HTTPS n’est plus un « plus », c’est une base : il chiffre les échanges, réduit certains risques (interception, altération), et améliore la confiance au moment de remplir un formulaire ou de payer. Google a aussi confirmé l’usage de HTTPS comme signal de classement (léger), ce qui rend la migration encore plus pertinente pour une PME en Suisse romande (Vaud, Genève, Fribourg, Valais, Neuchâtel, Jura), que les demandes viennent de Lausanne, Nyon, Vevey, Genève, Carouge, Fribourg, Bulle, Sion, Martigny, Neuchâtel, La Chaux-de-Fonds, Delémont ou Porrentruy.
Références officielles : Google Search Central – HTTPS comme signal, WordPress Developer – HTTPS, WordPress.org – Site Health, Let’s Encrypt – Documentation, MDN – Strict-Transport-Security (HSTS).
1) Avant de toucher au site : clarifier le plan (10 minutes)
- Objectif : tout passer en HTTPS, puis forcer les redirections (HTTP vers HTTPS) proprement.
- Fenêtre : planifier une intervention courte, idéalement hors pics.
- Sauvegarde : disposer d’une sauvegarde récente (fichiers + base) avant changement.
- Points à tester : Accueil, pages services, formulaire, et checkout WooCommerce si présent.
2) Installer un certificat (souvent via Let’s Encrypt)
La plupart des hébergeurs proposent Let’s Encrypt ou un équivalent. Le principe est automatisé via le protocole ACME : le serveur prouve le contrôle du domaine, puis le certificat est délivré et renouvelé automatiquement si le setup est correct.
- Activer le certificat sur le domaine et, si nécessaire, sur les sous-domaines utiles.
- Vérifier la présence du cadenas et l’absence d’alerte navigateur.
- Contrôler le renouvellement automatique (ou le rappel d’expiration selon le fournisseur).
3) Aligner WordPress : URL du site et de WordPress
Après activation du certificat, WordPress doit utiliser les URLs en HTTPS (Adresse web de WordPress et Adresse web du site). Une fois aligné, les liens internes, les ressources et certaines redirections deviennent plus simples à stabiliser.
Bon réflexe : contrôler aussi la santé du site (Outils > Santé du site), qui met en avant plusieurs signaux utiles pour détecter des anomalies.
4) Forcer HTTP vers HTTPS avec une redirection 301
Sans redirection, deux versions coexistent (HTTP et HTTPS) et cela crée du bruit : duplication, liens incohérents, et pertes de suivi. Une redirection 301 côté serveur reste une base solide pour guider toutes les anciennes URLs vers la version sécurisée.
Point important : éviter les chaînes de redirection (HTTP -> www -> HTTPS). L’idéal est une seule redirection directe vers l’URL finale.
5) Corriger le « contenu mixte » (mixed content)
Le contenu mixte arrive quand une page HTTPS charge des ressources en HTTP (images, scripts, polices). Résultat : avertissements navigateur, blocages, ou dégradation de la sécurité perçue. Les causes fréquentes :
- Anciennes images insérées en HTTP dans l’éditeur.
- Scripts ajoutés par un plugin (ou un thème) pointant vers HTTP.
- Ressources tierces non sécurisées (à remplacer ou retirer).
Méthode simple : tester 3 pages clés, identifier les ressources HTTP, puis corriger à la source (mieux que de masquer le problème).
6) HSTS : seulement quand tout est stable
HSTS (Strict-Transport-Security) demande au navigateur d’accéder au site uniquement en HTTPS et de convertir automatiquement les tentatives HTTP. C’est utile, mais à activer uniquement après validation complète, car une erreur de certificat devient plus difficile à contourner côté utilisateur.
- Commencer sans HSTS, valider le site, puis envisager HSTS.
- Si HSTS est activé : démarrer avec une durée courte (max-age), puis augmenter une fois la stabilité confirmée.
- Documenter le réglage (où il est appliqué : serveur, proxy, CDN), pour éviter les oublis lors d’une migration.
7) SEO et mesure : vérifier Search Console et Analytics
Après la bascule, il est utile de vérifier que Google voit bien la version HTTPS : inspection d’URL, état d’indexation, et absence d’erreurs en hausse. Côté mesure, s’assurer que les tags (GA4, pixels) et les formulaires fonctionnent toujours, sans doublons.
Checklist de bascule (30 à 60 minutes)
- Certificat actif et valide sur le domaine.
- URLs WordPress alignées en HTTPS.
- Redirection 301 HTTP vers HTTPS en une étape (pas de chaîne).
- Contrôle contenu mixte sur 3 pages clés.
- Tests : formulaire, e-mails, et checkout WooCommerce si présent.
- Validation via Site Health et contrôles Search Console.
- HSTS uniquement après stabilisation.
FAQ HTTPS WordPress (Suisse romande)
Dois-je passer un site vitrine en HTTPS si je suis à Neuchâtel ou dans le Jura ?
Oui. Même sans paiement, un formulaire de contact implique des données. HTTPS améliore la confidentialité des échanges et la confiance côté visiteur.
Pourquoi un cadenas disparaît après la migration en HTTPS ?
Le plus souvent à cause de contenu mixte : une ressource (image, script, police) reste chargée en HTTP. Corriger la ressource à la source règle généralement le problème.
HSTS est-il obligatoire ?
Non. C’est une couche supplémentaire. Le bon moment est après validation complète de HTTPS et des redirections, car HSTS renforce les exigences côté navigateur.
Faut-il changer quelque chose sur WooCommerce (paiement) après passage en HTTPS ?
Un test complet du checkout est recommandé : paiement, e-mails transactionnels, webhooks éventuels, et pages compte client. Certains prestataires exigent HTTPS pour des retours ou notifications.
Besoin d’une bascule HTTPS propre, sans pertes ni stress ?
Pour activer le certificat, appliquer les redirections 301, corriger le contenu mixte, puis valider Site Health et Search Console sur l’ensemble des cantons romands, contactez clickclick.ch.
