Google marque-t-il votre site comme « Non sécurisé » ? (& Comment y remédier)

Voir l'avertissement « Non sécurisé » apparaître sur votre propre site Web est une expérience effrayante. Lorsque cela est arrivé à l'un de mes sites WordPress, j'ai cru pendant une minute que mon site avait été piraté.

Cependant, ce site était trop ancien et j'avais oublié de le faire migrer vers une connexion HTTPS sécurisée, qui est maintenant une exigence standard pour tous les navigateurs.

Heureusement, la correction de cet avertissement « Non sécurisé » est en fait assez simple.

Dans ce guide, je vous expliquerai les étapes simples pour retrouver cette icône de cadenas rassurante et vous assurer que votre site est sécurisé pour tout le monde.

Pourquoi Google affiche-t-il « Non sécurisé » sur votre site Web ?

Lorsque je vois l'avertissement « Non sécurisé » apparaître sur un site, je sais que cela signifie généralement une chose : le site n'est pas entièrement chiffré. Google affiche cet avertissement lorsqu'un site Web n'utilise pas HTTPS ou qu'il y a un problème avec son certificat SSL.

Pour référence, HTTPS (Hypertext Transfer Protocol Secure) est la version sécurisée de HTTP. Il utilise un certificat SSL/TLS pour chiffrer la connexion entre votre site Web et vos visiteurs.

Laissez-moi vous présenter les quatre raisons les plus courantes pour lesquelles j'ai vu cet avertissement apparaître sur les sites Web WordPress :

• Votre site Web n'a pas de certificat SSL. Les certificats SSL chiffrent la connexion entre votre site Web et les visiteurs. Sans eux, les navigateurs supposent que votre site est dangereux car toute donnée que les gens saisissent, comme des informations personnelles, pourrait être interceptée. C'est la raison la plus courante de cet avertissement.
• Votre certificat SSL est expiré ou invalide. Un certificat SSL peut être installé, mais il peut avoir expiré ou ne pas avoir été correctement configuré. C'est l'une des premières choses que je vérifie. Vous pouvez généralement repérer ce problème SSL en cliquant sur l'icône du cadenas dans la barre d'adresse de votre navigateur.
• Votre site Web a des problèmes de contenu mixte. Même avec un certificat SSL valide, votre site peut toujours s'afficher comme « Non sécurisé » s'il charge du contenu (comme des images ou des scripts) via HTTP. Cela se produit souvent lorsqu'un site est passé à HTTPS, mais que les anciens liens ne sont pas mis à jour.
• Votre site a des URL HTTP dans les paramètres WordPress. Je vérifie toujours l'adresse WordPress et l'adresse du site dans Paramètres » Général. Si celles-ci sont toujours définies sur HTTP, votre site peut continuer à déclencher des avertissements de sécurité même si le SSL fonctionne correctement.

Maintenant que j'ai abordé les causes de l'avertissement « Non sécurisé », examinons comment le corriger et l'empêcher de revenir.

Comment corriger l'avertissement « Non sécurisé » dans Google Chrome

La correction de l'avertissement « Non sécurisé » implique quatre étapes clés : l'installation d'un certificat SSL, la mise à jour de vos URL WordPress, la correction des erreurs de contenu mixte et la redirection de tout le trafic de HTTP vers HTTPS.

Heureusement, la solution n'est généralement pas compliquée. Dans la plupart des cas, il s'agit d'activer un certificat SSL, de mettre à jour quelques paramètres WordPress ou de nettoyer ce qui est connu sous le nom de contenu mixte.

J'ai parcouru ce processus de dépannage sur des dizaines de sites, les miens et ceux d'autres personnes, et je vais vous montrer exactement quoi faire pour sécuriser votre site et vous débarrasser de cet avertissement pour de bon.

Voici les étapes que je vais couvrir :

• Étape 1. Obtenez un certificat SSL gratuit pour votre site Web
• Étape 2. Mettez à jour vos URL WordPress pour utiliser HTTPS
• Étape 3. Corrigez les problèmes de contenu mixte dans WordPress
• Étape 4. Configurez une redirection HTTP vers HTTPS dans WordPress
• Étape 5. Testez votre configuration SSL pour les problèmes de sécurité
• Foire aux questions sur les erreurs SSL et WordPress
• Ressources bonus pour la sécurité WordPress

Étape 1. Obtenez un certificat SSL gratuit pour votre site Web

La première chose que je fais lorsque je corrige un avertissement « Non sécurisé » est de vérifier si un certificat SSL est installé. Cette petite technologie de sécurité chiffre les données entre votre site Web et les visiteurs, et c'est ce qui active HTTPS.

Il y a des années, les certificats SSL pouvaient être coûteux. Certaines entreprises facturent encore un supplément, mais la bonne nouvelle est que vous n'avez pas besoin d'en payer un, surtout si vous débutez.

