Comment installer un certificat SSL sur WordPress : Guide complet pas à pas

Votre site WordPress affiche« Non sécurisé » ? Voici comment régler le problème en 30 minutes

Imaginez : un visiteur atterrit sur votre boutique en ligne, voit un cadenas barré dans la barre d’adresse, et quitte immédiatement. Pire, Google pénalise votre référencement à cause d’un site non sécurisé. La solution ? Un certificat SSL, qui transforme http:// en https:// et rassure vos utilisateurs. Ce tutoriel vous guide étape par étape, des prérequis techniques aux vérifications finales, avec des astuces pour éviter les pièges courants.

Pré-requis et vision d’ensemble : Ce dont vous avez besoin avant de commencer

Avant de plonger dans l’installation, voici ce qu’il faut préparer. Le processus varie légèrement selon votre hébergeur, mais les principes restent les mêmes.

Note pour les débutants : Si les termes comme »FTP » ou »SSH » vous sont inconnus, privilégiez la méthode via votre hébergeur (section 1). Les utilisateurs avancés peuvent opter pour une installation manuelle (section 3).

Tutoriel pas à pas : Installez votre certificat SSL sans erreur

Étape 1 : Générer le certificat SSL (méthode la plus simple via l’hébergeur)

Objectif : Obtenir un certificat SSL valide en quelques clics, sans toucher au code.

1. Connectez-vous à votre espace client :
   • Pour OVH : Allez dans Web Cloud → Hébergements → SSL/TLS.
   • Pour Hostinger : Hébergement → SSL → Installer.
   • Pour SiteGround : Sites → Gérer le site → Sécurité → SSL Manager.
2. Choisissez votre domaine : Sélectionnez le domaine principal (ex: monsite.fr) et cochez l’option Inclure le www si vous l’utilisez.
3. Sélectionnez Let’s Encrypt : Optez pour le certificat gratuit (valide 90 jours, renouvellement automatique). Pour un certificat payant (ex: DV pour 1 an), suivez les instructions de votre hébergeur.
4. Validez et attendez : La génération prend 1 à 5 minutes. Un email de confirmation vous sera envoyé.

Comment vérifier que ça marche : Dans votre navigateur, tapez https://votresite.fr. Le cadenas vert doit apparaître à gauche de l’URL. Si ce n’est pas le cas, attendez 10 minutes (propagation DNS) ou passez à l’étape 2.

Erreurs fréquentes et solutions :

• « Certificat en attente » : Vérifiez que votre domaine pointe bien vers l’IP de votre hébergeur (via DNS Checker).
• « Erreur de chaîne » : Contactez le support de votre hébergeur pour qu’ils installent le certificat intermédiaire.
• Site inaccessible : Désactivez temporairement Cloudflare ou un plugin de cache comme WP Rocket.

Étape 2 : Forcer le HTTPS dans WordPress (2 méthodes)

Objectif : Rediriger automatiquement les visiteurs vers la version sécurisée (https://) et éviter le contenu mixte.

Méthode 1 : Via les réglages WordPress (recommandé pour les débutants)

1. Allez dans Tableau de bord → Réglages → Général.
2. Modifiez les champs :
   • Adresse WordPress (URL) : Remplacez http:// par https://.
   • Adresse du site (URL) : Faites de même.
3. Enregistrez les modifications. Vous serez déconnecté·e : reconnectez-vous via https://votresite.fr/wp-admin.

Méthode 2 : Via le fichier .htaccess (pour les utilisateurs avancés)

Éditez le fichier .htaccess à la racine de votre site (via FTP ou le gestionnaire de fichiers de votre hébergeur) et ajoutez ce code au début :

RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Comment vérifier que ça marche :

• Tapez http://votresite.fr dans votre navigateur : vous devez être redirigé vers https://.
• Utilisez l’outil Why No Padlock pour détecter d’éventuels éléments non sécurisés (images, scripts).

Erreurs fréquentes et solutions :

• Boucle de redirection : Supprimez les règles HTTPS dans .htaccess et utilisez uniquement la méthode WordPress.
• Contenu mixte : Installez le plugin Really Simple SSL (section 4) pour corriger les URLs en dur.

Étape 3 : Installer manuellement un certificat SSL (méthode avancée)

Objectif : Pour les utilisateurs qui préfèrent contrôler chaque étape ou dont l’hébergeur ne propose pas d’outil intégré.

1. Générez une CSR (Certificate Signing Request) : Via SSH, exécutez :

   openssl req -new -newkey rsa:2048 -nodes -keyout votresite.fr.key -out votresite.fr.csr

   Remplissez les informations demandées (Common Name = votre domaine).

2. Soumettez la CSR à une autorité de certification :
   • Pour Let’s Encrypt : Utilisez Certbot (sudo certbot –apache ou –nginx).
   • Pour un certificat payant : Envoyez la CSR à votre fournisseur (ex: DigiCert, Sectigo).
3. Installez les fichiers sur votre serveur : Téléchargez les fichiers .crt (certificat) et .key (clé privée), puis placez-les dans /etc/ssl/ (Linux) ou via le gestionnaire de fichiers.
4. Configurez votre serveur web :
   • Apache : Éditez le fichier de configuration du site (/etc/apache2/sites-available/votresite.conf) et ajoutez : :443> ServerName votresite.fr SSLEngine on SSLCertificateFile /chemin/vers/votresite.fr.crt SSLCertificateKeyFile /chemin/vers/votresite.fr.key # … autres directives …
   • Nginx : Modifiez /etc/nginx/sites-available/votresite :

     server { listen 443 ssl server_name votresite.fr ssl_certificate /chemin/vers/votresite.fr.crt ssl_certificate_key /chemin/vers/votresite.fr.key # … autres directives … }

5. Redémarrez votre serveur : # Apache sudo systemctl restart apache2

   # Nginx sudo systemctl restart nginx

Comment vérifier que ça marche : Utilisez SSL Checker pour valider l’installation. Vérifiez aussi que le cadenas apparaît sans avertissement.

