WordPress sous HTTPS : Comment un simple certificat rend vos pages plus rapides d'un seul coup

Jan Hornung Dernière mise à jour le 21.10.2020
9 Min.
WordPress  HTTPS : un simple certificat peut accélérer énormément votre site

Il existe une idée fausse persistante selon laquelle le HTTPS rend WordPress lent. En fait, c'est le contraire : grâce à HTTP/2, les pages cryptées par SSL sont parfois extrêmement accélérées. Et grâce aux certificats SSL gratuits et aux installations intégrées, il n'a jamais été aussi facile de passer de WordPress à HTTPS. Et c'est une bonne chose, car les pages HTTP devront bientôt subir quelques inconvénients. Nous vous montrons ce que le switch apporte et comment vous pouvez vérifier d'un seul coup d'œil si votre hébergeur utilise HTTP/2.

Aujourd'hui, chaque client et utilisateur final connaît en fait la différence entre les pages cryptées et non cryptées. Au moins sur un plan subjectif : le cadenas vert donne simplement une bonne impression. Cependant, l'effet positif sur la confiance des visiteurs du site est tout aussi connu que l'idée fausse que le SSL, ou TLS (expliquez la différence), est crypté. différence par exemple les collègues de CHIP.de) rendent WordPress lent.

Et oui, en théorie, c'est vrai : si une page est fournie via HTTPS (la variante sécurisée de HTTP), la connexion entre le serveur web et le navigateur prend un peu plus de temps en raison de la poignée de main dite SSL. Mais nous ne parlons ici que de quelques millisecondes.

Aujourd'hui, la rumeur veut que le HTTPS WordPress ralentisse. En gros, un certificat SSL n'apporte que des avantages à votre site. Et comme Google va bientôt commencer à ajouter les mots "non sécurisé" aux pages non cryptées, il est grand temps de passer votre site en HTTPS dès maintenant.

Je vais vous montrer aujourd'hui :

  • Pourquoi le meilleur moment pour passer WordPress au HTTPS
  • Comment passer WordPress au HTTPS
  • Pourquoi HTTP/2 rend vos WordPress pages plus rapides
  • Quel est le gain de performance que vous pouvez attendre d'un WordPress site sous HTTPS
  • Une simple astuce pour voir si votre hébergeur utilise déjà HTTP/2 (ce qui devrait être le cas !)

Tout tourne autour du HTTPS, que WordPress ce soit ou non

Il y a trois ans déjà, Google a organisé une conférence des développeurs Google I/O Google a proclamé la devise "HTTPS everywhere". En bref, les développeurs de Google de l'époque, Pierre Far et Ilja Grigorik, se sont lancés dans l'utilisation du TLS (le protocole qui a succédé au SSL) et ont démontré dans leur session entre autres choses, les moyens de la mettre en œuvre.

Quelques semaines plus tard seulement, en août 2014, le Le HTTPS a ensuite été inclus comme signal officiel de classement dans le classement de recherche Google. C'est pourquoi Google tente depuis des années d'amener les exploitants de sites à passer au HTTPS en utilisant des arguments et en créant des faits.

Le fait que Google Chrome pénalisera bientôt les pages HTTP avec un avis "non sécurisé" peut certainement être considéré comme la prochaine grande étape de l'offensive "HTTPS partout" de Google. En fait, cet avis a déjà été est affiché depuis la version 56 de Chrome pour les pagesqui récupèrent des informations sur les cartes de crédit, par exemple. Avec la nouvelle version 62 du navigateur Google, cette règle est toutefois appliquée à toutes les pages qui permettent aux clients de saisir des informations, comme les formulaires de contact ou les champs de recherche.

Les mots de passe et les cartes de crédit ne sont pas les seuls types de données qui devraient être privées. Tout type de données que les utilisateurs saisissent sur des sites web ne doit pas être accessible à d'autres personnes sur le réseau. Ainsi, à partir de la version 62, Chrome affiche l'avertissement "Non sécurisé" lorsque les utilisateurs saisissent des données sur des sites HTTP.

- Emily Schechter, équipe de sécurité Chrome

SSL gratuit : jamais il n'a été aussi pratique de passer WordPress au HTTPS

Il y a trois ans, lorsque les deux développeurs de Google ont plaidé en faveur de TLS, il fallait encore acheter des certificats SSL et les installer soi-même. Depuis, la situation a radicalement changé, et pour le mieux.

En 2016, l'initiative Let's Encrypt a lancé l'émission de certificats SSL gratuits. Grâce à sponsors tels que Chrome, mais aussi Facebook et les entreprises de l'univers WordPress , les Californiens peuvent désormais fournir près de 40 millions de certificats SSL actifs gratuits.

WordPress  HTTPS Let's Encrypt growth figures. Depuis octobre 2016, le nombre de certificats actifs a presque été multiplié par huit.
Comme vous pouvez le constater, la croissance de Let's Encrypt s'est fortement accélérée depuis octobre 2016. Depuis lors, le nombre de certificats actifs a presque été multiplié par huit.

Cette évolution a eu un impact massif sur le paysage de l'hébergement : les certificats SSL gratuits sont désormais standard et même la configuration est désormais possible pour tout utilisateur grâce à l'intégration d'installations en un clic.

