Depuis 2018, Google Chrome affiche l'avertissement "Non sécurisé" sur tous les sites qui ne disposent pas d'un certificat SSL. Plus qu'un simple cadenas dans la barre d'adresse, le passage en HTTPS est devenu un véritable facteur de classement pour Google. Pourtant, de nombreux propriétaires de sites WordPress repoussent cette migration par crainte de casser leur référencement ou de provoquer des erreurs techniques.
La bonne nouvelle : migrer un site WordPress en SSL est une opération parfaitement maîtrisable, à condition de suivre les bonnes étapes. Ce guide vous accompagne de A à Z pour activer le HTTPS sur votre WordPress, corriger les erreurs courantes et préserver — voire améliorer — votre positionnement SEO.
Pourquoi le SSL est indispensable pour WordPress en 2025
Un signal de classement confirmé par Google
Google a officiellement annoncé que le HTTPS constitue un signal de ranking dès 2014. Depuis, son poids n'a cessé de croître. À contenu et autorité équivalents, un site WordPress en SSL sera systématiquement favorisé par rapport à un concurrent resté en HTTP. Ce n'est plus un avantage concurrentiel, c'est un prérequis.
La confiance des visiteurs
Le cadenas vert (ou gris selon les navigateurs) rassure immédiatement vos visiteurs. Sur un site e-commerce WordPress, l'absence de SSL peut faire chuter votre taux de conversion de 20 à 40 %. Même sur un blog, les internautes sont désormais habitués à ce marqueur de confiance et quittent rapidement les pages signalées comme non sécurisées.
La protection des données
Le protocole SSL chiffre toutes les communications entre le navigateur de l'utilisateur et votre serveur WordPress. Formulaires de contact, identifiants de connexion, données de paiement : tout transite de manière chiffrée. C'est d'ailleurs une obligation légale dans le cadre du RGPD lorsque vous collectez des données personnelles.
Les fonctionnalités modernes du web
De nombreuses API et fonctionnalités web modernes ne fonctionnent qu'en HTTPS : géolocalisation, notifications push, Service Workers, HTTP/2. Sans SSL sur votre WordPress, vous vous privez d'un écosystème technologique entier.
Comprendre les certificats SSL : lequel choisir pour WordPress ?
Avant de lancer la migration, il faut choisir le bon type de certificat SSL pour votre site WordPress.
Let's Encrypt (gratuit)
C'est la solution la plus répandue et la plus adaptée à la majorité des sites WordPress. Let's Encrypt délivre des certificats gratuits, renouvelés automatiquement tous les 90 jours. La plupart des hébergeurs de qualité intègrent Let's Encrypt directement dans leur panneau de configuration.
Certificats DV (Domain Validation)
Ces certificats payants vérifient uniquement que vous êtes propriétaire du domaine. Ils offrent le même niveau de chiffrement que Let's Encrypt mais avec une durée de validité plus longue (1 an). Comptez entre 10 et 50 € par an.
Certificats OV et EV (Organization / Extended Validation)
Réservés aux entreprises qui souhaitent afficher leur raison sociale dans le certificat. Plus coûteux (100 à 500 € par an), ils sont surtout pertinents pour les sites e-commerce à fort trafic ou les institutions. Pour un blog ou un site vitrine WordPress, ils sont rarement nécessaires.
Notre recommandation : pour la grande majorité des sites WordPress, Let's Encrypt est amplement suffisant. Le niveau de chiffrement est identique, et l'automatisation du renouvellement évite les oublis.
Migrer WordPress en SSL/HTTPS : les étapes pas à pas
Voici la procédure complète pour passer votre site WordPress en HTTPS sans perdre votre référencement.
Étape 1 : Activer le certificat SSL chez votre hébergeur
La première action se fait côté hébergement, pas dans WordPress. Connectez-vous au panneau de gestion de votre hébergeur et activez le certificat SSL pour votre domaine. Chez la plupart des hébergeurs, c'est un simple clic.
Vérifiez ensuite que le certificat est actif en accédant à https://votredomaine.com. Vous devez voir le cadenas s'afficher sans erreur.
