Montrer le sommaire Cacher le sommaire
- Pourquoi mon navigateur affiche Not Secure pour mon site WordPress
- Comment vérifier rapidement l’état du certificat SSL TLS de votre site
- Que signifie contenu mixte et comment l’identifier sur WordPress
- Comment migrer proprement votre site WordPress vers HTTPS sans casser les pages
- Comment corriger le contenu mixte sans casser le site
- Quels plugin et outils vérifier quand l’avertissement persiste
- Que faire quand le certificat est installé mais l’avertissement subsiste
- Tableau pratique des pannes fréquentes et solutions rapides
- Quels réglages SEO vérifier après la migration vers HTTPS
- Conseils pratiques pour éviter les régressions après la mise en place d’un certificat
- FAQ
Voir apparaître l’avertissement Not Secure dans la barre d’adresse de votre site WordPress est toujours désagréable, mais ce n’est pas une fatalité. Au-delà de l’impact sur la confiance des visiteurs, ce signal révèle souvent des problèmes techniques précis comme des certificats manquants ou mal configurés, des ressources chargées en HTTP sur des pages HTTPS, ou des redirections incohérentes entre les versions HTTP et HTTPS d’une même URL.
Pourquoi mon navigateur affiche Not Secure pour mon site WordPress
Comment réinitialiser et dissocier un AirTag en toute sécurité avant de le donner?
Comment corriger l’avertissement non sécurisé et les problèmes SSL sur WordPress en 8 étapes
Le message Not Secure survient quand la connexion entre le navigateur et le serveur n’est pas chiffrée ou lorsqu’un problème de certificat empêche le navigateur d’établir une connexion sûre. Les causes fréquentes que l’on rencontre en pratique incluent un certificat expiré, un certificat émis pour un autre nom de domaine, une chaîne intermédiaire incomplète, ou encore une terminaison HTTPS au niveau du CDN sans certificat valide à l’origine. Parfois, la page elle‑même est servie en HTTPS mais contient des ressources en HTTP ce qui déclenche un avertissement de contenu mixte.
Dans un contexte multi‑environnement vous verrez aussi ces erreurs si vos redirections ne renvoient pas systématiquement vers la version HTTPS préférée. Il suffit qu’une page soit accessible en HTTP et en HTTPS pour générer des signaux contradictoires auprès des moteurs de recherche et de vos visiteurs.
Comment vérifier rapidement l’état du certificat SSL TLS de votre site
Avant toute modification, effectuez une sauvegarde complète de fichiers et de la base de données. Ensuite, contrôlez l’état du certificat avec des outils en ligne comme SSL Labs, SSL Shopper ou le test de WhyNoPadlock. Ces outils indiquent la date d’expiration, les noms alternatifs (SAN), la présence de la chaîne d’autorité et les problèmes de configuration.
Quelques vérifications à faire à la main depuis un navigateur
- Cliquer sur l’icône du cadenas pour voir le certificat et la période de validité
- Ouvrir la console du navigateur pour repérer les erreurs de contenu mixte
- Vérifier que les URLs dans Réglages > Général de WordPress utilisent HTTPS pour Site Address et WordPress Address
Que signifie contenu mixte et comment l’identifier sur WordPress
Le contenu mixte arrive quand une page HTTPS charge images, scripts, polices ou iframes via HTTP non chiffré. Les navigateurs modernes bloquent souvent les scripts et feuilles de style non sécurisés et affichent des avertissements pour les ressources passives comme les images.
Pour identifier l’origine du problème utilisez la console réseau du navigateur et recherchez les requêtes HTTP. Dans WordPress les coupables récurrents sont les thèmes ou plugins qui insèrent des URLs hardcodées, les widgets tiers, les polices Google mal appelées, et les appels à des services externes non migrés vers HTTPS.
Comment migrer proprement votre site WordPress vers HTTPS sans casser les pages
La migration vers HTTPS réussie combine plusieurs étapes précises. Après installation ou renouvellement du certificat vous devez forcer la redirection 301 de HTTP vers HTTPS, remplacer toutes les URLs internes, purger les caches et vérifier les plugins de sécurité et de cache.
Erreurs courantes observées sur le terrain
- Redirections en boucle causées par règles contradictoires dans .htaccess, Nginx et couche CDN
- WP_SITEURL mal défini dans wp-config.php rendant l’administration inaccessible
- Cache CDN qui continue à servir des ressources HTTP après la migration
Exemples de redirections utiles
Si votre serveur utilise Apache la solution la plus sûre consiste à ajouter une règle de redirection 301 qui renvoie systématiquement vers HTTPS. Sur Nginx la configuration se fait au niveau du bloc server. Après avoir appliqué les modifications pensez à purger le cache serveur et CDN.
