut pour cette étape. Attention de ne rien changer d’autre dans ce fichier qui est très sensible. Par précaution, je recommande vivement de faire une sauvegarde du fichier .htaccess AVANT de la modifier.
Après modification, si votre site affiche une erreur 500, c’est que vous avez fait une erreur dans ce fichier. Replacez alors l’ancien le temps de comprendre le problème et votre site refonctionnera normalement.
4. Enfin modifiez tous les liens internes et externes
Dans l’idéal, il ne devrait rester aucun lien sur la toile qui pointe vers votre site en http. Ils devraient tous être en https. En pratique, c’est impossible, parce qu’il existe de nombreux sites qui ne feront jamais la modification, même si vous leur demandez (certains annuaires et autres plateformes permettent de faire la modification dans votre compte utilisateur. Faites-le si possible).
Vous ne pouvez donc gérer efficacement que vos liens internes, ainsi que les liens externes de votre réseau de sites si vous en possédez un. Vérifiez donc dans toutes vos pages que vos liens sont relatifs plutôt qu’absolu. De cette façon, vous laissez WordPress gérer le protocole et le domaine en fonction de ce que vous avez paramétré à l’étape 2. Si vous voulez malgré tout gérer des liens absolus, ajoutez le s après http.
Si vous faites le travail correctement, il ne devrait plus rester aucun lien en http. Attention, c’est valable aussi pour les images et autres documents internes (PDF par exemple) vers lesquels vous faites des liens.
En explorant votre site, si vous constatez que certaines pages ne sont pas sécurisées (symbolisé par un cadenas barré ou un triangle d’avertissement selon les navigateurs) malgré la présence du https au début de l’URL, c’est que vous avez oublié des liens en http quelque part. Affichez le code source de votre page et cherchez l’erreur.
Avertissements
Les informations ci-dessus sont données à titre indicatif. Ne tentez rien si vous ne savez pas ce que vous faites. Tous les sites sont différents. Il est possible que ce code ne fonctionne pas correctement en fonction de la configuration (thèmes, extensions, modifications manuelles) de votre site. En cas de problème, vous pourrez toujours remettre le fichier .htaccess d’origine le temps de tester autre chose.