site non sécurisé : corriger le contenu mixte et activer le cadenas HTTPS

Vous avez installé un certificat SSL sur votre site, pensant que tout était réglé, mais voilà que le fameux cadenas vert n’apparaît pas et que les visiteurs voient un message « site non sécurisé ». Pas de panique, c’est souvent dû à ce qu’on appelle le contenu mixte. En gros, certaines parties de votre site sont toujours chargées via l’ancien protocole HTTP, même si le reste est en HTTPS. C’est embêtant pour la sécurité et ça peut nuire à votre référencement. On va voir ensemble comment régler ça.

Points Clés à Retenir

• Le contenu mixte survient quand une page HTTPS charge des éléments (images, scripts) en HTTP, rendant le site « site non sécurisé ».
• Cela nuit à la confiance des visiteurs et peut faire chuter votre site dans les résultats de recherche.
• Utilisez les outils de développement de votre navigateur pour repérer les ressources chargées en HTTP.
• Corrigez les URL dans les réglages de votre site, dans la base de données, ou via des plugins dédiés.
• Après correction, videz tous les caches et vérifiez que le cadenas HTTPS est bien présent et stable.

Comprendre le problème du site non sécurisé

Vous avez mis en place un certificat SSL pour votre site, ce qui est une excellente initiative pour la sécurité. Cependant, vous remarquez que le navigateur affiche toujours un avertissement de site non sécurisé, ou un cadenas barré au lieu du cadenas vert tant espéré. Cela arrive souvent quand votre site, bien que chargé en HTTPS, utilise encore des ressources (comme des images, des scripts ou des feuilles de style) qui proviennent de sources HTTP. C’est ce qu’on appelle le contenu mixte.

Le contenu mixte peut avoir plusieurs conséquences négatives :

• Sécurité compromise : Même si la connexion principale à votre site est sécurisée, les éléments chargés en HTTP peuvent être interceptés ou modifiés par des tiers, ouvrant la porte à des attaques. Votre site peut sembler moins fiable aux yeux des visiteurs.
• Impact sur le référencement : Les moteurs de recherche comme Google pénalisent les sites qui présentent des problèmes de sécurité. Un contenu mixte peut donc nuire à votre positionnement dans les résultats de recherche.
• Expérience utilisateur dégradée : Les navigateurs modernes sont de plus en plus stricts et peuvent bloquer ou afficher des avertissements clairs pour le contenu mixte, ce qui peut effrayer vos visiteurs et les pousser à quitter votre site.

Définition du contenu mixte

Le contenu mixte se produit lorsqu’une page web chargée via HTTPS inclut des éléments provenant de sources HTTP. Il existe deux types principaux de contenu mixte :

• Contenu mixte passif : Ce sont des éléments comme des images, des vidéos ou des polices de caractères chargés en HTTP. Ils ne peuvent pas modifier le code de la page, mais ils affichent quand même un avertissement de sécurité.
• Contenu mixte actif : Ce sont des éléments comme des scripts, des cookies ou des formulaires chargés en HTTP. Ils sont plus dangereux car ils peuvent potentiellement interagir avec la page, voler des informations ou modifier le comportement du site.

Il est important de comprendre que même si votre page entière est censée être sécurisée, la présence d’un seul élément chargé via HTTP suffit à déclencher l’alerte de contenu mixte. C’est un peu comme avoir une porte blindée mais laisser une fenêtre ouverte.

Impact du contenu mixte sur la sécurité et le référencement

L’impact du contenu mixte va bien au-delà d’un simple avertissement visuel. Sur le plan de la sécurité, il crée une vulnérabilité. Imaginez que vous chargiez une image de profil via HTTP sur une page HTTPS ; cette image pourrait être remplacée par une image malveillante sans que vous ne vous en rendiez compte. Pour le référencement, c’est une sanction directe. Google et les autres moteurs de recherche privilégient les sites sécurisés. Un site présentant du contenu mixte sera moins bien classé, car il est considéré comme moins fiable pour les utilisateurs.

