Passer un site WordPress en SSL avec CloudFlare

Dans ce tutoriel, nous allons voir comment passer un site sous WordPress en SSL avec les services proposés par CloudFlare gratuitement.

Cloudflare est une entreprise américaine qui propose un réseau de distribution de contenu, des services de sécurité Internet et des services distribués de serveur de noms de domaine, entre le visiteur et le fournisseur de services d’hébergement de l’utilisateur de Cloudflare ; le système fonctionne comme un serveur proxy inversé pour les sites Web

Si votre site n’est pas sous WordPress, vous pouvez suivre ce tutoriel pour passer votre site en HTTPS en ignorant les points spécifiques à WordPress.

Pourquoi passer son site HTTPS (SSL) ?

C’est une bonne question, pour beaucoup de Webmaster c’est la faute à Google, suite à de nombreuse annonce de l’éditeur, celui-ci a dit prioriser l’indexation des sites en HTTPS.

C’est plus « jolie » dans le navigateur, pas d’alerte de sécurité.

Pour les visiteurs, cela donne un gage de sérieux.

Pourquoi Cloudflare ?

Il est maintenant possible avec Let’s Encrypt de créer un certificat SSL gratuit pour son site internet et maintenant la quasi-totalité des hébergeurs proposent nativement la mise en place.

Avec Cloudflare c’est encore plus simple, il suffit d’activer une option et le site passe en HTTPS sans avoir rien à voir à configurer et les requêtes vers votre site en HTTP sont automatiquement redirigées.

Dans ce tutoriel, nous allons voir le mode SSL flexible.

CloudFlare SSL

Ce mode est plus simple, aucune modification sur l’hébergement est à faire.

Il existe deux autres modes qui sécurise le flux SSL entre CloudFlare et le site internet.

En plus de passer le site en HTTPS, CloudFlare met en place un CDN, sécurise l’IP du site …

Comme évoquer au début de ce tutoriel, l’ensemble des services est gratuit, mais il y a une contre partie, les serveurs de nom de votre domaine doivent pointer sur les serveurs NS de CloudFlare.

Personnellement ceci ne m’a pas dérangé, j’ai même trouvé un avantage à cette solution, lors du changement d’hébergement du site, le changement de l’IP du serveur a été effectif en moins de 10 minutes.

Préparation

1. Aller sur le site de CloudFlare et créer un compte.

2. Ajouter votre domaine.

Add site

3. Configurer les enregistrements DNS (A, CNAME, MX …).

DNS Record

4. Modifier les serveurs de nom chez le fournisseur du domaine.

NS Server

Changer les serveurs NS qu’une fois que vous avez ajouté tous les enregistrements DNS.

5. Patienter 24 à 48H le temps de la propagation DNS au niveau mondiale.

Maintenant que l’environnement est prêt, nous allons voir comment passer le site en HTTPS.

Activer HTTPS

1. Sur l’interface CloudFlare, cliquer sur Crypto 1.

2. Activer le SSL en sélectionnant l’option Flexible 1. Passer l’option Always Use HTTPS à ON 2pour activer la redirection automatique. Vérifier également l’option Automatic HTTPS Rewrites soit sur ON 3 pour le code du site soit récrit avec HTTPS.

3. Aller sur le site, il est normalement en HTTPS.

Valider le passage en HTTPS

Pour vérifier le passage en HTTPS de votre site, aller sur le site Why No Padlock ? et tester plusieurs pages de votre sites.

Vérifier surtout que le résultat de retourne pas de Mixed Content.

En cas de Mixed Content, des éléments du site (images,scripts…) sont bloqués par les navigateurs et une alerte de sécurité s’affiche.

Dépannage

Résoudre le Mixed Content sous WordPress

1. Installer et activer le plugin SSL Insecure Content Fixer.

2. Dans l’administration du site, aller sur Réglages 1 / SSL Insecure Content 2.

3. Configurer le plugin avec les options suivantes :

  • 1 Corriger le contenu non sécurisé : Simple
  • 2 Détection HTTPS : HTTP_X_FORWARDED_PROTO
  • 3 Cliquer sur Enregistrer.

Les problèmes de Mixed Content devraient être résolus.

Résoudre le Mixed Content avec des contenus de sites tiers.

Il faut vérifier l’ensemble des appels images, scripts soit bien effectué vers une url en https de votre site en mettant les mains dans le code.

Problème de connexion à l’administration

Il est possible que vous ne puissiez plus accéder à l’administration de WordPress avec une boucle sur le formulaire d’authenfication.

L’installation du plugin Flexible SSL for CloudFlare résout le problème.



Start the discussion at community.rdr-it.io