Bref. Je suis passé au HTTPS

https temoignage tutoriel

Un invité sur le blog aujourd'hui, je lui laisse de suite le clavier

Je m'appelle Jimmy, j'ai 30 ans. "Référenceur amateur" qui évolue dans l'ombre, j'ai décidé de passer mon propre site en HTTPS. Si ce changement s'est passé sans problème, cela n'a pas été de tout repos. De longues heures de recherches et tests ont été nécessaires pour faire les choses comme il faut.

Si vous aussi vous avez envie de passer votre site en HTTPS, je vous propose un tutoriel qui vous fera gagner beaucoup de temps. Avant de passer aux explications, voici une petite présentation dans laquelle je vous dirai aussi pourquoi j'ai décidé de sécuriser mon site.

On prend sa respiration 🙂

Né en 1985, j'avais 13 ans quand Google est né et les personnes de ma génération pouvons dire que nous avons grandi avec ce moteur de recherche. Je me suis passionné très jeune par la création de site internet. Je me souviens qu'au collège, j'avais déjà commencé à créer des sites internet sur "Voila". Sans aucune formation, j'ai commencé à "faire du code" avec seulement un livre sur le HTML qui m'aidait. C'était le début ma longue formation autodidacte dans le domaine du web. Les années passèrent et je continuais à créer des sites en tout genre, avec des durées de vie plus ou moins courtes.

Après le lycée, je n'ai pas suivi de formation dans le domaine de l'informatique, mais dans celui de la médecine. Malgré les cours et les révisions, je continuais à me faire plaisir avec mes sites et une autre passion qui m'anime : la musculation. J'ai découvert le référencement assez tard. À ce moment, les bons annuairistes étaient un peu comme les rois du monde. Il y avait des mastodontes, WRI et Yagoort entre autres. Je les enviais beaucoup. J'ai donc moi-même créé un annuaire et avec beaucoup de travail j'ai même réussi à le propulser en première position pour la requête "annuaire" pendant quelques semaines devant les pages jaunes et d'autres gros sites.

Comment ai-je fait ? Je ne sais pas vraiment, mais j'ai ma petite idée. À l'époque les annuaires c'était pas comme maintenant, les descriptions uniques, le duplicate content, personne ne connaissait. Les annuaires étaient presque tous les mêmes. Il fallait payer un Allopass pour se référencer dans X annuaires. Et sans parler d'annuaires automatiques, les autres ne vérifiaient pas encore que les descriptions soient uniques.

Avec mon petit annuaire, je voulais faire quelque chose qui ne ressemble pas aux autres. J'ai donc pris la décision d'écrire les descriptions moi-même des sites qui s'enregistraient. Un travail titanesque qui a payé une partie de mes études. Un jour j'ai eu l'occasion de le vendre et comme j'étais un étudiant dans le besoin je m'en suis séparé.

Suite à ça le temps libre fut difficile à tuer et quelque mois plus tard je me suis décidé de créer un site de musculation pour partager mon expérience et ma passion. Les débuts furent prospères. Je faisais des inscriptions dans les annuaires et pour le faire connaître je donnais des conseils via les communiqués de presse. Pour moi ce n'était pas mal de le faire, je faisais ça parce que j'avais lu comme beaucoup de personnes que c'était un bon moyen de faire connaître son site. Mais un jour le pingouin est passé par là et a mis fin à tout. C'est pas si mal qu'il en soit ainsi, mais je pense que ça aurait pu se passer autrement, c'était vraiment brutal. Depuis, je n'ai jamais réussi à retrouver mon trafic d’antan, mais je ne perds pas espoir.

Pourquoi ai-je décidé de sécuriser mon site ?

