Votre https est-il valide ?

Le https

De quoi parlons-nous ?

C’est le début de l’adresse du site que vous êtes en train de consulter, autrement dit ça fait partie de l'URL quand un certificat de sécurité est installé pour le site en question.

Ce certificat de sécurité vous assure une navigation sécurisée lorsque vous surfez sur le web, lorsque vous vous connectez à un site…

Et ça permet de ne pas laisser circuler en clair des données que des programmes malveillants ratissant le web pourraient utiliser à votre détriment et au détriment de vos visiteurs.

C'est pourquoi de plus en plus de sites internet en sont dotés, que ce soient ou non des sites marchands, qu'ils disposent ou non d'une page de contact ou de formulaires pouvant comporter des données personnelles.

WordPress

Les informations que vous trouverez dans cet article peuvent s'appliquer à d'autres CMS ou à des sites statiques, je vous touche un mot à propos de WordPress parce que c'est l'outil de publication que j'utilise, et c'est peut-être aussi le vôtre.

WordPress est un logiciel de publication très connu qui au début de cette année 2020 fait tourner plus de 1/3 de tous les sites web du monde.

WordPress a pour particularité d'être Libre/Opensource et d'être un des tout premiers CMS à avoir été pensé pour l'accessibilité au bénéfice des handicapés visuels.

Il est développé par une entreprise, Automattic, il est soutenu par un vaste nombre de professionnels du web, par une communauté anglophone et une communauté francophone, et il est utilisé par encore plus de webmestres et de blogueurs.

Ces derniers jours j'ai publié sur Linkedin en format “post” deux astuces pour les utilisateurs de WordPress. Les auriez-vous aperçues ? 🧐

Https problème numéro 1

Je veux rendre les visites des internautes plus sûres en ajoutant un certificat de sécurité sur mes sites web, mais je suis une webmestre de niveau moyen, ne maîtrisant pas bien les techniques réseau avancées.

Comment faire ?

Depuis quelques années il existe les certificats de sécurité gratuits fournis par un consortium du web, sur la plateforme letsencrypt. Bien sûr il existe des certificats de sécurité payants, à tous les prix lesquels sont plus ou moins justifiés selon le niveau de sécurisation nécessaire.

Au début, c’était un travail d'administrateur réseau typique pour installer un certificat de sécurité et le paramétrer. 😎

Les certificats LetsEncrypt doivent être renouvelés plusieurs fois dans l'année pour être toujours valides et nécessitent de faire tout un travail en amont pour les utiliser de manière pérenne ! 😃 Heureusement de nombreux hébergeurs ont installé des scripts qui automatisent le processus et il suffit maintenant de cliquer sur quelques boutons dans l’interface d’administration de notre compte ce qui règle le problème.

Youpi ! Problème numéro 1, réglé ! 😍

Https problème numéro 2

Bah, un de mes sites, bien que parfaitement configuré côté serveur affiche des pages https avec à gauche du champ URL, un avertissement qui dit… ‘un truc’ 🤔 du style « attention !!! Il y a des éléments non sécurisés dans cette page ! Vous pouvez vous faire voler des données ! »

Ça ne se présente pas tout à fait comme ça mais vous voyez l'idée ? Le coin à gauche de l'adresse du site présente un signe d'avertissement. J'utilise le navigateur web Firefox, toujours très pointilleux sur la qualité des pages web ! 🤔

Brr, ça fait peur. 🤖

Bon, je n'ai pas trop peur avec mes blogs, mais disons, vous êtes sur un site où vous devez vous inscrire pour un projet très très sérieux, ou bien pour acheter un article ce qui peut aussi être un projet super sérieux 🙃 et vous voyez un verrou https mal sécurisé. 👈

Continuez-vous ? Oui ?

Eh bien vous ne devriez pas ! Mais si c'est non vous ne continuez pas et ne tentez pas de vous y connecter c'est parfait. 😇

Par contre, le webmestre a du pain sur la planche. ⚙️ Comment faire ?