Étape 2 : Mettre à jour les URLs dans WordPress
Rendez-vous dans Réglages > Général et modifiez les deux champs :
- Adresse web de WordPress (URL) : remplacez
http://parhttps:// - Adresse web du site (URL) : remplacez
http://parhttps://
Enregistrez. Vous serez déconnecté et devrez vous reconnecter via l'URL en HTTPS.
Attention : ne modifiez ces champs que si le certificat SSL est déjà actif. Dans le cas contraire, vous perdrez l'accès à votre administration WordPress.
Étape 3 : Corriger les URLs en base de données
C'est l'étape la plus critique. Votre base de données WordPress contient des centaines, voire des milliers de références à votre ancienne URL en HTTP : dans les articles, les pages, les options des plugins, les widgets, les menus. Si vous ne les corrigez pas, vous aurez du contenu mixte (mixed content).
Avec WP-CLI (méthode recommandée)
Si votre hébergeur propose WP-CLI, exécutez cette commande :
wp search-replace 'http://votredomaine.com' 'https://votredomaine.com' --all-tablesCette commande parcourt toutes les tables de la base de données et remplace chaque occurrence. Elle gère correctement les données sérialisées, contrairement à un simple rechercher-remplacer SQL.
Avec le plugin Better Search Replace
Si vous n'avez pas accès à WP-CLI, installez le plugin Better Search Replace :
- Installez et activez le plugin
- Dans Outils > Better Search Replace
- Champ "Rechercher" :
http://votredomaine.com - Champ "Remplacer par" :
https://votredomaine.com - Sélectionnez toutes les tables
- Lancez d'abord un essai à blanc, puis exécutez le remplacement réel
Étape 4 : Mettre en place les redirections 301
Pour que tout le trafic HTTP soit automatiquement redirigé vers HTTPS — et que Google comprenne qu'il s'agit d'un déplacement permanent — ajoutez ces règles dans votre fichier .htaccess (pour les serveurs Apache) :
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]Pour les serveurs Nginx, ajoutez dans votre configuration :
server {
listen 80;
server_name votredomaine.com www.votredomaine.com;
return 301 https://$server_name$request_uri;
}Les redirections 301 sont essentielles : elles transfèrent la totalité du jus SEO de vos anciennes URLs HTTP vers leurs équivalents HTTPS.
Étape 5 : Vérifier et corriger le contenu mixte
Le contenu mixte se produit lorsqu'une page chargée en HTTPS inclut des ressources (images, scripts, feuilles de style) encore servies en HTTP. Les navigateurs bloquent ces ressources, ce qui peut casser l'affichage de votre site.
Pour détecter le contenu mixte sur votre WordPress :
- Dans Chrome : ouvrez les DevTools (F12), onglet Console. Les erreurs de contenu mixte s'affichent en jaune ou rouge.
- Why No Padlock : cet outil en ligne scanne votre page et liste toutes les ressources non sécurisées.
- SSL Check de JitBit : parcourt automatiquement votre site pour trouver les pages avec du contenu mixte.
Les sources les plus fréquentes de contenu mixte dans WordPress :
- Images insérées en dur dans les articles (corrigées à l'étape 3)
- Polices Google ou scripts externes appelés en HTTP
- Ressources codées en dur dans le thème (
header.php,footer.php,functions.php) - Iframes ou widgets de services tiers
Configurer le SSL WordPress côté SEO
La migration technique ne suffit pas. Il faut aussi signaler le changement aux moteurs de recherche pour protéger votre référencement.
Mettre à jour la Google Search Console
Google considère HTTP et HTTPS comme deux sites distincts. Vous devez :
- Ajouter la propriété
https://votredomaine.comdans la Google Search Console - Soumettre votre nouveau sitemap XML en HTTPS
- Conserver l'ancienne propriété HTTP pour surveiller la transition
Mettre à jour le sitemap XML
Vérifiez que votre plugin de sitemap (Yoast SEO, Rank Math, ou autre) génère bien des URLs en HTTPS. Si vous avez correctement modifié les URLs en base de données à l'étape 3, ce devrait être automatique. Soumettez le sitemap mis à jour via la Search Console.
