Sommaire
Sur WordPress, le certificat SSL n’est pas une option parmi d’autres : c’est un prérequis technique, commercial et réglementaire.
SSL sur WordPress : obligation réelle ou simple option ?
Sur un site WordPress, le SSL n’a rien d’un confort accessoire. Dès qu’un formulaire collecte un email, un mot de passe ou une adresse, la sécurité de la connexion devient un prérequis technique, commercial et parfois réglementaire.
Pourquoi tout site WordPress a besoin d’un ssl
Même un site vitrine WordPress sans formulaire complexe a besoin d’un certificat SSL. Le diagnostic révèle une réponse nette : oui. Depuis juillet 2018, Chrome signale les pages en HTTP comme « Non sécurisé », ce qui dégrade la confiance dès la première visite.
- Protection des données : le certificat chiffre les échanges entre le navigateur et le serveur, rendant illisibles les emails, mots de passe ou coordonnées bancaires interceptés.
- Signal SEO Google : depuis août 2014, le HTTPS fait partie des critères de classement, ce qui renforce le besoin d’un certificat SSL pour toute visibilité organique.
- Conversions e-commerce : l’absence de cadenas dans la barre d’adresse suffit souvent à casser la confiance et à faire chuter les commandes.
- Conformité légale : le RGPD impose une protection adaptée des données personnelles, tandis que Stripe et PayPal exigent une connexion sécurisée pour valider les transactions.
Sans SSL pour votre site, un attaquant placé sur le même réseau peut intercepter des identifiants d’administration lors de la connexion. La panne vient souvent de cette négligence initiale, alors qu’un certificat SSL gratuit couvre déjà la majorité des besoins courants.
Est-ce que WordPress fournit un ssl ?
WordPress ne délivre aucun certificat : c’est l’hébergeur qui gère ce point, avec ou sans intégration automatique. La plupart proposent aujourd’hui Let’s Encrypt dans leur interface, parfois via cPanel, Plesk ou un espace client maison.
Une fois le certificat activé chez l’hébergeur, il faut encore passer son site en HTTPS dans les réglages du CMS. Sinon, le site charge encore des ressources en HTTP, le cadenas n’apparaît pas et le contenu mixte déclenche des alertes visibles côté navigateur.
Les types de certificats ssl pour un site web WordPress
Le choix parmi les types de certificats SSL dépend du niveau de confiance attendu et du contexte métier. Tous assurent le chiffrement, mais les contrôles réalisés avant émission ne sont pas les mêmes.
- DV / Let’s Encrypt : certificat SSL gratuit, renouvelé automatiquement en général tous les 90 jours, adapté à la plupart des blogs, portfolios et sites vitrines.
- OV : validation de l’organisation, utile pour une entreprise qui veut renforcer sa crédibilité sans aller jusqu’au niveau le plus poussé.
- EV : validation étendue, recommandée pour les environnements sensibles ou marchands. La remise en ligne dépend de vérifications plus strictes, avec un coût souvent compris entre 50 et 200 € par an.
Les certificats auto-signés restent à écarter pour un site ouvert au public : les navigateurs affichent une alerte bloquante. À l’inverse, un Wildcard couvre le domaine principal et ses sous-domaines, ce qui peut simplifier le déploiement du SSL sur WordPress dans un environnement multi-sites.
Comment installer un certificat SSL sur WordPress
L’installation d’un certificat SSL sur WordPress suit deux étapes nettes : d’abord l’activation chez l’hébergeur, puis la configuration dans WordPress pour passer en HTTPS sur l’ensemble du site. Si l’une manque, les erreurs apparaissent vite : avertissements du navigateur, redirection incomplète ou cadenas absent.
Activer le certificat SSL depuis votre hébergeur (OVH, cPanel)
La panne vient souvent de là : tant que le certificat n’est pas activé côté hébergeur, WordPress ne peut pas servir correctement le HTTPS.
- OVH : Espace client > Hébergements > Informations générales > section SSL. Vous pouvez activer SSL avec Let’s Encrypt ou choisir un certificat SSL OVH payant de type DV, OV ou EV.
- cPanel : ouvrez SSL/TLS Manager pour installer SSL via AutoSSL, ou lancez l’installation d’un certificat importé depuis un fournisseur tiers.
- Plesk : Let’s Encrypt est intégré. Activez aussi le renouvellement automatique pour éviter une coupure liée à l’expiration du certificat.
Dès la première intervention, contrôlez la chaîne du certificat avec SSL Labs. Une chaîne incomplète suffit à déclencher des alertes sur certains navigateurs, même quand le cadenas semble présent ailleurs.