Je reconnais que passer un site d'information sur la musculation en HTTPS peut être déconcertant. De plus, je ne vends rien et je ne récupère aucune information. C'est un peu comme si dans le monde physique j'avais une bibliothèque, et que je décidais d'y installer un sas de sécurité à l'entrée comme on peut en trouver dans certaines banques. Il y aura une minorité de personnes a qui ça fera plaisir : les fanas de l'hypersécurité par exemple, mais pour la majorité des autres, cela ne changera rien et ça sera même une contrainte. La contrainte c'est le temps. Le petit temps supplémentaire qu'il faudra pour rentrer dans la bibliothèque pourra en irriter certains. Sur internet, cette contrainte est encore plus pénalisante. L'HTTPS étant plus lent que sa version non sécurisée, les mécontents pourront jusqu'à bouder votre site en allant voir ailleurs, car vos pages sont trop longues à charger. Quand on sait que quelques millisecondes peuvent faire la différence...

La promesse de Google m'a longtemps fait hésiter. Au début je m'étais dit non, non et non. Je me suis souvenu de mon amère expérience avec le Mobilegeddon. Comme beaucoup de webmasters, j'ai passé des heures, des jours, des semaines à transformer mon site pour le rendre mobile friendly. Honnêtement avant ces transformations, le site était facilement consultable. Il fallait juste tapoter sur le contenu pour faire disparaître la sidebar et lire facilement les articles. Mais je me suis dit, tout le monde n'a pas un téléphone tactile et ce moment-là, il y avait aussi l'espérance d'un classement meilleur. Le 21 avril 2015 passa et ce fut une terrible déception.

Rien ! nada ! aucune amélioration dans le classement. Sans transition, revenons-en au HTTPS... il parait que cette fois-ci Google tiendra ses promesses. Malgré les avertissements des plus grands noms du SEO, je sens que cette fois-ci cela va payer ! mon site va décoller ! (c'est beau de rêver). Me voilà reparti dans une nouvelle aventure.

Après de nombreuses heures de recherches pour bien faire les choses, je l'ai fait ! Et jusqu'à aujourd'hui aucun effet négatif, ni positif... mais sait-on jamais.

Pour celles et ceux qui tournent sur WordPress et qui veulent à leurs tours se lancer, ce petit tutoriel vous épargnera des nombreuses heures de recherches et vous pourrez passer en HTTPS en quelques minutes.

Attention, comme vous pourrez le voir sur SEMrush par exemple, mon passage à l'HTTPS ne m'a pas fait perdre de positions, mais je ne vous garantis pas que cela se passe de la même manière pour votre site. J'ai pu lire sur quelques blogs SEO que certains avaient constaté une baisse de trafic transitoire donc je préfère vous prévenir.

Un autre point pour ne pas qu'il y ait une mauvaise surprise. Le changement vers l'HTTPS va remettre à 0 tous vos compteurs de partages des réseaux sociaux. Cela peut paraître problématique surtout si vous avez beaucoup de tweet, +1 ou partage. Personnellement j'avais des articles avec plus de 2000 j'aime. Ça fait mal au coeur, mais j'ai trouvé une solution qui pourra peut-être vous aider si vous avez comme moi des articles intemporels : j'ai tout simplement décidé de publier à nouveau sur Facebook les anciens articles pour renflouer les compteurs. Cela permet de faire d'une pierre deux coups en rappelant des conseils de base aux nouveaux. Ce n’est donc pas si dramatique.

Passer au HTTPS sans problème sous WordPress

Commander un certificat SSL

Avant de passer en revue toutes les étapes pour passer au HTTPS, vous aurez besoin d'un certificat SSL, cela va de soi. C'est le moment qui pique un peu, car vous devrez sortir votre porte-monnaie. Une fois le certificat activé, il va falloir faire quelques modifications sur votre site WordPress, car le certificat seul n'est pas suffisant pour voir le fameux cadenas vert partout sur son site. Il existe pas mal de plugins gratuits qui peuvent vous faire gagner du temps comme WordPress HTTPS (SSL) et Easy HTTPS Redirection mais vous pouvez aussi tout faire à la main, c'est ce que j'ai préféré faire. Voici donc les étapes que j'ai suivies. Une petite mise en garde, avant de faire la moindre modification, faites une sauvegarde de votre base de données et de votre FTP. On n'est jamais trop prudent.