Comment corriger le contenu mixte sans casser le site
Commencez par lister les pages critiques: page d’accueil, pages de paiement, connexion et formulaires. Utilisez un outil d’audit pour générer un rapport. Ensuite remplacez les URLs HTTP par HTTPS soit via une opération de recherche‑remplacement dans la base de données soit en corrigeant les templates qui génèrent ces liens.
Bonnes pratiques pour effectuer le remplacement
- Faire une sauvegarde avant toute modification de la base
- Utiliser un plugin de type search and replace qui propose un « dry run »
- Préférer les chemins relatifs quand c’est possible pour éviter de figer un protocole
Quels plugin et outils vérifier quand l’avertissement persiste
Certains plugins peuvent injecter du contenu externe ou modifier les en‑têtes HTTP. Examinez en priorité les extensions qui gèrent les scripts, les publicités, les outils d’analyse et les widgets sociaux. Désactivez temporairement les plugins suspects et testez page par page. Vérifiez aussi la configuration du CDN pour vous assurer que la liaison entre le CDN et l’origine est chiffrée.
Que faire quand le certificat est installé mais l’avertissement subsiste
Si le certificat semble présent mais que le navigateur continue d’afficher Not Secure regardez la chaîne de certificats. Une chaîne incomplète est fréquente avec certains fournisseurs. Vérifiez que l’émetteur intermédiaire est bien servi. Vérifiez aussi les en‑têtes HSTS si vous avez appliqué cette directive; une mauvaise configuration HSTS peut rendre des problèmes persistants plus difficiles à corriger.
Tableau pratique des pannes fréquentes et solutions rapides
| Symptôme | Cause probable | Solution rapide |
|---|---|---|
| Message Not Secure malgré certificat installé | Chaîne intermédiaire manquante ou mauvaise correspondance de nom | Vérifier chaîne sur SSL Labs et réinstaller certificat avec intermédiaires |
| Certaines pages sans cadenas | Contenu mixte (images, scripts) | Identifier via console et remplacer les URLs HTTP par HTTPS |
| Redirections en boucle après passage à HTTPS | Règles contradictoires dans .htaccess, Nginx ou CDN | Purger règles redondantes et tester avec le cache désactivé |
| Impossible d’accéder à l’administration après switch | WP_HOME ou WP_SITEURL mal configurés | Définir temporairement les constantes dans wp-config.php et corriger depuis l’admin |
Quels réglages SEO vérifier après la migration vers HTTPS
Après la bascule assurez‑vous que Google Search Console contient la bonne propriété HTTPS et soumettez un sitemap mis à jour. Vérifiez les balises canonicals pour qu’elles pointent vers la version HTTPS et que vos redirections sont en 301. Sans ces vérifications vous risquez d’avoir des signaux mixtes et de diluer votre référencement entre deux versions du site.
Conseils pratiques pour éviter les régressions après la mise en place d’un certificat
Documentez les étapes que vous avez suivies, activez le renouvellement automatique du certificat si possible et surveillez les dates d’expiration. Programmez des contrôles automatiques avec des outils qui vous alertent quand un certificat approche de sa date d’expiration. Enfin, intégrez la vérification HTTPS dans vos routines de déploiement continu pour éviter de revenir en arrière lors d’un update.
FAQ
Mon site affiche Not Secure que faire en urgence
Vérifiez si le certificat est expiré depuis la console du navigateur puis purgezn le cache CDN. Si le certificat est valide lancez la console pour repérer du contenu mixte et remplacez les ressources HTTP par HTTPS.
Puis‑je utiliser un certificat gratuit comme Let’s Encrypt
Oui. Les certificats gratuits offrent un chiffrement identique aux certificats payants. La différence porte sur le support, les types de validation et éventuellement la durée de validité mais pas sur la sécurité du chiffrement.
Comment forcer toutes les URLs vers HTTPS sans casser le site
Installez la redirection 301 côté serveur et remplacez les URLs dans la base de données. Testez d’abord sur un environnement de staging et utilisez un plugin de search and replace en mode « dry run ».
Les avertissements de contenu mixte empêchent-ils les paiements sur mon site
Ils peuvent. Les navigateurs bloquent souvent les scripts non sécurisés, ce qui peut interrompre des composants de paiement ou d’authentification. Corrigez d’abord le contenu mixte sur les pages sensibles.
Combien de temps Google met‑il à indexer la version HTTPS
Les redirections et le changement sont immédiats pour les visiteurs mais Google peut prendre quelques jours à plusieurs semaines pour refléter complètement la migration dans l’index selon la taille et la fréquence de crawl de votre site.
Que vérifier si le certificat est ok mais le cadenas n’apparaît pas
Regardez la console pour les requêtes HTTP, vérifiez la chaîne de certificats, purgez les caches et contrôlez que les balises canonicals et sitemap pointent vers le HTTPS.