Identification des indicateurs de contenu mixte

Repérer le contenu mixte est la première étape pour le corriger. Voici comment vous pouvez identifier les signes avant-coureurs :

1. L’icône du cadenas dans le navigateur : Vérifiez l’URL dans la barre d’adresse de votre navigateur. Si le cadenas est barré, grisé, ou s’il y a une mention comme "Non sécurisé" (ou "Not Secure" dans Chrome), c’est un signe clair.
2. Les outils de développement du navigateur : En utilisant la console de développement (souvent accessible via F12 ou un clic droit "Inspecter"), vous verrez des messages d’avertissement spécifiques signalant les ressources chargées en HTTP.
3. Les rapports des outils SEO : Des plateformes comme Google Search Console peuvent parfois signaler des problèmes de sécurité liés au contenu mixte.

Identifier ces indicateurs vous permettra de savoir précisément où chercher pour corriger le problème.

Identifier les sources de contenu mixte

Utilisation des outils de développement du navigateur

Pour commencer, vous devez savoir où se cache ce fameux contenu mixte. La méthode la plus directe consiste à utiliser les outils intégrés à votre navigateur. Ouvrez votre site web dans Chrome ou Edge, faites un clic droit n’importe où sur la page, puis sélectionnez "Inspecter". Une fenêtre s’ouvrira, et c’est dans l’onglet "Console" que vous trouverez les messages d’erreur. Cherchez les avertissements mentionnant "contenu mixte" ou "mixed content". Ces messages vous indiqueront précisément les URL qui sont chargées en HTTP alors qu’elles devraient l’être en HTTPS. C’est comme avoir une carte au trésor pour trouver les problèmes.

Analyse des ressources externes et internes

Une fois que vous avez repéré les URL problématiques, il faut déterminer si elles proviennent de votre propre site (ressources internes) ou d’un service tiers (ressources externes). Les ressources internes sont généralement celles que vous avez ajoutées vous-même, comme des images, des fichiers CSS ou JavaScript, directement dans votre code ou votre bibliothèque de médias. Les ressources externes, elles, viennent de domaines différents, par exemple, des scripts d’analyse, des polices de caractères hébergées ailleurs, ou des images intégrées depuis d’autres sites. Il est important de traiter les deux types de sources pour une sécurité complète.

Vérification des configurations CDN et proxy

Si vous utilisez un réseau de diffusion de contenu (CDN) ou un serveur proxy, il est possible que le problème vienne de leur configuration. Ces services peuvent parfois servir du contenu via HTTP même si votre site principal est en HTTPS. Vérifiez les paramètres de votre CDN pour vous assurer qu’il est configuré pour servir tout le contenu via HTTPS. Parfois, un simple réglage dans le tableau de bord de votre fournisseur de CDN peut résoudre le problème. Il faut s’assurer que le flux de données est bien sécurisé à chaque étape.

Il est facile de penser que le problème vient uniquement de votre code, mais les services externes et les configurations d’infrastructure jouent un rôle tout aussi important dans la gestion du contenu mixte. Une approche holistique est donc nécessaire.

Corriger le contenu mixte sur WordPress

Une fois que vous avez identifié le contenu mixte sur votre site WordPress, il est temps de passer à l’action. Heureusement, plusieurs méthodes s’offrent à vous pour résoudre ce problème et faire disparaître cet avertissement "site non sécurisé".

Mise à jour des URL dans les réglages généraux

La première étape, et souvent la plus simple, consiste à vérifier les adresses de votre site dans les réglages généraux de WordPress. Il arrive que, même après l’installation d’un certificat SSL, les URL pointent encore vers http:// au lieu de https://.

1. Connectez-vous à votre tableau de bord WordPress.
2. Naviguez vers Réglages > Général.
3. Dans les champs "Adresse web de WordPress (URL)" et "Adresse web du site (URL)", assurez-vous que les deux URL commencent bien par https://.
4. Si ce n’est pas le cas, modifiez-les et enregistrez les modifications.

Cette simple modification peut résoudre une grande partie de vos problèmes de contenu mixte.

Utilisation de plugins dédiés pour la correction

Pour une approche plus automatisée, plusieurs plugins peuvent vous aider à traquer et corriger le contenu mixte. Ces extensions scannent votre site et remplacent automatiquement les anciennes URL http:// par https://.

• SSL Insecure Content Fixer : Ce plugin gratuit offre plusieurs niveaux de correction. Vous pouvez commencer par le niveau le plus simple et augmenter progressivement si nécessaire. Il est conçu pour résoudre automatiquement le contenu mixte présent dans vos pages.
• Really Simple SSL : Bien que plus basique, ce plugin peut aussi aider à forcer l’utilisation de HTTPS sur votre site.