Configurer WordPress pour forcer le HTTPS
Une fois l’installation du certificat faite chez l’hébergeur, il faut finaliser WordPress en HTTPS dans l’administration. Dans Réglages > Général, remplacez les adresses en http:// par leur version https:// dans « Adresse WordPress » et « Adresse du site ».
Ensuite, la redirection HTTP vers HTTPS doit être traitée au niveau du serveur pour que chaque requête arrive sur la version sécurisée. La remise en ligne dépend de cette cohérence : sans redirection fiable, un site WordPress en HTTPS reste partiellement accessible en HTTP.
| Méthode | Niveau technique requis | Action principale |
| Réglages WordPress (Général) | Aucun | Remplacer http:// par https:// dans les URL du site |
| Fichier.htaccess | Intermédiaire | Ajouter une règle RewriteRule pour forcer HTTPS systématiquement |
| Plugin Really Simple SSL | Aucun | Détection automatique, redirections et mise à jour des liens internes |
| WP-CLI | Avancé | Recherche-remplacement en base de données pour les URL statiques |
Really Simple SSL détecte la configuration, redirige les requêtes et ajuste les liens internes sans toucher aux fichiers manuellement. Il couvre l’essentiel, à condition que le certificat soit déjà actif chez l’hébergeur.
Corriger les erreurs de contenu mixte après migration
Le contenu mixte est la cause la plus fréquente d’un cadenas absent après migration : images, feuilles CSS ou scripts continuent à se charger en HTTP malgré le passage en HTTPS. Le diagnostic révèle souvent des URL restées en dur dans la base de données ou dans le thème.
- Better Search Replace : utile pour remplacer en base les anciennes URL http:// par leur version https://, sans passer par la ligne de commande.
- WP-CLI : la commande
wp search-replaceaccélère le traitement sur les bases volumineuses. - Fichier.htaccess : vérifiez qu’aucune ancienne règle ne perturbe la redirection HTTP vers HTTPS ou ne renvoie certaines ressources vers HTTP.
- Google Search Console : soumettez le sitemap en HTTPS et surveillez les erreurs d’exploration après la migration.
Une fois les corrections appliquées, videz le cache du navigateur, celui de WordPress et, si besoin, celui du serveur. En urgence, cette étape évite un faux diagnostic : un cache obsolète peut faire croire que l’installation d’un certificat SSL a échoué alors que SSL sur WordPress fonctionne déjà.
Site WordPress non sécurisé : risques et solutions SSL
Un site WordPress signalé comme « Non sécurisé » ne souffre pas seulement d’un problème d’image. Le diagnostic révèle une faiblesse concrète sur la connexion, parfois exploitable immédiatement si le site web WordPress reste accessible sans chiffrement correct. Comprendre pourquoi un site WordPress est signalé non sécurisé permet d’éviter une coupure de trafic, une perte de confiance et, dans certains cas, un piratage.
Pourquoi votre site WordPress est signalé non sécurisé
Plusieurs causes expliquent ce signalement : certificat absent, certificat expiré, certificat auto-signé non reconnu, redirection mal configurée entre HTTP et HTTPS, ou contenu mixte après migration. Selon le cas, le navigateur retire le cadenas, affiche un avertissement ou bloque la connexion. Pour un visiteur, l’effet est immédiat : le site WordPress paraît risqué.
- Certificat absent ou expiré : le navigateur interrompt l’accès avec une alerte bloquante. La majorité des visiteurs quittent alors le site WordPress sans aller plus loin.
- Certificat auto-signé : le chiffrement existe, mais le certificat n’est pas reconnu comme fiable. Le résultat reste le même côté utilisateur : pas de cadenas valide et une forte baisse de confiance.
- Contenu mixte : certaines ressources restent appelées en HTTP après le passage du site WordPress en HTTPS. À l’inverse d’une installation propre, le navigateur signale une page partiellement sécurisée et dégrade la perception du site.
- Absence de SSL sur des pages sensibles : la panne vient souvent de là sur un ancien site web WordPress. Sans SSL, des échanges peuvent être interceptés ou modifiés pendant la connexion.
Dès que Google détecte un malware ou des URL compromises, le trafic organique peut chuter très vite. Search Console remonte les alertes de sécurité, tandis que Chrome peut bloquer l’accès à certaines pages. Une fois le diagnostic posé, il faut traiter la cause technique avant d’espérer une remise en ligne complète dans les résultats.
