site non sécurisé : corriger le contenu mixte et activer le cadenas HTTPS

Vous avez installé le certificat SSL pour que votre site affiche enfin ce cadenas vert tant désiré, mais voilà, certains visiteurs vous signalent que votre site est toujours marqué comme « non sécurisé ». Pas de panique, c’est souvent un problème de contenu mixte. Cela signifie que même si votre site est en HTTPS, certaines de ses ressources (images, scripts, etc.) sont encore chargées via l’ancien protocole HTTP. Ce petit souci peut nuire à la confiance des visiteurs. Dans cet article, nous allons voir comment identifier et corriger ce problème de site non sécurisé.

Points Clés à Retenir

• Le contenu mixte se produit quand un site en HTTPS charge des éléments (images, scripts) via HTTP, ce qui déclenche l’alerte « site non sécurisé ».
• Utilisez l’inspecteur de code de votre navigateur (comme Chrome) pour repérer facilement les ressources chargées en HTTP.
• Pour WordPress, des plugins comme « SSL Insecure Content Fixer » ou des outils de remplacement dans la base de données (via des plugins comme « Better Search Replace ») sont très efficaces.
• Si vous utilisez Elementor, pensez à utiliser son propre outil de remplacement d’URL après avoir migré votre site vers HTTPS.
• N’oubliez pas de vider tous les caches (HTTP et objets) après avoir corrigé le contenu mixte pour que les changements soient bien pris en compte.

Comprendre le problème du site non sécurisé

Vous avez récemment mis en place un certificat SSL pour votre site, pensant que tout était désormais sous haute protection. Pourtant, vous constatez que le fameux cadenas vert n’apparaît pas toujours, ou pire, qu’un avertissement de site non sécurisé subsiste. Cela arrive souvent quand, malgré le passage de votre site en HTTPS, certaines ressources continuent d’être chargées via l’ancien protocole HTTP. C’est ce qu’on appelle le contenu mixte, et cela peut sérieusement nuire à la confiance que vous inspirez à vos visiteurs.

Définition du contenu mixte

Le contenu mixte survient lorsque votre page, bien que chargée en HTTPS, inclut des éléments (comme des images, des scripts ou des feuilles de style) qui sont encore servis via HTTP. Votre navigateur, qui s’attend à tout recevoir de manière sécurisée, détecte alors cette incohérence. Il ne peut garantir la sécurité de l’ensemble de la page, d’où l’affichage de l’avertissement.

Le navigateur affiche un avertissement car il ne peut pas vérifier l’intégrité et la provenance de ces ressources chargées de manière non sécurisée. Cela ouvre la porte à d’éventuelles manipulations ou à l’injection de code malveillant.

Impact sur la perception de sécurité du site

L’absence du cadenas vert ou l’apparition d’un avertissement de sécurité a un impact direct sur l’image de votre site. Les visiteurs sont de plus en plus attentifs à la sécurité en ligne. Un site marqué comme non sécurisé peut les dissuader de naviguer, de laisser des informations personnelles ou d’effectuer des transactions. Cela peut entraîner une perte de confiance et, par conséquent, une baisse de votre taux de conversion et de votre référencement. Il est donc important de corriger ces problèmes de sécurité pour maintenir une bonne réputation.

Identification des ressources problématiques

Pour résoudre le problème, il faut d’abord savoir quelles ressources posent souci. Les coupables les plus fréquents sont :

• Les images intégrées manuellement dans vos articles ou pages.
• Les liens externes vers des ressources (polices, scripts) qui n’ont pas été mis à jour en HTTPS.
• Les vidéos ou autres médias embarqués depuis des plateformes externes.
• Les feuilles de style CSS ou les scripts JavaScript chargés via HTTP.

Identifier ces éléments est la première étape pour retrouver un site entièrement sécurisé et rassurer vos utilisateurs.

Diagnostic et localisation du contenu mixte

Une fois que vous avez activé le protocole HTTPS pour votre site, il est possible que le fameux cadenas vert n’apparaisse pas. Cela signifie souvent que votre site affiche encore du contenu chargé via HTTP. C’est ce qu’on appelle le contenu mixte. Il est donc essentiel de savoir comment le repérer pour le corriger.