Ces outils sont particulièrement utiles si vous avez beaucoup de contenu ou si vous n’êtes pas à l’aise avec la modification directe de la base de données. Ils peuvent vous faire gagner un temps précieux et éviter des erreurs.

Correction manuelle via la base de données

Pour les utilisateurs plus avancés, une correction manuelle via la base de données peut être nécessaire, surtout si les plugins ne suffisent pas ou si vous préférez un contrôle total.

Il est fortement recommandé de faire une sauvegarde complète de votre base de données avant de procéder à toute modification manuelle. Une erreur peut avoir des conséquences importantes sur votre site.

Vous pouvez utiliser un outil comme phpMyAdmin pour accéder à votre base de données. Une fois connecté, vous devrez effectuer une opération de recherche et remplacement sur l’ensemble de vos tables. Recherchez toutes les occurrences de http://votredomaine.com et remplacez-les par https://votredomaine.com. Soyez très prudent lors de cette opération pour ne pas altérer d’autres données.

Cette méthode demande de la rigueur, mais elle permet de s’assurer que toutes les références internes à votre site sont correctement mises à jour pour utiliser le protocole sécurisé.

Stratégies de correction pour les sites non-WordPress

Si votre site n’est pas construit sur WordPress, la démarche pour corriger le contenu mixte demande une approche légèrement différente, mais tout aussi réalisable. Il s’agit principalement d’intervenir directement dans les fichiers de votre site ou via la configuration de votre serveur.

Modification des URL dans les fichiers du site

La première étape consiste à parcourir les fichiers de votre site pour identifier et remplacer toutes les occurrences d’URL commençant par http:// par https://. Cela peut concerner des fichiers HTML, CSS, JavaScript, ou même des fichiers de configuration.

1. Utilisez un éditeur de code ou un client FTP : Connectez-vous à votre serveur et téléchargez les fichiers de votre site. Ouvrez-les avec un éditeur de texte avancé qui permet la recherche et le remplacement sur plusieurs fichiers.
2. Effectuez une recherche globale : Recherchez toutes les instances de http://votredomaine.com (ou toute autre URL HTTP) et remplacez-les par https://votredomaine.com.
3. Soyez attentif aux ressources externes : N’oubliez pas de vérifier les liens vers des polices, des scripts ou des images hébergés sur des domaines tiers. Si ces derniers ne proposent pas de version HTTPS, vous devrez peut-être trouver une alternative ou les héberger vous-même.

Il est fortement recommandé de faire une sauvegarde complète de votre site avant de procéder à toute modification de fichiers. Une erreur de frappe pourrait rendre votre site inaccessible.

Application de règles serveur pour forcer HTTPS

Pour vous assurer que tout le trafic passe bien par HTTPS, vous pouvez configurer votre serveur web (Apache ou Nginx) pour qu’il redirige automatiquement toutes les requêtes HTTP vers HTTPS. C’est une mesure de sécurité supplémentaire qui aide à prévenir le contenu mixte.

• Pour Apache : Vous devrez modifier le fichier .htaccess à la racine de votre site. Ajoutez les lignes suivantes :

  RewriteEngine On
  RewriteCond %{HTTPS} !=on
  RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
  

• Pour Nginx : Modifiez le fichier de configuration de votre serveur (souvent situé dans /etc/nginx/sites-available/ ou similaire). Ajoutez ou modifiez la section server comme suit :

  server {
      listen 80;
      server_name votredomaine.com www.votredomaine.com;
      return 301 https://votredomaine.com$request_uri;
  }
  

Après avoir appliqué ces règles, redémarrez votre serveur web pour qu’elles prennent effet.

Vérification des intégrations tierces

Les services externes que vous intégrez à votre site, comme les widgets de réseaux sociaux, les cartes Google Maps, ou les scripts d’analyse, peuvent parfois charger du contenu via HTTP. Il est donc nécessaire de vérifier la configuration de chacune de ces intégrations.

1. Consultez la documentation : Pour chaque service tiers, référez-vous à leur documentation officielle pour savoir comment activer le chargement en HTTPS.
2. Mettez à jour les URL d’intégration : Si vous avez copié-collé des codes d’intégration, assurez-vous que les URL utilisées dans ces codes commencent bien par https://.
3. Remplacez les services non sécurisés : Si un service tiers ne propose pas de chargement sécurisé, cherchez une alternative plus moderne qui le permet. Votre sécurité et celle de vos visiteurs passent avant tout.

