WordPress sous HTTPS : un simple certificat rend vos pages plus rapides d'un seul coup

Jan Hornung Dernière mise à jour le 21.10.2020
9 Min.
WordPress  HTTPS : un simple certificat peut accélérer énormément votre site

L'idée fausse selon laquelle le HTTPS est WordPress lent est persistante. En fait, c'est exactement le contraire : grâce à HTTP/2, les pages cryptées par SSL sont parfois extrêmement accélérées. Et grâce aux certificats SSL gratuits et aux installations intégrées, il n'a jamais été aussi facile qu'aujourd'hui de passer WordPress au HTTPS. Et c'est une bonne chose, car les pages HTTP devront bientôt accepter certains inconvénients. Nous vous montrons ce qu'apporte le changement et comment vous pouvez vérifier d'un seul coup d'œil si votre hébergeur utilise HTTP/2.

Aujourd'hui, pratiquement chaque client et utilisateur final connaît la différence entre les pages cryptées et non cryptées. Au moins sur un plan subjectif : le cadenas vert donne simplement une bonne impression. Toutefois, l'effet positif sur la confiance des visiteurs du site est tout aussi connu, à savoir l'idée fausse que le SSL, ou TLS (le Expliquer la différence z. par exemple les collègues de CHIP.de) WordPress ralentissent.

Et oui, en théorie, c'est également vrai : si une page est fournie via HTTPS (la variante sécurisée de HTTP), la connexion entre le serveur web et le navigateur prend un peu plus de temps en raison de la "poignée de main SSL". Mais nous ne parlons que de quelques millisecondes.

Aujourd'hui, la rumeur veut que le HTTPS WordPress ralentisse. En gros, un certificat SSL n'apporte que des avantages à votre site. Et comme Google va bientôt commencer à ajouter les mots "non sécurisé" aux pages non cryptées, il est grand temps de passer votre site en HTTPS dès maintenant.

Je vais vous le montrer aujourd'hui :

  • Pourquoi le meilleur moment pour passer WordPress au HTTPS
  • Comment passer WordPress au HTTPS
  • Pourquoi HTTP/2 rend vos WordPress pages plus rapides
  • Quel est le gain de performance que vous pouvez attendre d'un WordPress site sous HTTPS
  • Une astuce simple pour détecter si votre hébergeur utilise déjà HTTP/2 (ce qui devrait être le cas !)

Tout tourne autour du HTTPS, que WordPress ce soit ou non

Il y a trois ans déjà, Google a organisé une conférence pour les développeurs Google I/O la devise "HTTPS partout". En bref, les développeurs de Google de l'époque, Pierre Far et Ilya Grigorik, se sont attaqués à l'utilisation du TLS (le protocole qui a succédé au SSL) et ont démontré dans leur Session Elle identifie notamment les moyens de les mettre en œuvre.

Quelques semaines plus tard, en août 2014. HTTPS alors comme signal officiel de classement dans le classement de recherche de Google. Ainsi, Google tente depuis des années d'amener les exploitants de sites à passer au HTTPS par le biais d'arguments et de la création de faits.

Le fait que Google Chrome sanctionnera bientôt les pages HTTP par la mention "non sécurisé" doit certainement être considéré comme la prochaine grande étape de l'offensive "HTTPS partout" de Google. En fait, cette référence est déjà affiché pour les pages depuis la version 56 de Chromequi récupèrent des informations sur les cartes de crédit, par exemple. Avec la nouvelle version 62 du navigateur Google, cette règle est toutefois appliquée à toutes les pages qui permettent la saisie de données par le client, comme les formulaires de contact ou les champs de recherche.

Les mots de passe et les cartes de crédit ne sont pas les seuls types de données qui devraient être privées. Tout type de données que les utilisateurs saisissent sur des sites web ne doit pas être accessible à d'autres personnes sur le réseau. Ainsi, à partir de la version 62, Chrome affiche l'avertissement "Non sécurisé" lorsque les utilisateurs saisissent des données sur des sites HTTP.

– Emily SchechterÉquipe de sécurité Chrome.

