Sécuriser son site wordpress avec un certificat SSL en 1 clic

Bricole moi un mouton passe en httpS ! « Mais qu’est ce qu’on s’en tape » me répondra Damien qui trouvera que ça sent pas le cambouis dans cet article. Mais bon en attendant qu’il daigne nous pondre un article sur son 800DR ou sur son futur side car, je vais vous montrer qu’il est désormais très facile de sécuriser un peu son site en 1 (vrai) clic…. et quelques ajustements.

 

Https, SSL ou TLS c’est quoi ?

Pour les nuls, Http c’est le protocole de transfert des sites Web. Quand vous vous baladez sur bricole moi un mouton, votre navigateur appelle les fichiers (images/textes/styles/base de donnée) sur mon serveur qui vous envoie les infos à afficher. Il y a 2 inconvénients :

  • Le premier c’est que les infos transitent en clair, et si quelqu’un arrive à se brancher sur le tuyau, il peut consulter le trafic. C’est particulièrement problématique si vous avez un écran de connexion puisque vos identifiants/mots de passe transiteront également en clair.
  • Le second, et cela peut être plus grave, c’est qu’on peut tromper votre navigateur en lui faisant croire qu’il se connecte au serveur de bricole moi un mouton alors qu’en fait il communique avec un serveur qui usurpe l’identité de Bricole moi un mouton.

On peut donc passer en httpS (comme sécurisé) qui est strictement la même chose mais avec un chiffrement des données et une garantie sur le serveur (pour les puristes, il s’agit de vulgariser et je ne rentrerai pas dans du trop technique). Pour cela, il faut obtenir un certificat auprès d’une autorité reconnue par les navigateurs web. On appelle cela couramment un certificat SSL. A noter que SSL a connu plusieurs versions et même une évolution qui se nomme TLS, je vous laisse voir la page wikipedia dédiée.

On constate rapidement qu’un site est en HTTPS grâce à la barre URL de votre navigateur et le fameux cadenas vert.

On parlait d’autorité de certification, la plupart des hébergeurs/registrar en propose des payants et depuis quelques années un nouvel acteur LetsEncrypt en propose des gratuits. Ce n’est pas pour autant un truc louche, tous les grands acteurs de l’informatique sont partenaires de cette initiative et depuis pas très longtemps, plus de la moitié des sites dans le monde sont en https.

C’est quoi l’intérêt de passer en HTTPS ?

Il ya plusieurs intérêts à passer son site https :

  • Ça fait bogoss de montrer son site avec un cadenas vert.
  • Ça garantit à vos internautes que votre serveur est le bon.
  • Ça permet de chiffrer les échanges et donc de respecter un peu plus la vie privée. Ce n’est plus envisageable d’avoir un site qui demande identifiant/mdp sans SSL.
  • Ça améliore le référencement dans Google ou Bing. En effet, les moteurs de recherche favorisent les sites en https par rapport à http. C’est toujours bon à prendre.
  • Firefox va un peu plus loin que les autres et affiche les sites avec des formulaires de connexion sans SSL comme étant « dangereux ».

 

Comment mettre en place un certificat SSL sur son site ?

Il y a 3 cas de figure :

  • Votre site est hébergé sur un serveur dédié soit chez un hébergeur, soit chez vous directement.
  •  Votre site est hébergé sur un serveur mutualisé chez un hébérgeur partenaire de letsencrypt.
  • Votre site est hébergé sur un serveur mutualisé chez un hébergeur non-partenaire de letsencrypt.

Vous pouvez voir ici la liste des hébergeurs partenaires de Letsencrypt. Si vous êtes dans le premier cas de figure, vous avez dû vous taper toute la config du serveur, donc le SSL/TLS ça devrait vous parler et vous n’avez pas besoin d’un tuto. Si vous êtes dans le troisième scénario, il faudra sans doute passer à la caisse et payer un certificat. Mais si vous êtes dans le cas numéro 2 alors c’est très très facile pour vous de passer votre site en HTTPS. Car votre hébergeur a tout fait pour vous et qu’il vous suffit simplement de configurer votre site pour être disponible en https.

Pour ma part je suis chez OVH. C’est plutôt une référence française, il y en a d’autres très bien aussi. Et j’ai la chance qu’OVH soit partenaires de letsencrypt. Du coup dans WordPress (mais les autres CMS sont similaires), il faut se rendre dans Réglages >> Général et ajouter un s dans les 2 champs URL.

Au moment d’enregistrer, vous serez déconnecté de l’espace d’admin de votre site. C’est normal car votre session était réalisée en HTTP et qu’il faut vous reconnecter désormais en HTTPS. Vous venez de passer votre site en Https en 1 clic ! (Si vous avez un plugin de cache, pensez à le vider).

« Euhhhh par contre moi j’ai pas un cadenas vert, mais un cadenas orange ? »

Et oui cela signifie que dans la ou les pages de ton site, tu affiches du « contenu mixte ». C’est à dire que ta page est en https, mais appelle d’autres éléments (images le plus souvent ou fichiers tiers) en http. Un moyen de repérer les éléments qui posent problème, c’est d’aller sur votre site, de faire clic droit >> afficher le code source, puis de rechercher (grâce à un CTRL + F) les valeurs http:// Si vous trouvez un lien vers un autre site cela ne sera pas considéré comme du contenu mixte, mais un lien vers un fichier ou une image, il faudra ensuite le modifier et l’appeler en HTTPS. En fonction de votre site, cela peut être très rapide…ou pas !

Si vous avez énormément de valeurs à modifier, je vous recommande de télécharger ce script : Search and DB replace. Vous dézipperez le fichier uploadé et vous le mettrez à la racine de votre site. Vous pourrez ensuite y accéder en allant dans votre navigateur et en tapant https://www. votresite.com/Search-and-DB-replace. PENSEZ A SAUVEGARDER AVANT !!!!!!

Commencez par faire un Dry Run pour identifier les valeurs qui seront modifiées, puis lancez le Live Run. Vous êtes responsable de ce que vous faites. Donc cliquez sur live run uniquement si vous savez ce que vous faites car une mauvaise manip peut planter l’ensemble de votre site. C’est le risque des outils puissants 🙂 Une fois que c’est fait, pensez a bien supprimer ce script de votre site… ça donne un accès direct à votre base de donnée…

Il reste une dernière étape. Car si vous appelez votre site en https, ça fonctionne bien, mais si vous l’appelez en http, cela reste en http. Pour modifier cela, allez dans le fichier htaccess et ajoutez ce bloc là.

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R,L]
</IfModule>

Pensez également à revoir vos éventuels paramétrages dans Google Analytics ou Google Webmaster tools afin de spécifier la modification en HTTPS.

Et voilà comment avoir une belle note de sécurité sur SSL qualys guard scan

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *