Passer WordPress en HTTPS : guide complet SSL (2026)

HTTPS en 2026 : un prérequis, plus une option

Quand j'ai publié la première version de cet article en 2016, HTTPS était encore un sujet de débat. "Est-ce vraiment nécessaire pour un simple blog ?" me demandait-on en formation. Dix ans plus tard, la question ne se pose plus. Parcourez les ressources WordPress pour d'autres guides essentiels.

Les faits sont là. Google utilise HTTPS comme signal de classement depuis 2014. Chrome affiche un avertissement "Non sécurisé" sur tout site en HTTP depuis 2018. Firefox fait pareil. Les formulaires de contact, les pages de connexion, les paiements en ligne — tout exige HTTPS pour fonctionner correctement. Et depuis que Let's Encrypt a démocratisé les certificats SSL gratuits en 2015, l'argument du coût n'existe plus.

Un site WordPress sans HTTPS en 2026, c'est comme un restaurant sans eau courante. Techniquement possible. Pratiquement inacceptable.

La bonne nouvelle : si votre site est chez un hébergeur récent (o2switch, OVH, Infomaniak, PlanetHoster), il y a de bonnes chances que HTTPS soit déjà activé. Mais "activé" ne veut pas dire "correctement configuré". Et c'est toute la différence entre un cadenas vert dans la barre d'adresse et un avertissement de contenu mixte qui fait fuir vos visiteurs.

Vérifier si votre WordPress est déjà en HTTPS

Avant de toucher quoi que ce soit, vérifiez l'état actuel. Trois tests rapides :

• Test 1 — La barre d'adresse. Tapez l'URL de votre site. Si vous voyez un cadenas fermé et "https://" devant votre domaine, le certificat est actif. Si vous voyez "Non sécurisé" ou un triangle d'avertissement, il manque quelque chose.
• Test 2 — Réglages WordPress. Allez dans Réglages > Général. Les champs "Adresse web de WordPress (URL)" et "Adresse web du site (URL)" doivent commencer par https://. Si c'est encore http://, votre WordPress n'est pas configuré pour HTTPS.
• Test 3 — Le contenu mixte. Ouvrez les outils développeur de Chrome (F12), onglet Console. Rechargez une page. Si vous voyez des avertissements "Mixed Content", certaines ressources (images, scripts, CSS) sont encore chargées en HTTP.

Si les trois tests passent, votre site est correctement en HTTPS. Passez directement à la section vérifications post-migration pour vous assurer que tout est propre côté SEO. Sinon, suivez le guide ci-dessous.

Passer WordPress en HTTPS pas à pas

Cinq étapes, dans cet ordre. Ne sautez pas la première — c'est la plus fréquemment oubliée.

Étape 1 : Vérifier que le certificat SSL est actif chez l'hébergeur

Le certificat SSL est ce qui permet à votre serveur de communiquer en HTTPS. Sans certificat, pas de HTTPS. En 2026, la quasi-totalité des hébergeurs fournissent Let's Encrypt gratuitement et l'activent automatiquement.

• o2switch : SSL activé automatiquement via cPanel > SSL/TLS Status. Rien à faire.
• OVH / OVHcloud : Let's Encrypt inclus sur les offres mutualisées. Vérifiez dans l'espace client > Hébergement > SSL.
• Infomaniak : certificat automatique. Vérifiable dans le Manager > Hébergement > SSL.
• Autres hébergeurs : cherchez "SSL" ou "Let's Encrypt" dans le panneau de contrôle. Si votre hébergeur vous demande de payer pour un certificat SSL basique en 2026, changez d'hébergeur.

Pour vérifier que le certificat est bien installé, tapez https://votre-domaine.com dans votre navigateur. Si la page s'affiche avec un cadenas, c'est bon. Si vous obtenez une erreur de certificat, contactez le support de votre hébergeur.

Étape 2 : Modifier les URLs WordPress

Connectez-vous à l'administration WordPress. Allez dans Réglages > Général. Modifiez les deux champs :

• Adresse web de WordPress (URL) : remplacez http:// par https://
• Adresse web du site (URL) : idem, http:// → https://

Enregistrez. WordPress va vous déconnecter — c'est normal, l'URL a changé. Reconnectez-vous via la nouvelle URL en HTTPS.

Étape 3 : Forcer HTTPS via wp-config.php

Ouvrez le fichier wp-config.php à la racine de votre installation WordPress (par SFTP ou via le gestionnaire de fichiers de votre hébergeur). Ajoutez ces lignes avant la ligne /* That's all, stop editing! */ :

/* Forcer HTTPS */
define('FORCE_SSL_ADMIN', true);

/* Si derrière un reverse proxy ou load balancer */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] === 'https') {
    $_SERVER['HTTPS'] = 'on';
}

FORCE_SSL_ADMIN oblige l'administration WordPress à fonctionner exclusivement en HTTPS. La deuxième partie gère le cas où votre site est derrière un proxy inverse (Cloudflare, certains hébergeurs managés) — sans cette ligne, WordPress peut ne pas détecter HTTPS correctement et créer une boucle de redirection.

Étape 4 : Ajouter la redirection .htaccess

Cette étape est la plus importante pour le SEO. Elle redirige automatiquement toutes les requêtes HTTP vers HTTPS avec un code 301 (redirection permanente). Google comprend que l'ancienne URL HTTP et la nouvelle URL HTTPS sont le même contenu.

Ouvrez le fichier .htaccess à la racine de votre site. Ajoutez ces lignes tout en haut, avant les règles WordPress :

# Redirection HTTP vers HTTPS
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Ces quatre lignes font tout le travail. RewriteCond %{HTTPS} off vérifie si la connexion n'est pas en HTTPS. Si c'est le cas, RewriteRule redirige vers la même URL en HTTPS. Le [R=301] indique une redirection permanente — Google transfère le jus SEO de l'ancienne URL vers la nouvelle.

Étape 5 : Corriger les contenus mixtes

Le contenu mixte ("Mixed Content"), c'est quand votre page HTTPS charge des ressources (images, scripts, feuilles de style) en HTTP. Le navigateur bloque ou signale ces ressources, et le cadenas disparaît de la barre d'adresse.

Les sources les plus fréquentes de contenu mixte :

• Images insérées dans les articles — les URLs d'images enregistrées en http:// dans le contenu WordPress.
• URLs en dur dans le thème — des fichiers CSS ou JS appelés en HTTP dans le thème ou les plugins.
• Widgets et embeds — des scripts tiers (publicités, vidéos, iframes) chargés en HTTP.

La solution la plus efficace : faire un rechercher-remplacer dans la base de données pour transformer toutes les URLs http://votre-domaine.com en https://votre-domaine.com. C'est là qu'interviennent les plugins.

Les plugins qui simplifient la migration

Deux plugins méritent votre attention. Pas plus — inutile d'installer cinq extensions pour un problème qui se règle en deux outils.

Really Simple SSL — Le plus populaire, 5+ millions d'installations. Il détecte votre certificat SSL, corrige les contenus mixtes à la volée, et gère la redirection HTTP → HTTPS. C'est la solution "un clic" pour ceux qui ne veulent pas toucher au code. Activez-le, il fait le reste. Je le recommande pour les débutants qui veulent sécuriser leur migration. Mais attention : Really Simple SSL fonctionne en temps réel. Il intercepte chaque requête pour réécrire les URLs. Sur un site performant, la solution propre reste de corriger les URLs directement en base de données.

Better Search Replace — Fait un rechercher-remplacer dans la base de données WordPress. Tapez http://votre-domaine.com dans "Rechercher", https://votre-domaine.com dans "Remplacer par", sélectionnez toutes les tables, et lancez. Faites d'abord un "Dry Run" (simulation) pour vérifier le nombre de remplacements. C'est la méthode propre et définitive.

Mon conseil : utilisez Better Search Replace pour corriger la base de données, puis vérifiez qu'il ne reste plus de contenu mixte. Si tout est propre, vous n'avez pas besoin de Really Simple SSL. Si quelques cas résiduels persistent (plugins tiers, embeds), gardez Really Simple SSL le temps de les identifier et de les corriger manuellement.

Vérifications post-migration

HTTPS est activé, la redirection fonctionne, les contenus mixtes sont corrigés. Reste le ménage SEO. Si vous sautez cette étape, Google va traiter vos versions HTTP et HTTPS comme deux sites différents pendant des semaines.

• Google Search Console — Ajoutez la propriété HTTPS de votre site si ce n'est pas déjà fait. Google Search Console traite http:// et https:// comme des propriétés distinctes. Soumettez un nouveau sitemap en HTTPS. Plus de détails dans le guide SEO WordPress.
• Sitemap — Vérifiez que votre sitemap (généré par Yoast SEO ou votre plugin SEO) contient bien des URLs en HTTPS. Accédez à https://votre-domaine.com/sitemap_index.xml et vérifiez.
• Liens internes — Si vous avez utilisé Better Search Replace, les liens internes dans le contenu sont déjà en HTTPS. Vérifiez aussi les menus de navigation, les widgets, et le pied de page.
• Google Analytics — Mettez à jour l'URL du site dans les paramètres de la propriété Google Analytics (Admin > Flux de données). Le tracking continue de fonctionner, mais l'URL de référence doit correspondre.
• Liens externes entrants — Vous ne pouvez pas modifier les liens sur d'autres sites. Mais grâce à la redirection 301, le trafic et le jus SEO sont automatiquement transférés vers la version HTTPS.

Problèmes courants et solutions

Après avoir accompagné des centaines de migrations HTTP → HTTPS en formation depuis 2012, voici les trois problèmes qui reviennent systématiquement.

La boucle de redirection infinie

Symptôme : votre navigateur affiche "ERR_TOO_MANY_REDIRECTS". La page ne charge jamais.

Cause habituelle : votre hébergeur redirige déjà HTTP vers HTTPS au niveau serveur, et votre .htaccess fait la même chose. Double redirection = boucle. Ou bien WordPress est configuré en HTTP dans Réglages > Général mais le serveur force HTTPS.

Solution : supprimez les règles de redirection du .htaccess. Videz les cookies du navigateur (ou testez en navigation privée). Vérifiez que les URLs dans Réglages > Général sont bien en https://. Si votre hébergeur gère la redirection, vous n'avez pas besoin de la règle .htaccess.

Le contenu mixte persistant

Symptôme : le site est en HTTPS, mais le cadenas est absent ou barré. La console affiche des erreurs "Mixed Content".

Cause : des ressources chargées en HTTP subsistent. Souvent des images anciennes, des scripts de plugins, ou des embeds tiers codés en dur.

Solution : ouvrez la console développeur (F12 > Console), identifiez les URLs fautives. Si ce sont des ressources de votre domaine, relancez Better Search Replace. Si ce sont des ressources externes (polices Google, scripts tiers), modifiez les URLs dans le plugin ou le thème concerné. Les URLs externes en http:// peuvent souvent être remplacées par https:// ou par des URLs relatives en //.

Le cadenas absent malgré un certificat valide

Symptôme : le certificat est installé, les URLs sont en HTTPS, mais Chrome n'affiche pas le cadenas.

Cause : il suffit d'une seule ressource en HTTP sur la page pour que le cadenas disparaisse. Parfois c'est une image de fond dans le CSS, un favicon en HTTP, ou un script d'analytics mal configuré.

Solution : utilisez Why No Padlock pour scanner la page et identifier précisément quelle ressource pose problème. Corrigez-la, videz le cache WordPress et le cache navigateur, et vérifiez à nouveau.

Pour aller plus loin

La migration HTTPS est une étape de sécurisation de votre WordPress. Ce n'est pas la seule. Mises à jour régulières, mots de passe robustes, limitation des tentatives de connexion, sauvegardes automatiques — tout ça compte autant que le cadenas dans la barre d'adresse.

Si vous partez de zéro, commencez par installer WordPress proprement. Si votre site tourne déjà mais accumule les erreurs, consultez le guide des solutions aux erreurs WordPress courantes. Et pour un audit complet de votre référencement, le guide SEO WordPress couvre tout ce qui vient après HTTPS.

Questions fréquentes

define('FORCE_SSL_ADMIN', true);