Renforcer la sécurité après la correction du contenu mixte

Une fois que vous avez corrigé les problèmes de contenu mixte et que votre site affiche fièrement le cadenas HTTPS, il est temps de consolider cette sécurité. Ce n’est pas juste une question d’apparence ; c’est une étape importante pour la confiance de vos visiteurs et pour votre visibilité en ligne. Pensez-y comme si vous veniez de repeindre votre maison : le travail principal est fait, mais il faut maintenant s’assurer que tout reste en place et bien protégé.

Activation des en-têtes de sécurité HSTS et CSP

Pour aller plus loin, vous pouvez activer des en-têtes de sécurité comme HSTS (HTTP Strict Transport Security) et CSP (Content Security Policy). HSTS indique aux navigateurs de toujours se connecter à votre site via HTTPS, même si l’utilisateur tape "http://". C’est une mesure forte pour éviter les attaques de type ‘man-in-the-middle’. CSP, quant à lui, vous donne un contrôle plus fin sur les ressources que votre navigateur est autorisé à charger. Il aide à prévenir les attaques par injection de scripts (XSS) en spécifiant quelles sources sont fiables.

• HSTS : Force l’utilisation de HTTPS pour toutes les connexions.
• CSP : Définit les sources de contenu autorisées (scripts, styles, images, etc.).
• Upgrade-Insecure-Requests : Une directive CSP qui demande aux navigateurs de tenter de charger les ressources initialement demandées via HTTP en utilisant HTTPS.

L’activation de ces en-têtes doit être faite avec soin. Une mauvaise configuration peut rendre votre site inaccessible. Il est donc recommandé de tester ces réglages sur un environnement de développement avant de les déployer en production.

Mise à jour des sitemaps et des données structurées

N’oubliez pas de mettre à jour vos sitemaps XML et vos données structurées (comme le balisage Schema.org). Assurez-vous que toutes les URL qu’ils contiennent pointent vers la version HTTPS de vos pages. Les moteurs de recherche, y compris Google, utilisent ces informations pour indexer votre site. Une URL incorrecte ici pourrait entraîner des problèmes d’indexation ou des erreurs signalées dans les outils pour webmasters. Une bonne indexation est d’ailleurs un des bénéfices du HTTPS.

Vérification des passerelles de paiement et webhooks

Si votre site traite des transactions financières ou utilise des webhooks pour communiquer avec d’autres services, une vérification supplémentaire s’impose. Les passerelles de paiement exigent souvent une connexion sécurisée. De même, les webhooks doivent être configurés pour utiliser HTTPS afin de garantir la confidentialité et l’intégrité des données échangées. Vérifiez la documentation de vos prestataires pour vous assurer que toutes les configurations sont à jour et sécurisées.

• Confirmez que vos passerelles de paiement utilisent bien HTTPS.
• Vérifiez les URL des webhooks dans les configurations de vos services tiers.
• Testez les flux de données pour vous assurer qu’ils fonctionnent correctement après la mise en place de HTTPS.

Validation et maintenance post-correction

Une fois que vous avez appliqué les corrections pour le contenu mixte, il est temps de vérifier que tout fonctionne comme prévu et de garder un œil sur votre site. C’est une étape importante pour vous assurer que le cadenas HTTPS reste bien visible et que votre site est toujours sécurisé.

Vider tous les caches et recharger les pages

Après avoir modifié des éléments sur votre site, il est fréquent que des versions mises en cache subsistent. Pour voir les changements réels, vous devez purger ces caches. Cela inclut :

• Le cache de votre plugin WordPress (comme WP Super Cache, W3 Total Cache, etc.).
• Le cache de votre hébergeur ou de votre CDN (si vous en utilisez un).
• Le cache de votre navigateur. Une actualisation forcée (souvent Ctrl+Maj+R ou Cmd+Maj+R) est nécessaire pour que votre navigateur ignore les anciennes données.

Une fois ces caches vidés, rechargez vos pages principales et quelques pages aléatoires pour voir si le cadenas est toujours présent et si aucun avertissement de sécurité n’apparaît dans la console de votre navigateur.