D’abord je fais un tour dans l’administration des bases de données, par exemple avec PhpMyAdmin pour trouver des permaliens encore en http. Ça se trouve dans la table wp_options si vous avez un site unique ou dans les tables wp_options si vous avez un multisites.

Si vous craignez de faire une erreur accidentelle, avant de modifier quoi que ce soit faites un export de votre base de données pour avoir une sauvegarde. Quand je fais un export j'active les options avancées et après je choisis de sauvegarder les tables dans un format compressé, par exemple “zip” ou “gzip”.

PhpMyAdmin permet aussi de sauvegarder une base de données en tables séparées, cela peut être utile.

Dans PhpMyAdmin vous voudrez aussi chercher si nécessaire la seconde page des entrées de votre base de données pour trouver la/les table/s contenant la ou les URLs des pages «home». 🏠

Une fois que vous les avez trouvées cliquez sur le bouton d'édition dans la table, ajoutez le «s» entre «http» et «:», cliquez sur «Exécuter» pour valider la modification.

Procédez avec la plus grande attention, vous voudrez éviter de faire une erreur en éditant les tables, même si vous avez fait une sauvegarde.

/aparté : il n'y aurait pas une fonction “espaces insécables” sur Linkedin ? 😕

Ensuite, une fois les liens fautifs édités dans les bases de données, retournez sur votre site, rafraîchissez la page, et vérifiez où en est le verrou SSL : est-il conforme ?

Pas encore ? Si c’est non, affichez le code source de la page (dans Firefox, clic-droit → “Code source de la page”, dans Chrome clic-droit → “Afficher le code source de la page”, et pour d'autres navigateurs, je vous laisse chercher sur le web). 🏵️

Puis dans la page affichant le code source recherchez «http://» (Ctrl+F, saisissez «http://» dans le champ recherche, au besoin cliquez sur “Surligner tout” pour faciliter la recherche).

Pour chaque lien «http://» externe à votre site que vous trouvez, testez le sur le web. 👩‍🔧

Pour cela copiez-le dans la barre d’adresses. (Attention de ne pas faire cette erreur commune, ne collez pas le lien dans le champ de votre moteur de recherches mais bien en haut dans la barre d’adresses, sous les onglets). 👨‍🏭

Si ce lien est en https sur le web alors que votre source affiche http, il vous faut trouver dans quelle page ou article il est placé pour le corriger. 🧑‍💻 Dans le cas contraire laissez-le en http.

Pour les images : recherchez dans vos pages et articles, pour les liens que vous avez listés en sidebar ou dans les articles, cherchez dans la liste des liens, dans les articles, dans les pages.

Cherchez partout ! 😀

Corrigez, enregistrez le changement, rafraîchissez la page côté public, vérifiez, affichez à nouveau le source de la page, et continuez jusqu'à ce que vous ne trouviez plus de lien erroné.

Si le navigateur affiche encore un avertissement, cherchez dans le thème, dans le coin personnalisations du thème et au besoin aussi dans les fichiers php du thème.

Pour chacun de ces liens, changez «http://» en «https://» à chaque fois que nécessaire, c’est à dire uniquement si le site web externe concerné par l'URL affiche effectivement un certificat de sécurité.

Enfin, problème réglé aussi ! 😉

Vous allez me dire que c'est un travail de titan ! Surtout si vous avez beaucoup de pages ? ⚙️ ⚙️ ⚙️ 😕

Ça peut être un gros boulot, mais c'est utile, et même indispensable : À quoi ça sert d'avoir un certificat de sécurité s'il n'est pas valide ? Par contre si ça représente trop de travail pour le faire en une fois des modifications peuvent se faire sur plusieurs sessions à temps choisi.

Qu'en pensez-vous ? Le SSL est-il utile pour votre site ? Ou pas ? Avez-vous déjà rencontré des problèmes de pages avec des parties comme des images ou d'autres éléments qui ne sont pas sécurisés ? Dans ce cas comment avez-vous abordé le problème ?