SSL gratuit : jamais il n'a été aussi pratique de passer WordPress au HTTPS

Il y a trois ans, lorsque les deux développeurs de Google ont plaidé en faveur du TLS, il fallait acheter des certificats SSL et les installer soi-même. Cela a changé radicalement entre-temps, et pour le mieux.

En 2016, l'initiative Let's Encrypt a commencé à émettre des certificats SSL gratuits. Merci Sponsors Comme - qui se demande - Chrome, mais aussi Facebook et les entreprises de l'WordPress univers, les Californiens peuvent aujourd'hui fournir près de 40 millions de certificats SSL actifs gratuits.

WordPress  HTTPS Cryptons les chiffres de la croissance. Le nombre de certificats actifs a presque été multiplié par huit depuis octobre 2016.
Comme vous pouvez le constater, la croissance de Let's Encrypt s'est fortement accélérée depuis octobre 2016. Depuis lors, le nombre de certificats actifs a presque été multiplié par huit.

Cette évolution a massivement influencé le paysage d'accueil : certificats SSL gratuits sont aujourd'hui standard et même la configuration est désormais possible pour chaque utilisateur grâce à l'intégration d'installations en un seul clic.

Dans le passé, le HTTPS était WordPress une véritable plaie

Avant la distribution massive de certificats SSL gratuits il y a deux ans, le passage du WordPress HTTPS était une véritable corvée. Surtout pour les propriétaires de petits sites qui n'ont besoin que de certificats validés par le domaine.

Info : Ces types de certificats SSL sont disponibles

  • Certificats informatiques : DV signifie ici Domain Validated (domaine validé). Un certificat DV sert à vérifier si le domaine et l'espace web "vont ensemble". Si les choses se passent bien, vous pouvez supposer que vous vous retrouverez effectivement sur l'espace web correspondant lorsque vous accéderez au domaine et non sur un site de phishing. Le processus de configuration est encore assez simple ici : l'administrateur du domaine confirme qu'il a les droits appropriés sur un domaine et est ensuite autorisé à crypter sa page en conséquence.
  • Certificats OV : OV signifie Organization Validated. Outre la validation du domaine, un tel certificat garantit que la page que vous visitez appartient réellement à l'entreprise dont vous vouliez consulter l'offre.
  • Certificats EV : Les certificats dits "Extended Validated Certificates" vont encore plus loin : l'organisme de certification vérifie alors intensivement les documents de l'entreprise. Entre autres choses, la forme juridique de la société est incluse dans le certificat.

Même la mise en place d'un simple certificat DV était auparavant une véritable corvée pour les WordPress pages et peut ne pas être réalisable pour les non-techniciens. Cela s'explique par le fait que le processus comportait au moins quatre étapes :

  1. Acheter un certificat : Ici, il fallait s'occuper du paysage des fournisseurs et comparer activement les prix et les conditions, même pour de simples certificats informatiques. Cela a également conduit certains fournisseurs à inventer des caractéristiques très créatives, comme l'assurance, pour différencier leurs produits. Dans le cas des certificats étendus, l'étape de validation est ajoutée ici, c'est-à-dire la preuve que le titulaire du domaine est également le propriétaire de l'entreprise. Selon le certificat, ce processus peut prendre des jours ou des semaines.
  2. Établir un certificat : L'étape suivante consistait à stocker les informations du certificat sur le serveur web. Selon le prestataire, cela a été plus ou moins complexe. Dans l'intervalle, cependant, tous hosting les fournisseurs ont créé un flux de travail plus ou moins bon qui vous guide en tant qu'utilisateur tout au long du processus de configuration.
  3. WordPress se préparer pour le HTTPS : Après la mise en place du certificat lui-même, le site a dû être préparé pour le passage du HTTP au HTTPS. Pour ce faire, chaque entrée de la base de données et chaque ressource de la page ont dû être commutées en HTTPS et le résultat a ensuite été vérifié pour détecter les erreurs de contenu mixte.
  4. Configurer Google : Après le changement de page, les entités de Google Analytics et de la Google Search Console (anciennement Google Webmaster Tools) devaient encore être ajustées.

