====== Comment sécuriser mon site en https ? ======
Depuis 2017, il est impératif d'avoir un site sécurisé en HTTPS (Hyper Text Transfer Protocol Secure) afin qu'aucune donnée privée ne circule en clair sur Internet. HTTPS permet également une meilleure indexation de votre site dans les moteurs de recherche.
> Chez OVH, ce service est activé par défaut sur les hébergement récents : [[https://docs.ovh.com/fr/hosting/les-certificats-ssl-sur-les-hebergements-web/|OVH : Apprenez à gérer un certificat
SSL sur votre hébergement web OVH ]]
> Chez Ouvaton, le HTTPS est activé par défaut : [[https://ouvaton.coop/certificat-ssl/|Ouvaton : Acquérir un certificat SSL et passer son site en https]]
> Chez Infini, le HTTPS est disponible sous réserve d’en faire la demande : [[http://wiki.infini.fr/index.php/Faire_une_redirection_http_vers_https|Infini : Passer au HTTPS]]
===== Procédure =====
==== Création de site : configuration Wordpress ====
Rendez-vous dans ►**Tableau de bord > Réglages > Général**
**►Important : **configurez les urls avant toute création de contenu.
Configurez les deux champs suivants en HTTPS afin que toutes les URLs de votre site soient sécurisées :
* Adresse web de WordPress (URL)
* Adresse web du site (URL)
{{:admin:eb14e2ee6b2668288b87f54e699691b0.png}}
==== Migrer un site existant : utilisation de Really Simple SSL et Amapress ====
Votre site est en HTTP, nous vous recommandons l'utilisation temporaire de l’extension Really Simple SSL.
L’avantage du plugin Really Simple est qu’il corrige les urls erronées dans le contenu de votre site automatiquement. Cela devient un inconvénient, car il se déclenche à chaque page visitée afin d’effectuer la vérification et l’éventuelle correction. Ce qui a pour conséquence de ralentir votre site.
C’est pourquoi nous vous conseillons de désinstaller le plugin une fois le passage en HTTPS effectué.
=== Installation ===
* Si vous êtes hébergé chez OVH, vérifiez dans la console d’administration OVH que le paramètre HTTPS/SSL est activé.
* Si vous n’êtes pas hébergé chez OVH, il est possible que certaines étapes supplémentaires soient nécessaires pour activer le HTTPS : consultez la documentation de votre hébergeur
Activez le plugin Really Simple SSL et laissez-vous guider : le plugin effectue la migration et les vérifications nécessaires
> Votre site est en HTTPS lorsqu’un cadena est présent dans la barre d'adresse de votre navigateur
{{:admin:f4b5b6e487a355e8b14cd3d49c4f8831.png}}
Contrôlez dans ►**Tableau de bord >Réglages> Général**, que les deux champs **Adresse web de WordPress (URL)** et **Adresse web du site (URL)** commencent par "https:"
> ►**Etat d’Amapress** effectue également cette vérification, vous verrez dans la section ► **3/ Configuration **les paramètres suivants si HTPPS n'est pas pris en compte :
* Paramètre "Adresse web de WordPress (URL)" non HTTPS
* Paramètre "Adresse web du site (URL)" non HTTPS
=== Désactivation ===
Intégrez la redirection forcée de HTTP vers HTTPS via Amapress
►**Tableau de bord>Réglages>SSL>Réglages>Activer la redirection .htaccess 301**
Cliquez sur le bouton ►**Désactiver l’extension et conserver le SSL**
►**Important : **ne pas effectuer la désactivation via l'outil**_►Extension**_de Wordpress sans quoi la redirection_**.htaccess 301_**sera supprimée**.**
=== Contenu du site ===
Remplacez toutes les urls du contenu de votre site [[http://votresite/|http://votresite]] par [[https://votresite|https://votresite]].
►**Important **: sauvegardez la base de données avant d’effectuer cette opération.
Rendez-vous dans ►**Etat d’Amapress>section 3/ Configuration >entrée HTTPS Activé**, cliquez sur le lien : **Vérifier que le contenu du site de votre AMAP référence uniquement du contenu HTTPS**
* L’opération s’est bien déroulée lorsque vous obtenez ce message :
{{:admin:0e493e0c426e6126d7d8ea1dfe6763d3.png}}
* Si vous obtenez le message suivant, cela veut dire qu’il reste des urls en http : suivez les instructions pour corriger.
{{:admin:0af72284d4bd2429593a03f31bc8775f.png}}