Changement des URLs sur le site

La première étape consiste à passer toutes vos URLs absolues en URLs relatives.
Attention, il ne faut rien oublier, car il suffit d'oublier une seule URL pour tout faire capoter. Si vos URLs sont déjà toute en relative vous allez gagner beaucoup de temps. Sinon il faudra regarder et changer :

  • les URLs de votre thème : images, fichiers css, ressources (jquery par exemple).
  • les URLs de vos liens internes dans les articles.

Si vous avez beaucoup d'articles et que vous utilisez phpMyAdmin, vous pouvez utiliser l'option rechercher et remplacer dans la table wp_posts pour modifier rapidement vos URLs avec des chemins relatifs.

phpmyadmin passage url relative
À ce moment-là, votre site est en https mais vos visiteurs qui avaient l'habitude de le consulter avec la version HTTP continuent à le voir ainsi et Google aussi. Pour éviter ça, il va falloir rediriger.

La redirection automatique des pages http vers https

Ici les plugins que j'ai cité ci-dessus seront utiles. Personnellement j'ai eu du mal à passer cette étape. J'ai voulu faire les redirections avec le .htaccess et j'ai cherché et testé beaucoup de code qui ont provoqué des erreurs 500 sur le serveur. J'ai donc demandé de l'aide à mon hébergeur et ce dernier m'a donné ce code qui fonctionne parfaitement :


<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{HTTP:CF-Visitor} '{"scheme":"http"}'
RewriteRule ^(.*)$ [L,R=301]
RewriteCond %{HTTP_HOST} ^domaine.com
RewriteRule ^(.*)$ [L,R=301]
</IfModule>

Il y a aussi votre URL dans les réglages de WordPress à  changer. Pour cela, connectez-vous à votre tableau de bord et allez dans Réglages>>Général.
Rajouter un "s" à HTTP dans vos adresses

reglage wordpress https

Pour forcer l'accès à votre administration avec une adresse sécurisée, il vous faudra rajouter cette petite ligne de code dans le fichier wp-config.php :

define ( 'FORCE_SSL_ADMIN' , true);

Une fois les redirections en place, votre site ne peut être consulté qu'en version sécurisée. Quelle que soit l'ancienne URL que vous rentrez dans la barre d'adresse, vous devriez être redirigé avec la nouvelle URL avec le https et le cadenas vert. Pour information, Google a mis moins de 24 heures avant de mettre les premières pages en version https dans les résultats de recherches et environ 72 heures pour toutes les pages du site (350 page environs).

C'est fini ? Eh bien non ! Il y a encore du travail.

Pour toi Google

Premièrement, il va falloir aller du côté de la Google search console et réenregistrer le site comme si il était nouveau. Il va falloir envoyer le sitemap. Vérifier bien que les URLs soient bien avec le https. Avec celui de Yoast, ça ne s'est pas fait automatiquement. J'ai dû désactiver le sitemap puis le réactiver pour l'avoir comme il faut.

Autre chose à laquelle je n'avais pas pensé : changer l'adresse du sitemap dans le fichier robots.txt qui doit donc ressembler à ça :

User-agent: *
Sitemap: https://www.votrenomdedomaine.com/sitemap.xml

Une dernière action importante surtout en ce moment, renvoyer votre fichier d'URLs à désavouer ( si vous en avez un) avec votre nouveau compte Google search console. Pour cela il suffit de se rendre sur l'ancien compte, de télécharger le ficher .csv, de copier le tout sur un fichier .txt et de le renvoyer sur le compte associé au site en https.