Le développement initié par Let's Encrypt vers des certificats informatiques gratuits a massivement simplifié ce processus. De nombreux hébergeurs proposent désormais également une installation simplifiée, où dans le meilleur des cas Activez et configurez un certificat en un seul clic et la page est automatiquement basculée en HTTPS. Ceci est vrai que le projet soit un WordPress projet ou non.

CONSEIL : Vous devez configurer SSL sans installation en un seul clic ?

Si vous êtes malchanceux, votre hébergeur ne propose pas encore d'installation simplifiée. Dans ce cas, vous devez effectuer vous-même les WordPress réglages pour le HTTPS :

Sans Google, pas de HTTP/2

Je l'ai déjà mentionné : Google, dans le cadre de son offensive "HTTPS everywhere", a toujours été intéressé à ce que le plus grand nombre possible de sites fonctionnent avec des certificats SSL. C'est peut-être la raison pour laquelle Chrome est le sponsor officiel de Let's Encrypt. Mais le géant des moteurs de recherche a également participé de manière significative au développement de HTTP/2.

Parce que le protocole précédent, SPDYa d'abord été développée à titre expérimental par Google pour explorer les possibilités techniques permettant d'améliorer le presque ancien HTTP/1. En 2015, les résultats du projet expérimental SPDY ont été transférés à la Protocole HTTP/2 normalisé via.

C'est pourquoi HTTP/2 rend vos WordPress pages plus rapides

HTTP/2 a été doté d'une multitude de nouvelles fonctions qui permettent un transfert de données beaucoup plus rapide :

  • Multiplexage : Grâce à cette fonction, plusieurs flux de données différents peuvent être chargés via une connexion entre le serveur web et le client (c'est-à-dire le navigateur des visiteurs de votre site). Avec HTTP/1, une connexion séparée doit être ouverte pour chaque flux de données. Et l'ouverture de ces connexions prend du temps.
  • Compression de l'en-tête : Chaque requête HTTP qu'un client adresse à un serveur web contient des méta-informations afin que la page puisse être configurée correctement. Cette méta-information s'est développée au fil des ans. HTTP/2 compresse ces informations et permet ainsi d'économiser du volume de données.
  • Server Push : Parfois aussi appelé "cache push". Le principe de cette fonctionnalité est très simple : la grande majorité des demandes adressées à un site sont très similaires. Si votre serveur web reconnaît le schéma d'appel typique, par exemple pour votre page d'accueil, alors le serveur envoie toutes les informations au navigateur sans qu'on lui demande. Cela signifie que le navigateur doit envoyer beaucoup moins de requêtes HTTP au serveur. Cela permet d'assembler les pages plus rapidement.

En théorie, tout cela semble plutôt bien. Mais qu'est-ce que cela signifie en pratique ? La page test HTTPS contre HTTP montre de façon impressionnante l'importance de la différence entre les deux générations de protocoles.

Si l'on compare le HTTPS et le HTTP, le HTTPS peut être beaucoup plus rapide.
Dans l'un de nos tests, nous avons constaté des différences entre HTTP/1 et HTTP/2 en ce qui concerne le temps de chargement, par exemple le jour et la nuit. La variante HTTP du test était 914% plus lente que la variante HTTP/2. Ce sont de bons présages pour passer vos WordPress pages en HTTPS.

Bien sûr, il est particulièrement intéressant de voir comment ces nouvelles fonctionnalités affectent le temps de chargement de vos pages dans le monde réel. Si votre page tourne sur un serveur compatible HTTP/2, vous pouvez simplement le demander à votre hébergeur (ou le découvrir par vous-même grâce à cette simple astuce). À condition, bien sûr WordPress, qu'il fonctionne sous HTTPS.

Le test de l'acide : le HTTPS est 45 % plus rapide WordPress dans les tests

Passons aux choses sérieuses : Quelle amélioration des performances peut-on raisonnablement attendre de la conversion d'un WordPress site en HTTPS ? Parce qu'une page terminée ne montrera pas les 914 % qui viennent d'être mesurés. Nous avons donc testé le tout avec notre page d'accueil. Cela signifie que nous avons testé raidboxes.io une fois avec et une fois sans HTTPS.