La plupart des fournisseurs d'hébergement WordPress proposent désormais des certificats SSL gratuits avec leurs forfaits. J'ai utilisé cette option sur des dizaines de sites Web, et dans la plupart des cas, son activation ne prend que quelques clics depuis votre tableau de bord d'hébergement.

Si vous utilisez Bluehost, connectez-vous simplement à votre compte et accédez aux paramètres de votre site Web. Cliquez ensuite sur l'onglet « Sécurité ».

De là, vous verrez l'option pour activer le certificat SSL gratuit. Il suffit de l'activer, et c'est parti.

Remarque : Le processus est similaire pour d'autres hébergeurs. Si vous utilisez un fournisseur différent, le paramètre SSL se trouve presque toujours dans la section sécurité de votre tableau de bord d'hébergement.

Pour les hébergeurs qui utilisent cPanel, vous devrez le lancer depuis votre tableau de bord d'hébergement. Faites défiler jusqu'à l'onglet « Sécurité » et cliquez sur l'icône SSL/TLS.

Et si votre hébergeur n'offre pas de SSL gratuit, ne vous inquiétez pas, vous pouvez toujours en obtenir un via Let’s Encrypt.

Nous avons un tutoriel détaillé qui vous montre exactement comment faire : Comment ajouter le SSL gratuit dans WordPress avec Let’s Encrypt.

Étape 2. Mettez à jour vos URL WordPress pour utiliser HTTPS

Même avec un certificat SSL, votre site peut toujours s'afficher comme « Non sécurisé » si les paramètres WordPress sont incorrects. Vous pouvez résoudre ce problème en mettant à jour l'URL de votre site.

Allez simplement à la page Paramètres » Général dans votre tableau de bord WordPress.

Ensuite, assurez-vous que les champs « Adresse WordPress (URL) » et « Adresse du site (URL) » utilisent tous deux https:// au lieu de http://.

N'oubliez pas de cliquer sur le bouton « Enregistrer les modifications » pour sauvegarder vos paramètres.

WordPress commencera maintenant à utiliser https:// pour toutes les URL de votre site Web. Cependant, certaines URL HTTP peuvent encore être stockées dans votre base de données WordPress, ce qui peut causer des problèmes à l'avenir.

Ensuite, je vais vous montrer comment corriger facilement ces URL.

Étape 3. Corrigez les problèmes de contenu mixte dans WordPress

Une raison de l'avertissement « Non sécurisé » est les problèmes de contenu mixte. Cela se produit lorsque certaines parties de votre site Web se chargent à l'aide d'une URL HTTP (non sécurisée).

La quasi-totalité de ces URL sont stockées dans votre base de données WordPress et ajoutées par votre thème ou vos plugins WordPress. Vous pouvez également avoir des URL http:// dans vos articles de blog et vos pages.

Pour résoudre ce problème, vous aurez besoin d'un plugin de recherche et remplacement pour trouver les URL http et les remplacer par https://. Le meilleur plugin pour cette tâche est Search & Replace Everything.

J'utilise Search and Replace Everything car il est rapide, efficace et développé par l'équipe WPCode, les mêmes experts derrière le plugin d'extraits de code le plus populaire pour WordPress. Plus important encore, il est très facile à utiliser, même pour les débutants.

Astuce💡: Il existe également une version gratuite de Search & Replace Everything que vous pouvez utiliser.

Tout d'abord, vous devez installer et activer le plugin Search and Replace Everything. Pour plus de détails, vous pouvez consulter ce guide sur comment installer des plugins WordPress.

Après l'activation du plugin, accédez à la page Outils » Rechercher et remplacer pour commencer à utiliser le plugin.

Dans le champ « Rechercher », vous devez entrer http:// et dans le champ « Remplacer par », ajouter https://.

Après cela, vous devez cliquer sur « Tout sélectionner » pour vous assurer que toutes les tables de votre base de données WordPress sont incluses dans la recherche.

Enfin, cliquez sur le bouton « Prévisualiser la recherche et le remplacement ».

Le plugin effectuera alors la recherche et vous montrera un aperçu des résultats. Cela vous permet de vérifier les données avant qu'elles ne soient modifiées de manière permanente.

Examinez attentivement les résultats, et une fois que vous êtes satisfait, cliquez sur le bouton « Remplacer tout ».

Le plugin apportera alors des modifications à votre base de données WordPress et remplacera toutes les URL HTTP par HTTPS.

Pour plus de détails, consultez ce guide sur comment corriger l'erreur de contenu mixte dans WordPress.

Étape 4. Configurez une redirection HTTP vers HTTPS dans WordPress

Après avoir fait passer un site à HTTPS, l'une des étapes que je ne saute jamais est la configuration d'une redirection de HTTP vers HTTPS. Sans cela, les gens pourraient toujours atterrir sur la version non sécurisée de votre site via d'anciens liens ou des favoris.