Utilisation de l’inspecteur de code du navigateur

L’outil le plus direct pour identifier le contenu mixte se trouve dans votre navigateur. Pour Google Chrome, par exemple, vous pouvez faire un clic droit sur votre page et sélectionner "Inspecter". Une fenêtre s’ouvrira, et vous chercherez une icône d’avertissement jaune en haut à droite. En cliquant dessus, vous obtiendrez une liste des ressources qui posent problème.

• Repérez les avertissements : Cherchez les icônes jaunes qui indiquent des problèmes de sécurité.
• Analysez les messages : Chaque avertissement explique quelle ressource (image, script, etc.) est chargée en HTTP au lieu de HTTPS.
• Identifiez les URLs problématiques : L’inspecteur vous montrera l’adresse exacte de la ressource qui doit être mise à jour.

Il est important de ne pas ignorer ces avertissements. Même si votre site est globalement sécurisé, la présence de contenu mixte peut dissuader vos visiteurs et nuire à votre référencement.

Analyse des avertissements de sécurité

Lorsque vous consultez l’inspecteur de code, vous verrez des messages clairs expliquant la nature du problème. Par exemple, vous pourriez lire quelque chose comme : "Contenu mixte : La page a été chargée via HTTPS, mais inclut une ressource non sécurisée ‘http://…’ qui devrait également être chargée via HTTPS." Cela vous indique précisément quelle ressource doit être corrigée.

Identification des URLs chargées en HTTP

Une fois que vous avez identifié une ressource problématique, l’étape suivante consiste à trouver où elle est utilisée sur votre site. L’inspecteur de code vous donne l’URL complète de cette ressource. Vous devrez ensuite rechercher cette URL dans votre contenu, vos thèmes ou vos plugins pour la remplacer par sa version HTTPS. Si vous avez beaucoup d’URLs à corriger, des outils spécifiques peuvent vous aider à mettre à jour vos URLs en masse dans la base de données.

Correction du contenu mixte sur WordPress

Une fois que vous avez identifié les éléments qui posent problème, il est temps de les corriger. Sur WordPress, plusieurs méthodes s’offrent à vous pour régler cette question de contenu mixte et faire apparaître ce fameux cadenas vert.

Utilisation de plugins dédiés

Si vous préférez une approche automatisée, des plugins peuvent grandement vous simplifier la tâche. Ils scannent votre site et tentent de corriger les liens HTTP en les remplaçant par des liens HTTPS.

• SSL Insecure Content Fixer : Ce plugin est assez populaire. Il propose différents niveaux de correction, du plus simple au plus complet. Vous pouvez commencer par le réglage ‘Simple’ et augmenter progressivement si le problème persiste. Il suffit de se rendre dans ‘Réglages’ > ‘SSL Insecure Content’ pour ajuster les options.
• Certains hébergeurs proposent aussi des outils intégrés. Par exemple, si vous êtes chez SiteGround, leur plugin ‘SiteGround Optimizer’ possède une option ‘Force HTTPS’ qui peut aider.

L’avantage des plugins est qu’ils automatisent une grande partie du travail, ce qui est idéal si vous n’êtes pas très à l’aise avec le code ou la base de données. Cependant, il faut parfois vérifier que tout fonctionne correctement après leur passage.

Application de la fonction ‘Force HTTPS’

Beaucoup d’hébergeurs web ou de plugins de sécurité offrent une fonctionnalité pour forcer l’utilisation du protocole HTTPS sur l’ensemble de votre site. Cela signifie que toutes les requêtes, même celles qui seraient tentées en HTTP, seront automatiquement redirigées vers HTTPS.

1. Cherchez dans le panneau de contrôle de votre hébergement ou dans les réglages de votre plugin de sécurité une option nommée ‘Force HTTPS’, ‘HTTPS Enforcement’ ou similaire.
2. Activez cette option. Souvent, cela suffit à régler une bonne partie des problèmes de contenu mixte, surtout si les ressources problématiques sont internes à votre site.
3. Après activation, videz le cache de votre site (si vous en utilisez un) et vérifiez que le cadenas apparaît bien.

Mise à jour des URLs via la base de données

Parfois, les plugins ne suffisent pas, ou vous préférez avoir un contrôle plus direct. Dans ce cas, il faut modifier directement les URLs dans la base de données de votre site WordPress. Il est absolument essentiel de faire une sauvegarde complète de votre site avant de procéder à cette étape.