WordPress Le chargement d'un HTTPS sans SSL prend RAIDBOXES plus de 5 secondes
WordPress Le chargement du HTTPS avec SSL ne prend RAIDBOXES que 3 secondes
Le test réel a été effectué avec Webpagetest. Le temps de chargement d'un clone a été mesuré par raidboxes.fr via le serveur de test français. Au total, sept tests consécutifs ont été effectués pour chacune des variantes HTTPS et HTTP et les résultats ont été mis en moyenne. Important : la page montre un très mauvais score de performance. Parce que certaines ressources ne fonctionnent que sous le domaine correct du site. Le temps de chargement est donc le seul facteur décisif pour la comparaison.

Le test montre qu'une copie de notre page d'accueil est 45 % plus rapide avec le HTTPS d'un seul coup. Notre test approfondi avec sept tests consécutifs de serveurs européens montre des résultats similaires.

Life-Hack pour les webmasters : voici comment vous pouvez savoir en un coup d'œil si votre hôte utilise HTTP/2

Et parce que le HTTPS est votre WordPress Il est encore plus important que vous sachiez si votre hôte utilise HTTP/2. Bien sûr, vous pouvez simplement demander de l'aide, mais il existe également une méthode qui vous permet de voir d'un coup d'œil si votre site, ou tout autre site que vous testez, bénéficie de HTTP/2.

Vous n'avez besoin que d'une seule chose : un diagramme de la cascade de votre site. Vous pouvez le créer en mesurant le temps de chargement avec les outils Webpagetest, Le royaume des pins ou GTmetrix. Il suffit d'entrer l'URL à tester et de lancer le test. Pour cette astuce, d'ailleurs, peu importe d'où et avec quelles spécifications le test est effectué.

Dans le diagramme de la cascade terminé, il suffit maintenant de faire attention à ce que les différentes demandes soient chargées simultanément ou exclusivement de manière chronologique. S'ils sont chargés en même temps, votre site utilise HTTP/2.

WordPress  HTTPS contre WordPress  HTTP
Comme vous pouvez le voir, les requêtes individuelles dans la version de gauche (HTTP) sont chargées chronologiquement, l'une après l'autre. Dans la bonne version (WordPress avec HTTPS), toutes les requêtes sont chargées simultanément.

Avez-vous regardé votre WordPress si le HTTPS est activé dans votre projet et que les requêtes ne sont pas chargées en parallèle, vous devez contacter d'urgence votre hébergeur 😉

Conclusion : le HTTPS comme chance pour vos WordPress projets

Récemment, Google a commencé à envoyer des premiers e-mails d'avertissement aux opérateurs de pages HTTP. À partir de la version 62, le navigateur Chrome marquera les pages qui permettent à l'utilisateur de saisir des données avec la mention "non sécurisé".

WordPress  HTTPS Exemple d'une page HTTP dans la nouvelle version 62 de Chrome
Par exemple, la barre d'adresse des collègues de t3n ressemblerait à ceci si Chrome affichait l'avis "Non sécurisé" sur toutes les pages HTTP.

Cela signifie en principe que chaque page HTTP comportant un formulaire de contact ou une fonction de commentaire est marquée par Google. Heureusement, il n'a jamais été aussi facile qu'aujourd'hui de créer votre WordPress pages à HTTPS : Les certificats SSL sont pour la plupart gratuits et les installations en un clic permettent d'économiser beaucoup de travail de configuration et permettent à des webmestres encore moins expérimentés techniquement de passer à l'autre. Et notre test le montre : même avec un site moins optimisé, vous pouvez WordPress bénéficient extrêmement bien du HTTPS et se chargent simplement beaucoup plus rapidement.

Dans le meilleur des cas, il suffit d'un clic. Donc, si vous continuez à utiliser des pages sous HTTP, nous ne pouvons que vous conseiller vivement de changer.

RAIDBOXER de la première heure et chef du soutien. Aux Bar- et WordCamps, il aime parler de la vitesse des pages et des performances des sites web. La meilleure façon de le soudoyer est de lui offrir un espresso - ou un bretzel bavarois.

Articles connexes

Commentaires sur cet article

Ecrire un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués par * .