À ce moment-là, si je n’ai rien oublié, c'est fini. Pour résumer :

  1. Commander un certificat SSL
  2. Changer les URLs pour qu'elles aient un chemin relatif
  3. Mettre en place les redirections automatiques
  4. Créer un nouveau compte Google search console
  5. Vérifier et renvoyer le nouveau sitemap
  6. Mettre à jour le fichier robots.txt
  7. Renvoyer le fichier d'URLs à désavouer

Comme je vous l'ai dit, pas plus d'une petite semaine pour que mon site  www.espace-musculation.com  soit passé en version sécurisée dans Google.

Aujourd'hui, un mois plus tard, aucune amélioration, aucun boost dans mes positions qui n'ont pas changé. J'attends patiemment une opération du Saint-Esprit pour faire décoller mon site.

Bref. Je suis passé à l'https.

Vous pouvez retrouver Jimmy sur Google+ (gaffe, il est costaud 🙂 )

(je recevrai un mail quand un article est publié (no spam)

19 thoughts on “Bref. Je suis passé au HTTPS

  1. Ligo

    Merci Jimmy pour ce témoignage sur l'installation de https et vive les "seo amateurs" 🙂

    Pour un petit site "paroissial " j'ai fait pareil et au début je trouvait ça insensé mais moi ça a payé un tout petit peu et Google a apprécié. J'ai installé ce bazar de https dans la foulée et au début j'ai été pénalisé et ça a remonté après et tout doucement. Et d'ailleurs j'avais fait du n'importe quoi dans le search console: j'ai supprimé le site (http) et j'ai enregistré la version https puisque je ne trouvais pas d'autres alternatives.

    Je vous épargne l'étape chiante d'installer un certificat sur ndd qui n'est pas enregistré chez le même hébergeur (registrar)!!!!

    Installer un https sur un siteweb paroissial à 200 visites par jour c'était / c'est bizarre et glauque mais je l'ai fait en pensant aux 4000 abonnés à la newsletter ( et j'ignore encore le rapport) qui pourrait trouver ça cool et sympa avec le petit cadenas vert 🙂 La classe quoi!!!! Heureusement les propritaires du site en question ont eu l'idée d'en profiter et d'y vendre quelques trucs. Du coup tout le monde était content puisque https s'est finalement retrouvé dans la suite logique (mettre en confiance les éventuels acheteurs)

    Pour la lenteur, j'utilise WP Rocket et ça a l'air de smatcher jusqu'à maintenant.

    Tu as très bien fait de citer quelques plugins de redirection https, je me permets de rajouter à ta liste ce plugin "Really Simple SSL" qui m'a plu et a tout fait à ma place. Par contre au début ça n'allait pas avec Yoast. ( je sais pas si c'est à cause du fait qu'ils sont tous les 2 d'origine hollandaise!!! )

    Pour finir, j'ai une petite question qui me chifonne: peut-on faire confiance (déjà) aux certificats SSL émis par "Let's Encrypt" (gratuits) ou devons-nous attendre( encore) un peu? Certains hébergeurs comme infomaniak le propose mais....

    Bref, Google nous pousse pour un monde meilleur du web, (je pense ici aux utilisateurs lamba) mais certains guru du seo nous chauffent les têtes, j'ai l'impression et bonjour les chambardements !!! Et perso, j'ai même arrêté de lire certains blogs (pourtant réputés seo) pour faire mes tests moi-même ou lire mon journal préféré du dimanche chez Sylvain 😉

  2. Yann

    Sous Nginx la ligne à ajouter pour rediriger le http vers https: (a ajouter dans le server bloc qui livre le http, qui écoute le port 80 donc)

    return 301 https://www.domaine.com$request_uri;

  3. Françoise

    Hello Jimmy !
    Déjà bravo pour un parcours qui, comme la muscu, demande sueur et efforts ! En même temps c'est vrai que le SEO est un job qui s'est découvert "sur le tas"... Tas de cailloux semés par Google, bien sûr ! Et qui requiert des muscles si on veut les bouger ! 😉
    J'espère que le travail accompli pour ce passage au HTTPS sera un jour payant. Ce serait quand même dommage d'avoir fait tout cela pour rien (enfin hormis l'expérience acquise - et partagée, merci - sur le processus).
    En tout cas, pour l'instant, il semble que Sylvain ait raison quand il préconise de ne pas faire ce passage au HTTPS pour de "mauvaises" raisons ! L'une d'entre elles étant de gagner en référencement... Mais on ne sait jamais, cela peut évoluer !