• Utiliser un plugin de recherche et remplacement : Des plugins comme ‘Better Search Replace’ sont très efficaces. Vous leur indiquez l’URL à rechercher (par exemple, http://votredomaine.com) et l’URL de remplacement (https://votredomaine.com). Le plugin se chargera de parcourir toutes les tables de votre base de données pour effectuer les modifications.
• Vérification des tables : Assurez-vous de sélectionner toutes les tables de la base de données pour que le remplacement soit complet.
• Mode test : La plupart de ces plugins proposent un mode ‘test’ ou ‘simulation’. Utilisez-le pour voir combien d’éléments seraient modifiés avant de lancer la modification réelle. Cela vous permet de vérifier qu’il n’y a pas d’erreurs potentielles.

Méthodes avancées pour corriger le contenu mixte

Remplacement des URLs dans la base de données avec Better Search Replace

Si vous vous sentez à l’aise avec la manipulation de la base de données, des outils comme le plugin Better Search Replace peuvent vous aider. Ce plugin permet de rechercher et remplacer des chaînes de caractères dans toutes vos tables WordPress. C’est une méthode puissante pour corriger les URLs qui pointent encore vers http:// au lieu de https://.

Voici comment procéder :

1. Installez et activez le plugin Better Search Replace.
2. Rendez-vous dans Outils > Better Search Replace.
3. Dans le champ "Rechercher", entrez votre ancienne URL (par exemple, http://votredomaine.fr).
4. Dans le champ "Remplacer par", entrez votre nouvelle URL sécurisée (par exemple, https://votredomaine.fr).
5. Sélectionnez toutes les tables de votre base de données.
6. Il est fortement recommandé de cocher la case "Faire un essai ?" pour simuler le remplacement et voir combien d’éléments seront modifiés sans altérer vos données.
7. Une fois la simulation effectuée et si les résultats vous semblent corrects, décochez la case "Faire un essai ?" et lancez le remplacement.

N’oubliez jamais de sauvegarder votre site avant d’entreprendre des modifications directes sur la base de données. Une erreur de frappe pourrait avoir des conséquences importantes.

Utilisation de l’outil de remplacement d’URL d’Elementor

Si vous utilisez Elementor comme constructeur de page, il est possible que certaines URLs intégrées via cet outil n’aient pas été mises à jour lors d’un remplacement global. Elementor propose sa propre fonction pour résoudre ce problème. Vous la trouverez dans l’administration de WordPress sous Elementor > Outils > Remplacement d’URL. Entrez simplement votre ancienne et votre nouvelle URL, puis lancez le processus. C’est une étape supplémentaire qui peut s’avérer nécessaire pour une correction complète, surtout si vous avez beaucoup de contenu créé avec Elementor. Une migration réussie vers HTTPS est essentielle pour la sécurité et le référencement de votre site après la migration.

Vérification et ajustement du fichier wp-config.php

Dans certains cas, il peut être utile de s’assurer que votre fichier wp-config.php est correctement configuré pour forcer l’utilisation de HTTPS. L’ajout des lignes suivantes peut aider à garantir que WordPress et ses composants reconnaissent que le site fonctionne sous HTTPS, même s’il y a des configurations de serveur intermédiaires :

// Forcer le protocole HTTPS
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https') {
    $_SERVER['HTTPS'] = 'on';
}
// Définir l'URL du site en HTTPS
define('WP_HOME','https://votredomaine.fr');
define('WP_SITEURL','https://votredomaine.fr');

Assurez-vous de remplacer votredomaine.fr par votre nom de domaine réel. Cette méthode est plus technique et doit être appliquée avec précaution.

Gestion des systèmes de cache après la migration HTTPS

Une fois que vous avez réussi à migrer votre site vers HTTPS, il est possible que vous rencontriez encore des soucis. Cela est souvent dû aux systèmes de cache. Ces outils, conçus pour accélérer votre site, peuvent parfois conserver d’anciennes informations en HTTP, ce qui crée un conflit avec votre nouvelle configuration sécurisée. Il est donc indispensable de bien les gérer après le passage en HTTPS.