La manière la plus fiable de créer une redirection est d'ajouter une règle à votre fichier .htaccess.

Voici l'extrait que j'utilise sur la plupart des sites WordPress :

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Le fichier .htaccess est situé dans le dossier racine de votre site. Vous devrez peut-être activer l'option « Afficher les fichiers cachés » dans le gestionnaire de fichiers de votre hébergement ou votre client FTP pour le voir.

Pour plus de détails, consultez ce guide sur la façon de corriger le fichier .htaccess de WordPress.

Si votre site Web fonctionne sur Nginx au lieu d'Apache, vous devrez configurer la redirection différemment.

Au lieu de modifier un fichier .htaccess, vous devrez mettre à jour votre configuration Nginx.

Voici le code que j'ajouterais pour rediriger tout le trafic HTTP vers HTTPS dans Nginx :

server {
    listen 80;
    server_name yoursite.com www.yoursite.com;
    return 301 https://yoursite.com$request_uri;
}

Vous voudrez placer ce bloc au-dessus du bloc serveur HTTPS existant dans le fichier de configuration Nginx de votre site, généralement situé dans /etc/nginx/sites-available/ ou /etc/nginx/conf.d/.

Important : N'oubliez pas de remplacer « yoursite.com » dans le code ci-dessus par le nom de votre domaine réel.

Une fois que vous avez ajouté la redirection, n'oubliez pas de recharger Nginx pour que les modifications prennent effet :

sudo nginx -s reload

Si vous n'êtes pas sûr de l'endroit où apporter la modification, il est conseillé de contacter votre fournisseur d'hébergement.

Étape 5. Testez votre configuration SSL pour les problèmes de sécurité

Après avoir apporté ces modifications, vous devriez tester votre site Web pour vous assurer que tout fonctionne correctement.

Vous pouvez utiliser le SSL Labs SSL Test pour vérifier votre certificat. Il fournit une analyse technique approfondie et une note (de A+ à F) pour votre configuration SSL, ce qui est idéal pour une vérification complète.

Un autre outil alternatif que j'ai souvent utilisé est Why No Padlock? Je l'aime bien car il fournit un rapport simple et facile à comprendre, parfait pour identifier rapidement les problèmes de contenu mixte restants.

Enfin, essayez de visiter votre site en mode Incognito. Si vous voyez toujours l'avertissement « Non sécurisé », vous devez vider votre cache WordPress ou attendre quelques minutes que les modifications prennent effet.

Foire aux questions sur les erreurs SSL et WordPress

Combien coûte un certificat SSL ?

Bien que certains fournisseurs en facturent, vous pouvez obtenir un certificat SSL gratuit. La plupart des meilleurs hébergeurs WordPress en incluent un gratuitement avec leurs forfaits. Vous pouvez également obtenir un SSL gratuit auprès d'autorités de certification à but non lucratif comme Let’s Encrypt.

Puis-je ignorer l'avertissement « Non sécurisé » sur mon site web ?

Ignorer l'avertissement « Non sécurisé » n'est pas recommandé. Cela érode la confiance des visiteurs, ce qui peut entraîner des taux de rebond plus élevés et des ventes perdues. Les moteurs de recherche comme Google utilisent également HTTPS comme signal de classement, donc ne pas l'avoir peut avoir un impact négatif sur votre SEO.

Combien de temps faut-il pour corriger l'avertissement « Non sécurisé » ?

Pour la plupart des sites WordPress, vous pouvez corriger l'avertissement « Non sécurisé » en moins de 30 minutes. Le processus consiste à activer votre certificat SSL via votre hébergeur, à mettre à jour les URL dans vos paramètres WordPress et à configurer une redirection. L'utilisation d'un plugin peut accélérer le processus de correction des anciens liens HTTP dans votre contenu.

Ressources bonus pour la sécurité WordPress

Je suis ce guide de sécurité WordPress sur tous les sites web sur lesquels je travaille. Ce guide étape par étape offre un plan d'action facile pour sécuriser correctement votre site web WordPress.

Voici quelques ressources supplémentaires qui, je pense, vous seront utiles :

• Comment renouveler un certificat SSL (étape par étape pour les débutants)
• TLS vs SSL : quel protocole utiliser pour WordPress ?
• Conseils de sécurité pour le e-commerce : comment sécuriser votre boutique WordPress
• Comment ajouter des en-têtes de sécurité HTTP dans WordPress (Guide pour débutants)
• Les erreurs WordPress les plus courantes et comment les corriger

Si cet article vous a plu, abonnez-vous à notre chaîne YouTube pour des tutoriels vidéo WordPress. Vous pouvez également nous retrouver sur Twitter et Facebook.