Pour forcer le HTTPS sur votre site WordPress, n’utilisez pas d’extension car il suffit d’ajouter les lignes de codes ci-dessous dans le fichier .htaccess à la racine de votre site :
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Attention : avant de commencer toute manipulation sur votre site, pensez à le sauvegarder en intégralité.
Votre site est-il vraiment couvert par un certificat SSL ?
Les certificats SSL font très bien l’affaire pour les petites et moyennes entreprises bien qu’il en existe également des payants.
Il faut que votre site soit couvert par un certificat SSL pour que le fait de forcer HTTPS soit pris en compte.
Pour vérifier si le votre est bien couvert, entrez votre nom de domaine sur cet outil.
Des hébergeurs comme o2switch offrent un certificat « Lets Encrypt » gratuit. Pour en bénéficier, suivez ces différentes étapes :
- Connectez-vous à votre cPanel, l’URL ressemblera à : xxxx.o2switch.net:2083/ et trouvez vos identifiants dans le mail que vous aura envoyé o2switch le jour de votre souscription à leur offre. Sinon, demandez leurs vos accès à votre cPanel.
- Une fois connecté, tapez « Lets » dans la barre de recherche et cliquez sur « Lets Encrypt SSL ».
- À droite du domaine concerné, appuyez sur « Générer ».
- si une autre étape se présente, ne modifiez rien et validez.
C’est tout ! Votre certificat SSL est désormais actif.
Remplacez toutes les URL en http de votre site
Forcer le HTTPS via une ligne de code ne suffit pas, il pourrait rester des éléments en http, comme des images, des liens ou des ressources chargées.
Il va falloir remplacer tous les liens en « http » pour les faire passer en « https ».
Pour cela, vous pouvez utiliser une extension WordPress comme « Search & Replace » où il vous suffira de rechercher dans la fonction de remplacement de l’outil les « http:// » et de choisir en valeur de remplacement « https:// ».
Précision : le mieux aurait été de faire ce remplacement via une manipulation directe sur votre base de données, mais j’ai préféré simplifier pour l’adapter aux débutants.
Attention : faites une sauvegarde en local et à distance avant de faire cette manipulation.
Le robots.txt
Il se peut que lors du remplacement du « https » avec l’extension précédente, votre fichier « robots.txt » ait conservé des liens en « http ».
Pour éliminer cette possibilité, allez le consulter à la racine de votre site et faites les changements.
Passer votre backoffice en HTTPS
Votre site en public est en HTTPS, il faudrait que ce soit également le cas de votre backoffice.
Pour cela, ajoutez ces quelques lignes à votre wp-config.php situé à la racine de votre site :
// Forcer le HTTPS du backoffice
define('FORCE_SSL_ADMIN', true);
Enregistrer votre site en https sur les services tiers
Vous avez peut-être enregistré votre site sur Google Analytics ou sur la Google Search Console.
Il est important d’y inscrire sa version « https » afin que les bonnes données y remontent.
Si ce n’était pas le cas, faîtes le une fois que vous aurez validé toutes les étapes précédentes de ce post.
Ultime recommandation
Une fois tous les changements fait, il est bon d’attendre un petit délai de propagation.
Pensez aussi à vider le cache de votre navigateur et de votre serveur.
Si vous utilisez un CDN comme Cloudfare, pensez à vous connecter à votre interface et à vider son cache.