Vérifier les balises canonical
Chaque page de votre WordPress doit avoir une balise canonical pointant vers sa version HTTPS. Inspectez le code source de quelques pages clés pour confirmer :
<link rel="canonical" href="https://votredomaine.com/votre-page/" />Si des canonicals pointent encore en HTTP, c'est un signal contradictoire pour Google qui peut retarder l'indexation de vos nouvelles URLs.
Mettre à jour les liens internes
Même si les redirections 301 fonctionnent, il est préférable que vos liens internes pointent directement en HTTPS. Cela évite une étape de redirection supplémentaire et accélère le crawl de votre site par Google. L'opération de search-replace de l'étape 3 devrait avoir corrigé la majorité des liens internes.
Les erreurs fréquentes lors du passage en SSL WordPress
La boucle de redirection infinie
Symptôme : votre site affiche l'erreur "ERR_TOO_MANY_REDIRECTS". Cela se produit souvent lorsque votre hébergeur force déjà le HTTPS et que vous ajoutez une règle de redirection dans .htaccess. La solution : vérifiez si votre hébergeur gère la redirection automatiquement avant d'ajouter des règles manuelles.
Si votre WordPress est derrière un reverse proxy ou un CDN (comme Cloudflare), ajoutez cette ligne dans votre wp-config.php :
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] === 'https') {
$_SERVER['HTTPS'] = 'on';
}Le cadenas absent malgré le SSL actif
Si le cadenas ne s'affiche pas alors que le certificat est bien installé, c'est presque toujours un problème de contenu mixte. Une seule ressource chargée en HTTP suffit à faire disparaître le cadenas. Reprenez l'étape 5 pour identifier et corriger les ressources incriminées.
La perte temporaire de trafic
Il est normal d'observer une légère fluctuation du trafic organique dans les jours suivant la migration SSL de votre WordPress. Google doit recrawler et réindexer toutes vos pages en HTTPS. Ce processus prend généralement une à quatre semaines. Si la baisse persiste au-delà d'un mois, vérifiez vos redirections 301 et vos canonicals.
Le certificat expiré
Un certificat SSL expiré est pire que pas de certificat du tout : les navigateurs affichent un écran d'avertissement rouge qui fait fuir 100 % des visiteurs. Avec Let's Encrypt, le renouvellement est automatique, mais vérifiez régulièrement que le processus fonctionne. Configurez une alerte pour être prévenu avant l'expiration.
Checklist finale : migration SSL WordPress
Avant de considérer la migration comme terminée, passez en revue cette liste :
- Le certificat SSL est actif et valide
- Les URLs WordPress et du site sont en HTTPS dans les réglages
- La base de données a été nettoyée (search-replace HTTP vers HTTPS)
- Les redirections 301 HTTP vers HTTPS sont en place
- Aucune erreur de contenu mixte dans la console du navigateur
- Le sitemap XML contient des URLs en HTTPS
- La Google Search Console est configurée pour la version HTTPS
- Les balises canonical pointent vers HTTPS
- Le fichier
robots.txtréférence le sitemap en HTTPS - Les profils de réseaux sociaux et annuaires pointent vers l'URL HTTPS
Conclusion
La migration SSL de votre site WordPress n'est plus une option : c'est une nécessité pour votre référencement, la sécurité de vos visiteurs et votre crédibilité en ligne. En suivant les étapes de ce guide — activation du certificat, correction de la base de données, redirections 301, et vérification du contenu mixte — vous pouvez passer en HTTPS sereinement, sans perdre une seule position dans Google.
La clé d'une migration SSL réussie réside aussi dans la qualité de votre hébergement. Un hébergeur qui intègre nativement Let's Encrypt, gère les redirections automatiques et optimise la configuration serveur vous épargne la majorité des problèmes techniques décrits dans cet article.
SEOPress.host propose un hébergement WordPress où le SSL est activé par défaut, avec renouvellement automatique et configuration optimisée. Combiné à une infrastructure pensée pour le SEO (HTTP/2, cache serveur, temps de réponse optimisés), c'est la solution idéale pour un WordPress rapide, sécurisé et parfaitement référencé. Découvrez nos offres et migrez votre site en toute sérénité.