  4. MrTranquille

    Merci à Jimmy pour le témoignage.
    Du côté de mon site, le passage en HTTPS s'est fait le 23 janvier. Pas d'attentes particulières, pas de réels besoin non plus. Mais mon hébergeur offrant le certificat SSL, je me suis dit que cela serait dommage de ne pas faire le pas. Installation sans problème pour moi.

    Je fais un suivi journalier de mes stats depuis la mise en place du HTTPS. Globalement, même s'il est trop tôt pour en faire une généralité, je constate une évolution positive d'enviro 5%...c'est peu, mais sauf erreur de ma part, Google n'a jamais dit que l'impact sur le SEO serait époustouflant, mais qu'il s'agirait plus d'un petit coup de pouce sur le classement par rapport à un site en HTTP. Maintenant, si tout le monde passe en HTTPS, l'impact risque d'être nul...

    Je mets tout de même le lien sur ma page où je fais le suivi journalier de l’évolution des visiteurs de mon site suite au passage en HTTPS: https://www.tranquille.ch/seo/4526-4526
    Libre aux Admins de Axe-net de ne pas valider ce commentaire, si cela est contraire à leurs règles.

    Bien à vous,
    MrTranquille

  5. Jimmy

    @Tous : Merci pour vos commentaires qui ont ensoleillé mon dimanche. En cette journée pluvieuse ça fait chaud au cœur !

    @Ligo : c'est vrai que WP Rocket est un plugin excellent que j'utilise aussi ! Au passage j'en profites pour remercier Remy de WP Rocket qui a réussi à me faire obtenir un score de 100/100 sur Pingdom Tools et 90 sur Google Pagespeed. Pour info avant j'avais par exemple la page d'accueil qui se chargeait en plus de 3 secondes, maintenant je suis à 500 ms 🙂

    @Françoise : merci pour ton commentaire, ça m'a beaucoup fait sourire tes métaphores 🙂

    @Alexandre : 825 referrers et pour les pages de destinations je n'ai pas de chiffres précis.

    @MrTranquille : c'est sur qu'à terme l'impact sera nul si tout le monde sécurise. Mieux vaut être premier que dernier à faire le changement et ce qui est fait n'est plus à faire. C'est ce que je me dis 🙂

  6. Maxime

    Bonjour,
    Merci Jimmy pour cet article.
    Pour le moment je me suis refusé à étudier ce problème. Je n’y connais donc rien, absolument rien. A la lecture de cet article et du précédent de Sylvain, j’aimerai avoir 4 renseignements complémentaires :
    • C’est une vraie usine à gaz de passer un site en HTTPS. Je suppose que pour un site entièrement nouveau c’est beaucoup plus simple. Dans ce cas y a-t-il des plugins wordpress par exemple (ou prestashop) qui font vraiment 100% du boulot ?
    • Quand je vois que le site amazon (le ou un des plus gros sites e-commerce) n’est pas en https, je me demande si c’est vraiment utile.
    • Il existe de très nombreux visiteurs du site de Sylvain qui possèdent des centaines, voire des milliers de sites. Comme Sylvain préconise de choisir un certificat payant, le passage en HTTPS est impossible financièrement pour ces personnes. J’ai peut-être loupé un truc mais par exemple je n’ai pas vu d’infos de Julien (Korleon) sur ce sujet.
    • Si à l’utilisation on constate qu’un certificat est « défaillant », le changement de fournisseur est-il totalement transparent ?