SSL et sécurité globale : protéger son certificat et son accès admin
Un certificat SSL WordPress améliore la sécurité, mais il ne suffit pas à lui seul. Il protège la connexion entre le navigateur et le serveur grâce au chiffrement, ce qui permet de chiffrer les échanges, sans arrêter pour autant toutes les attaques applicatives. Pour renforcer un site WordPress en HTTPS, le pare-feu, l’analyse anti-malware et la protection de l’administration restent indispensables.
Dans cette logique, le plugin Wordfence ajoute une couche utile : WAF, scanner, double authentification et mises à jour de règles en temps réel. Dès la première intervention, ce type d’outil aide à limiter les requêtes malveillantes avant qu’elles n’atteignent WordPress. Le certificat couvre le transport : la sécurité du site WordPress dépend aussi du filtrage et de la surveillance.
Il faut aussi imposer WordPress en HTTPS sur toute l’administration, surtout sur la page de connexion. Sans certificat valide et sans HTTPS sur un site WordPress, des identifiants peuvent circuler en clair sur un réseau compromis. Une installation propre d’un certificat SSL permet alors de rétablir un cadenas fiable et de sécuriser l’accès à wp-admin.
Après compromission, la remise en ligne dépend de plusieurs étapes : isolement du site WordPress, analyse des journaux, changement des mots de passe, nettoyage du cœur, des extensions et de la base. En parallèle, l’installation d’un certificat et le passage du site WordPress en HTTPS restent des mesures de base pour rétablir une connexion sûre.
Surveiller et maintenir son certificat SSL dans la durée
Un certificat ne se pose pas une fois pour toutes. Avec Let’s Encrypt, la durée de validité est courte : sans renouvellement automatique, le site retombe en erreur et le cadenas disparaît. En urgence, il faut alors vérifier l’échéance, la tâche de renouvellement et la configuration de l’hébergeur.
Une installation d’un certificat SSL doit donc être suivie dans le temps. Programmez une alerte avant expiration et contrôlez régulièrement la chaîne de certificat, les redirections vers HTTPS et l’état réel du site WordPress en HTTPS. La même logique vaut pour l’installation d’un certificat sur un hébergement mutualisé ou dédié : sans suivi, la sécurité se dégrade discrètement.
Enfin, surveillez Search Console et les outils de test SSL : les erreurs liées au HTTPS sur un site WordPress, au contenu mixte ou à une mauvaise configuration y apparaissent souvent avant une chute SEO visible.
Foire aux questions
Le certificat SSL est-il vraiment obligatoire pour un site WordPress ?
Oui. Tout site WordPress a besoin d’un certificat SSL, qu’il s’agisse d’un blog, d’un portfolio ou d’une boutique en ligne. Sans HTTPS, la connexion n’est pas chiffrée, le cadenas ne s’affiche pas et les données circulent en clair.
En parallèle, les conséquences sont concrètes : Chrome signale le site comme non sécurisé, certaines passerelles de paiement refusent de fonctionner et la protection des données personnelles devient insuffisante. Google peut aussi en tenir compte côté référencement.
La plupart des offres d’hébergement proposent Let’s Encrypt directement depuis leur interface. Une fois le certificat activé, le site sert correctement en HTTPS, sans raison sérieuse de s’en priver.
WordPress inclut-il un certificat SSL par défaut ?
Non. WordPress ne fournit pas lui-même le certificat : la panne vient souvent d’une confusion entre le CMS et l’hébergeur. C’est donc l’hébergeur qui délivre, active ou renouvelle le certificat, souvent avec Let’s Encrypt depuis cPanel, Plesk ou une interface maison.
Une fois le diagnostic posé, il faut encore configurer le site WordPress pour utiliser la bonne adresse en HTTPS. Cela passe par les réglages généraux, puis par une redirection HTTP vers HTTPS pour éviter que des pages restent accessibles en version non sécurisée.
Comment corriger un site WordPress affiché comme « non sécurisé » après installation du SSL ?
Si le cadenas n’apparaît pas alors que le certificat est actif, le diagnostic révèle le plus souvent un contenu mixte. Des images, feuilles CSS ou scripts se chargent encore en HTTP, ce qui casse la sécurisation complète de la page malgré la présence du SSL.
Dans ce cas, le plugin Really Simple SSL peut corriger automatiquement une partie des références HTTP résiduelles et rétablir une connexion propre en HTTPS. À l’inverse, si certaines URL sont enregistrées en base, un remplacement global peut rester nécessaire.
Ensuite, il faut contrôler la redirection HTTP vers HTTPS, vider les caches et vérifier que chaque ressource se charge bien sur la bonne URL.