Impact des caches sur le protocole HTTPS

Les systèmes de cache fonctionnent de différentes manières. Certains, appelés caches HTTP, stockent des versions complètes de vos pages web. D’autres, les caches objets, gardent en mémoire les résultats d’opérations coûteuses ou de requêtes à la base de données. Lorsque vous forcez le passage en HTTPS, vous changez en quelque sorte l’adresse de votre site. Les caches, s’ils ne sont pas mis à jour, continueront de servir des liens et des ressources en HTTP, ce qui peut entraîner des problèmes d’affichage ou des avertissements de sécurité. Il est donc primordial de purger tous les types de caches après votre migration.

Vider les caches HTTP et objets

Pour la plupart des sites WordPress, vous pouvez vider les caches directement depuis votre tableau de bord. Si vous utilisez un plugin de cache comme WP Rocket ou W3 Total Cache, cherchez l’option de purge dans leurs réglages. Si vous n’utilisez pas de plugin spécifique, il est parfois possible de supprimer manuellement le dossier wp-content/cache s’il existe. Pour les caches objets comme Redis ou Memcached, la procédure est similaire :

1. Accédez à l’interface d’administration de votre site.
2. Localisez la section dédiée à la gestion de votre cache objet.
3. Lancez l’opération de purge.

Si vous avez un hébergement chez un fournisseur comme o2switch, il est souvent possible de purger ces caches directement depuis votre espace client, via des outils dédiés à Redis ou Memcached.

Actions spécifiques pour Redis et Memcached

Pour Redis et Memcached, en plus de la purge via l’interface d’administration de votre site, vous pouvez souvent agir directement depuis votre panneau de contrôle d’hébergement (comme cPanel). Cherchez une section nommée ‘Gestion des outils’ ou similaire, où vous devriez trouver des options pour ‘Purger Memcached’ ou ‘Purger Redis’. Cela garantit que toutes les données obsolètes sont supprimées, permettant à votre site de fonctionner correctement avec le protocole HTTPS. N’oubliez pas de vérifier la documentation de votre hébergeur pour les instructions précises. Une fois ces étapes réalisées, vous devriez voir le cadenas vert apparaître de manière stable sur votre site, signalant une connexion sécurisée pour tous vos visiteurs. Si le problème persiste, il faudra peut-être revoir la configuration de votre certificat SSL via votre hébergeur.

Solutions pour les sites non-WordPress

Si votre site n’est pas construit sur WordPress, ne vous inquiétez pas, il existe aussi des méthodes pour régler ce problème de contenu mixte. La démarche peut varier selon la plateforme que vous utilisez, mais les principes restent les mêmes : identifier et corriger les ressources chargées en HTTP.

Outils de détection de contenu mixte en ligne

Pour commencer, vous pouvez utiliser des outils en ligne qui scannent votre site et vous signalent les éléments problématiques. Ces services sont souvent très pratiques pour avoir une vue d’ensemble rapide. Ils vous listeront les URLs qui sont encore chargées via le protocole HTTP au lieu de HTTPS. Il est essentiel de bien noter toutes ces adresses.

Voici quelques étapes pour utiliser ces outils :

1. Accédez à un outil de détection de contenu mixte en ligne (il en existe plusieurs, une recherche rapide vous en montrera).
2. Entrez l’URL de votre site web.
3. Lancez l’analyse et attendez les résultats.
4. Examinez attentivement la liste des ressources identifiées comme étant en HTTP.

Ces outils sont un excellent point de départ, mais ils ne font pas le travail à votre place. Ils vous indiquent où se trouve le problème, à vous ensuite de le résoudre.

Correction manuelle des ressources externes

Une fois que vous avez identifié les ressources problématiques, l’étape suivante consiste à les corriger. Si ces ressources proviennent de services tiers (comme des polices d’écriture externes, des scripts ou des images hébergées ailleurs), vous devrez modifier le code source de votre site pour remplacer les liens HTTP par HTTPS. Cela peut demander un peu de patience, surtout si vous n’êtes pas très à l’aise avec le code. Parfois, il suffit de changer http:// en https:// dans l’URL de la ressource. Si le service externe ne propose pas de version HTTPS, il faudra peut-être trouver une alternative ou envisager de l’héberger vous-même sur votre propre serveur sécurisé. Pensez à vérifier la documentation de ces services externes pour voir s’ils ont des recommandations spécifiques. Vous pouvez trouver des informations utiles pour sécuriser votre site web en général.