    Merci d’avance Jimmy et Sylvain pour les réponses
    Maxime

  7. Jimmy

    Bonjour Maxime 🙂

    >> Pour un nouveau site, c'est beaucoup plus "simple". Les plugins c'est pour gérer la partie redirection donc si tu démarres avec un site en HTTPS, il faut juste :
    * changer les URLs du thème pour mettre des chemins relatifs si besoin.
    * dans l'admin (réglages généraux) penser à mettre à mettre un "s" à l'URL du site.

    >> C'est vrai que certains gros sites il n'y a que la partie panier / paiement qui est en HTTPS. Je pense que des sites comme Amazon par exemple n'avaient pas "besoin" de prouver leur fiabilité ou sécurité car ils ont une grande notoriété. Après si Amazon dégringole dans le classement face à d'autres gros sites sécurisés, il se pourrait qu'ils envisagent de faire quelque chose. Je sais pas ce que vous en pensez.

    >> De quelles informations parles-tu concernant Julien ?

    >> Au niveau du changement de certificat, je n'ai pas les connaissances pour te répondre mais je ne pense pas que cela soit un problème si le changement est immédiat.

  8. Jimmy

    Salut Julien R

    Suite à toutes mes recherches j'ai toujours lu comme conseil de faire un nouveau compte mais je n'ai jamais lu de faire un changement d'adresse dans le compte initial. Je pense que la raison est que ce n'est pas (encore) possible.

    Lu sur cette page : https://support.google.com/webmasters/answer/83106

    Note: The tool* does not currently support the following kinds of site moves: subdomain name changes, protocol changes (from HTTP to HTTPS), or path-only changes.

    *the change of address tool

  9. Sébastien Drouin

    J'ai justement passé mon site en HTTPS voila bientôt 2 mois. Et bien mon ressenti est tout autre car j'avais des attaques en negative SEO dessus alors que mon site pro restait malgré tout bien référencé. En effet, un petit malin a balancé des liens https alors que mon site n'avait pas de SSL, ce qui générait des pages d'avertissement de sécurité et ne plaisir pas trop à Google.

    J'ai donc sauté le pas vers le HTTPS pour résoudre le problème. Suite à quoi, mon site a fait un bond dans les résultats de plusieurs recherches et j'ai vu mon nombre de visites augmenter considérablement (+20 % environ). Bref, un choix que je ne regrette pas.

  10. Jimmy

    Merci Sebastien pour le commentaire, ca laisse un bon espoir pour la suite.
    Est-ce que tu as une ces améliorations dans les SERPs au moment d'une update ou ça s'est fait progressivement ?

  11. Adrien

    Je viens de passer un ecommerce Prestashop sous Https, j'attends donc une réponse favorable. Pour l'instant après deux jours, aucune page en https n'a été indexé.
    Pour le changement dans la search console, il faut bien ajouter un autre site et non effectuer un changement d'adresse comme indiqué dans les guidelines de Google.
    J'ai personnellement entendu du bien de Let's Encrypt même si je ne l'ai pas pris pour le site de mon client.
    Etant fan des sites en HTML, un tuto cette fois ci sur la mise en place sur un site statique et non pas WordPress serait sympa !

  12. Jimmy

    Baisse aussi de mon côté ... -30%
    En espérant avoir un vrai bénéfice du côté de Google pour rattraper ca 🙁

  13. Thomas

    Bonjour,
    merci pour ce contenu détaillé.. cela m'a bien aidé..
    Je bloque juste sur un aspect:
    "renvoyer votre fichier d'URLs à désavouer ( si vous en avez un) avec votre nouveau compte Google search console. Pour cela il suffit de se rendre sur l'ancien compte, de télécharger le ficher .csv, de copier le tout sur un fichier .txt et de le renvoyer sur le compte associé au site en https"

    je n'arrive pas à bien comprendre la manip..
    Je colle sur un fichier txt toutes les anciennes Url en http et je les mets dans le tool de désaveu sur la propriété en https , c'est bien ca ?

    MErci de vos précisions

Partagez sur :

Les commentaires sont fermés.