Erreurs fréquentes et solutions :

• « SSL handshake failed » : Vérifiez que les chemins vers les fichiers .crt et .key sont corrects.
• Certificat expiré : Renouvelez-le via sudo certbot renew (Let’s Encrypt).
• Port 443 bloqué : Ouvrez le port dans votre pare-feu (sudo ufw allow 443/tcp).

Étape 4 : Corriger le contenu mixte et optimiser (plugin recommandé)

Objectif : Éliminer les avertissements »Contenu non sécurisé » et améliorer les performances.

1. Installez Really Simple SSL : Allez dans Extensions → Ajouter → Recherchez »Really Simple SSL » → Installez et activez.
2. Lancez la détection automatique : Le plugin affichera un bouton « Activer SSL ». Cliquez dessus pour :
   • Forcer le HTTPS.
   • Corriger les URLs en dur dans la base de données.
   • Configurer les redirections.
3. Vérifiez les éléments externes : Dans Really Simple SSL → Réglages → Contenu mixte, le plugin listera les ressources non sécurisées (ex: images hébergées sur http://). Remplacez-les par des URLs en https:// ou supprimez-les.

Comment vérifier que ça marche : Ouvrez la console du navigateur (F12 → onglet Console) : aucun avertissement »Mixed Content » ne doit apparaître.

Erreurs fréquentes et solutions :

• Plugin bloqué par le cache : Vide le cache via WP Rocket ou LiteSpeed Cache.
• Base de données non mise à jour : Utilisez Better Search Replace pour remplacer http://votresite.fr par https://votresite.fr.

Bonnes pratiques et optimisations post-installation

1. Sécurité renforcée : Protocoles et en-têtes HTTP

Un certificat SSL seul ne suffit pas. Ajoutez ces couches de protection :

• Désactivez TLS 1.0/1.1 : Dans votre fichier de configuration Apache/Nginx, ajoutez : # Apache SSLProtocol -all +TLSv1.2 +TLSv1.3

  # Nginx ssl_protocols TLSv1.2 TLSv1.3

• Activez HSTS : Ajoutez cette en-tête dans .htaccess ou la config Nginx :

  Header always set Strict-Transport-Security »max-age=31536000 includeSubDomains preload »

  Attention : Testez d’abord avec max-age=300 (5 min) pour éviter les blocages.

• Utilisez des suites de chiffrement solides : Pour Apache :

  SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384

2. Performances : HTTPS et vitesse de chargement

Le HTTPS peut ralentir votre site si mal configuré. Optimisez avec :

• OCSP Stapling : Activez-le pour réduire les temps de réponse : # Apache SSLUseStapling on SSLStaplingCache »shmcb:logs/ssl_stapling(32768) »

  # Nginx ssl_stapling on ssl_stapling_verify on

• CDN compatible HTTPS : Si vous

  3. Cache et compression : Accélérer le HTTPS

  Pour compenser l’impact potentiel du HTTPS sur les performances, activez la mise en cache côté serveur et la compression des données. Configurez votre serveur pour compresser les ressources statiques (CSS, JS, images) avec Gzip ou Brotli. Par exemple, dans Apache :

  # Apache SetOutputFilter DEFLATE AddOutputFilterByType DEFLATE text/ text/plain text/xml text/css application/javascript

  Pour Nginx, utilisez le module ngx_http_gzip_module. Combinez cela avec un cache HTTP efficace (Varnish, Redis) pour réduire la charge côté serveur.

  4. Monitoring et maintenance

  Surveillez régulièrement la validité de votre certificat SSL et les erreurs de connexion. Utilisez des outils comme SSL Labs (SSLTest) pour auditer votre configuration. Planifiez des renouvellements automatiques via Let’s Encrypt ou votre autorité de certification.

  Vérifiez aussi les erreurs dans les logs (Apache : error.log, Nginx : error.log) et corrigez les avertissements liés à SSL/TLS.

  5. Migration complète vers HTTPS

  Après l’installation, assurez-vous que toutes les ressources (images, scripts, liens internes) utilisent des URLs HTTPS. Utilisez des plugins comme »Really Simple SSL » pour forcer le HTTPS et corriger les liens mixtes.

  Mettez à jour les URLs dans la base de données via des outils comme Better Search Replace pour éviter les erreurs 404.

  Si vous avez besoin d’aide, contactez un webmaster sérieux qui va vous aider dans vos tâches de site internet. Voici le numéro de téléphone : 09 77 29 09 69

  Et n’oubliez pas : une bonne gestion comptable, c’est la clé d’une boutique prospère. Alors, prêt à prendre les commandes de vos finances ? 🚀

  Post Views: 80
  

  Chloé Renard

  Spécialiste en Marketing SEO

  Chloé Renard est une experte en marketing SEO avec plus de dix ans d'expérience. Elle a aidé de nombreuses entreprises à améliorer leur visibilité en ligne grâce à des stratégies de référencement innovantes et efficaces. Passionnée par l'analyse de données et les tendances du marché, elle est toujours à la pointe des dernières techniques SEO.

  Commentaires (2)

  

  Emma_73 il y a 2 semaines

  Merci pour ce guide détaillé ! J'ai enfin réussi à sécuriser mon site WordPress grâce à vos explications claires.

  

  Jean_17 il y a 2 semaines

  Merci pour ce guide détaillé ! J'avais justement besoin de sécuriser mon site WordPress, ça tombe à pic.