Adaptation des configurations spécifiques à la plateforme

Chaque système de gestion de contenu (CMS) ou framework a ses propres particularités. Si vous utilisez une plateforme autre que WordPress, il est probable qu’elle dispose de mécanismes ou de plugins pour faciliter la migration vers HTTPS. Par exemple, certains CMS permettent de définir une URL de base en HTTPS dans leurs paramètres généraux. D’autres peuvent nécessiter une modification de fichiers de configuration spécifiques à la plateforme. Il est souvent recommandé de consulter la documentation officielle de votre CMS ou de votre framework, ou de chercher des forums dédiés où d’autres utilisateurs ont peut-être déjà rencontré et résolu ce problème. Parfois, une simple mise à jour des paramètres de votre serveur web (comme Apache ou Nginx) peut aussi être nécessaire pour rediriger correctement tout le trafic vers HTTPS.

Pour conclure : le cadenas vert, c’est pour bientôt !

Voilà, vous avez maintenant toutes les cartes en main pour traquer et corriger ce fameux contenu mixte qui vous empêche d’afficher le cadenas vert tant désiré. Que vous utilisiez des outils automatiques ou que vous préfériez une approche plus manuelle, l’important est de ne pas laisser votre site avec cette alerte "non sécurisé". Prenez le temps de bien suivre les étapes, et bientôt, vos visiteurs navigueront sur un site digne de confiance. N’hésitez pas à partager vos expériences ou vos questions dans les commentaires, on est là pour s’entraider !

Questions Fréquemment Posées

Mon site affiche un cadenas rouge, qu’est-ce que cela signifie ?

Quand tu vois un cadenas rouge ou un message comme « site non sécurisé » dans la barre d’adresse de ton navigateur, cela veut dire que ton site charge encore des éléments (comme des images ou des liens) de manière non sécurisée (en HTTP) alors que le reste de ton site est censé être sécurisé (en HTTPS). C’est ce qu’on appelle le « contenu mixte ». Ton site n’est donc pas entièrement protégé, et cela peut inquiéter tes visiteurs.

Comment trouver ces éléments « non sécurisés » sur mon site ?

Pour débusquer ces éléments, le plus simple est d’utiliser l’outil « Inspecteur » de ton navigateur (souvent en faisant un clic droit sur la page et en choisissant « Inspecter »). Cherche les avertissements de sécurité, souvent signalés par une icône jaune. Ils te montreront exactement quels liens ou images sont encore chargés en HTTP au lieu de HTTPS.

Existe-t-il des outils pour corriger automatiquement le contenu mixte sur WordPress ?

Oui, absolument ! Il existe des plugins super pratiques comme « SSL Insecure Content Fixer » qui peuvent régler le problème pour toi en quelques clics. Tu peux aussi trouver des options dans certains plugins d’optimisation comme « SiteGround Optimizer » qui ont une fonction pour forcer le HTTPS et corriger le contenu mixte.

Que faire si j’utilise Elementor pour construire mon site ?

Elementor a son propre outil pour t’aider ! Si tu as déjà essayé de remplacer les adresses HTTP par HTTPS dans ta base de données, il se peut que les éléments créés avec Elementor n’aient pas été mis à jour. Va dans Elementor > Outils > Remplacer URL pour corriger ces cas spécifiques.

J’ai forcé le HTTPS, mais mon site ne s’affiche toujours pas correctement. Pourquoi ?

Cela peut arriver à cause des systèmes de cache. Ton site garde peut-être en mémoire d’anciennes versions de tes pages qui utilisaient encore HTTP. Il faut donc vider tous les caches : les caches HTTP (comme ceux de plugins comme WP Rocket) et les caches objets (comme Redis ou Memcached). Souvent, tu peux le faire directement depuis l’administration de ton site.

Et si mon site n’est pas sur WordPress, comment je fais ?

Pas de panique ! Pour les sites qui ne sont pas sous WordPress, tu peux utiliser des outils en ligne qui scannent ton site pour trouver le contenu mixte. Ensuite, tu devras peut-être corriger manuellement les liens ou les images qui posent problème, en t’assurant qu’ils chargent tous en HTTPS.