Entre le moment où OVH a mis en place Let’s Encrypt et le moment où j’ai pu enfin le mettre en place, il aura fallu attendre plusieurs longues semaines. Le passé est le passé et aujourd’hui je peux dire fièrement que tous mes sites fonctionnent correctement en HTTPS. Mais cela ne s’est pas fait sans difficulté.
Après avoir passé le forum (depuis 3 semaines) assez facilement, j’ai décidé de passé Cachem et Films Tous Publics. Pour le Forum des NAS : comme une lettre à la poste grâce à PHPBB. Pour WordPress, ça été un peu plus compliqué.
WordPress et HTTPS
Je pars du principe que vos avez déjà votre certificat (Let’s Encrypt) permettant le HTTPS. Alors avant de commencer à rentrer dans les cas particuliers, il faut passer par le menu Réglages à gauche puis Général
et ajouter un petit s après http
Ensuite, il faut modifier le fichier .htaccess Ce dernier est accessible depuis votre client ftp préféré. Attention, suivant le logiciel il n’est pas forcément visible par défaut. Cherchez dans les menus « Afficher les fichiers cachés » ou « Forcer l’affichage des fichiers cachés » le cas échéant. Dans ce fichier, il faudra ajouter les lignes suivantes :
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.mondomaine.fr/$1 [R=301,L]
La prise en compte est immédiate. Malheureusement, cela ne suffit pas. En effet, si la page d’accueil affiche bien le cadenas vert… il n’en ai rien dans les autres pages.
HTTPS et les extensions
Sous WordPress, dès que vous voulez faire quelques choses… il y a une extension/plugin pour ça. Personnellement, je n’aime pas trop l’usage des extensions et je les limite au maximum. Ces dernières ralentissent les thèmes et peuvent être responsables de faille de sécurité. Ici, j’aurais pu prendre un comme celui-ci ou encore celui-là. C’est dommage, car si vous avez suivi les étapes ci-dessus… vous avez quasiment fini.
Un problème de cadenas apparait après les modifications ci-dessus. Sur la page d’accueil, tout semble bon.
Mais sur les articles, c’est tout autre chose. La connexion est bien privée, mais d’autres personnes connectées au réseau peuvent réussir à modifier l’apparence de la page (sic).
Le souci concerne souvent les images. Voici le message avec dans la console Chrome :
« Mixed Content: The page at ‘https://www.mondomaine.fr/ma-page/’ was loaded over HTTPS, but requested an insecure image ‘https://www.mondomaine.fr/wp-content/uploads/2015/02/MonImage.png’. This content should also be served over HTTPS.
Alors, comment faire ? Et si on prenant une extension…
Pourquoi une extension ?
« Quoi WTF ? Tu viens de dire qu’il fallait éviter les extensions ! » Et c’est vrai, sauf que cette extension nous allons l’utiliser qu’une seule fois. Ensuite, vous pourrez la virer. L’extension s’appelle Velvet Blues Update URLs. Son job, elle met à jour toutes les URL de votre site web en remplaçant les anciennes par des nouvelles. Elle peut être utile si vous changez de nom de domaine.
Mon souci ne provenant que pour l’URL des fichiers joints (images notamment), j’ai coché cette case unique. Malheureusement, cela n’a pas suffi. Il a fallu que je fasse une deuxième fois l’opération avec la première case cochée. Après cette deuxième opération, j’ai retiré le plugin/extension.
Bien sûr, vous pouvez faire une modification directement en base de données… mais je vous le déconseille. Un accident est si vite arrivé. Maintenant, si la requête update vous démange, pensez à faire une sauvegarde complète de vos tables avant.