Effectuer des tests de validation approfondis

Il ne suffit pas de regarder le cadenas. Il faut s’assurer que tout le contenu est bien chargé via HTTPS. Utilisez les outils de développement de votre navigateur (souvent accessibles via F12) et ouvrez l’onglet "Console". Recherchez d’éventuels messages d’erreur ou avertissements concernant des ressources chargées en HTTP. Vous pouvez aussi utiliser l’onglet "Réseau" pour vérifier le protocole utilisé par chaque élément chargé.

Il est conseillé de tester différentes sections de votre site : la page d’accueil, des articles de blog, des pages produits si vous avez une boutique, et même votre espace d’administration. Chaque partie peut avoir ses propres spécificités.

Surveillance continue pour prévenir les régressions

La sécurité n’est pas une action ponctuelle, c’est un processus continu. Même après avoir corrigé le contenu mixte, de nouvelles ressources pourraient être ajoutées à votre site par des mises à jour de plugins, des thèmes ou des intégrations tierces, qui pourraient potentiellement réintroduire du contenu mixte. Il est donc important de :

• Vérifier régulièrement la console de votre navigateur sur différentes pages.
• Utiliser des outils en ligne comme SSL Labs ou des scanners de sécurité pour auditer votre site périodiquement.
• Être attentif aux mises à jour de vos thèmes et plugins, et tester votre site après chaque mise à jour majeure.

En suivant ces étapes, vous vous assurez que votre site reste sécurisé et que l’expérience utilisateur est optimale, sans avertissements gênants.

Pour conclure : le cadenas, symbole de confiance

Voilà, vous avez fait le tour de la question. Corriger le contenu mixte, ce n’est pas toujours une partie de plaisir, je vous l’accorde. Ça demande de la patience et de bien suivre les étapes. Mais quand vous voyez enfin ce beau cadenas vert s’afficher dans la barre d’adresse, c’est une vraie satisfaction. Vos visiteurs se sentiront plus en sécurité, et ça, c’est plutôt important pour votre site, non ? N’oubliez pas de vérifier régulièrement, car de nouvelles ressources peuvent parfois s’ajouter et poser problème. C’est un peu comme entretenir son jardin, il faut y revenir de temps en temps pour que tout reste nickel.

Questions fréquemment posées

Pourquoi le cadenas HTTPS n’apparaît-il pas sur mon site, même après avoir installé un certificat SSL ?

Même si tu as installé un certificat SSL, ton site peut encore charger des images, des scripts ou d’autres fichiers depuis des liens en HTTP. Ce mélange de contenu sécurisé et non sécurisé s’appelle le contenu mixte. Tant qu’il reste des ressources en HTTP, le navigateur ne montre pas le cadenas sécurisé.

Comment puis-je repérer le contenu mixte sur mon site ?

Tu peux utiliser les outils de développement de ton navigateur, comme la console dans Chrome ou Firefox. Quand tu charges une page, regarde les messages d’erreur : ils te montrent les liens qui utilisent encore HTTP. Il existe aussi des sites comme ‘Why No Padlock’ pour analyser plusieurs pages rapidement.

Est-ce que je dois utiliser un plugin pour corriger le contenu mixte sur WordPress ?

Un plugin peut t’aider à corriger facilement les liens HTTP, surtout si tu ne veux pas toucher au code. Des extensions comme Really Simple SSL ou SSL Insecure Content Fixer font le travail automatiquement. Mais pour une solution durable, il vaut mieux aussi corriger les liens dans la base de données et les fichiers du thème.

Que faire si mon site n’est pas sous WordPress ?

Si tu n’utilises pas WordPress, il faut chercher les liens HTTP dans tes fichiers du site, comme les pages HTML, les feuilles de style ou les scripts. Tu peux aussi mettre en place des règles sur ton serveur pour forcer toutes les ressources à passer en HTTPS. Pense à vérifier les liens vers des services externes ou des intégrations, comme des polices ou des widgets.

Dois-je vider le cache après avoir corrigé le contenu mixte ?

Oui, c’est important de vider tous les caches : celui du site, du navigateur, et du CDN si tu en utilises un. Sinon, tu risques de voir encore d’anciennes versions de tes pages avec du contenu mixte, même si tu as déjà corrigé les liens.

Comment éviter que le problème revienne à l’avenir ?

Après la correction, surveille ton site de temps en temps avec les outils de développement ou des scanners en ligne. Quand tu ajoutes du nouveau contenu, assure-toi d’utiliser des liens en HTTPS. Mets aussi à jour les sitemaps et vérifie les intégrations tierces pour garder ton site sécurisé.