Dans le passé, le HTTPS était WordPress une véritable plaie

Avant la distribution massive de certificats SSL gratuits il y a deux ans, le passage de WordPress à HTTPS était une véritable corvée. Surtout pour les propriétaires de petits sites qui n'ont besoin que de certificats validés par le domaine.

Info : Ces types de certificats SSL sont disponibles

  • Certificats DV : DV signifie Domain Validated (domaine validé). Un certificat DV est utilisé pour vérifier si le domaine et l'espace web "vont ensemble". Si tout est en ordre, vous pouvez supposer que lorsque vous accédez au domaine, vous atterrissez en fait sur l'espace web associé et non sur un site de phishing. Le processus de configuration est encore assez simple ici : l'administrateur du domaine confirme qu'il a les droits appropriés sur un domaine et peut ensuite crypter sa page en conséquence.
  • Certificats OV : OV signifie Organization Validated (Organisation validée). Outre la validation du domaine, un tel certificat garantit que la page que vous visitez appartient réellement à l'entreprise dont vous vouliez consulter l'offre.
  • Certificats EV : Les certificats dits " Extended Validated Certificates " vont encore plus loin : l'organisme de certification vérifie alors intensivement les documents de l'entreprise. Entre autres choses, la forme juridique de la société est incluse dans le certificat.

Même la mise en place d'un simple certificat DV était auparavant une véritable corvée pour les WordPress pages et peut ne pas être réalisable pour les non-techniciens. Cela s'explique par le fait que le processus comportait au moins quatre étapes :

  1. Achetez un certificat : Ici, il fallait examiner le paysage des fournisseurs et comparer activement les prix et les conditions, même pour de simples certificats DV. Cela a également conduit certains fournisseurs à inventer des caractéristiques très créatives, telles que l'assurance, pour différencier leurs produits. Avec les certificats étendus, c'est là qu'intervient l'étape de validation, qui prouve que vous, le propriétaire du domaine, êtes également le propriétaire de l'entreprise. Selon le certificat, ce processus peut prendre des jours ou des semaines.
  2. Établir un certificat : L'étape suivante consistait à stocker les informations du certificat sur le serveur web. Selon le fournisseur, cela a pris plus ou moins de temps. Entre-temps, cependant, tous les fournisseurs d'hébergement ont en fait créé un flux de travail plus ou moins bon qui vous guide en tant qu'utilisateur tout au long du processus de configuration.
  3. PréparezWordPress pour le HTTPS : Après la mise en place du certificat lui-même, le site a dû être préparé au passage de HTTP à HTTPS. Pour ce faire, chaque entrée de la base de données et chaque ressource de la page a dû être convertie en HTTPS et le résultat a ensuite été vérifié pour détecter les erreurs de contenu mixte.
  4. Configurer Google : Après la conversion du site, les entités de Google Analytics et de la Google Search Console (anciennement Google Webmaster Tools) devaient encore être ajustées.

Grâce au développement initié par Let's Encrypt to the free DV certificates, ce processus a été massivement simplifié. De nombreux hébergeurs proposent désormais également une installation simplifiée, dans laquelle, dans le meilleur des cas, un certificat est activé et mis en place en un clic et le site passe automatiquement en HTTPS. Et ce, indépendamment du fait qu'il s'agisse d'un projet WordPress ou non.

CONSEIL : Vous devez mettre en place le protocole SSL sans installation en un seul clic ?

Si vous êtes malchanceux, votre hébergeur ne propose pas encore d'installation simplifiée. Dans ce cas, vous devez effectuer vous-même les WordPress réglages pour le HTTPS :

Pas de HTTP/2 sans Google

Je l'ai déjà mentionné : Google a toujours été intéressé par l'exploitation du plus grand nombre possible de sites avec des certificats SSL dans le cadre de son offensive "HTTPS everywhere". C'est probablement aussi la raison pour laquelle Chrome est un sponsor officiel de Let's Encrypt. Le géant des moteurs de recherche a également participé de manière significative au développement de HTTP/2.

Parce que le protocole précédent, SPDYa été initialement développé par Google comme une expérience pour explorer les possibilités techniques avec lesquelles le presque antique HTTP/1 pourrait être amélioré. En 2015, les résultats du projet expérimental SPDY ont été intégrés dans le programme de recherche de l le protocole HTTP/2 standardisé.

C'est pourquoi HTTP/2 rend vos WordPress pages plus rapides

HTTP/2 a été doté d'une multitude de nouvelles fonctions qui permettent de transférer les données beaucoup plus rapidement :

  • Multiplexage : Cette fonction permet de charger plusieurs flux de données différents sur une seule connexion entre le serveur web et le client (c'est-à-dire le navigateur des visiteurs de votre site). Avec HTTP/1, une connexion séparée doit être ouverte pour chaque flux de données. Et l'ouverture de ces connexions prend du temps.
  • Compression de l'en-tête : Chaque requête HTTP qu'un client adresse à un serveur web contient des méta-informations pour que la page puisse être construite correctement. Cette méta-information a pris de l'ampleur au fil des ans. HTTP/2 compresse ces informations et permet ainsi d'économiser du volume de données.
  • Server Push : Parfois appelé "cache push". Le principe de cette fonctionnalité est très simple : la grande majorité des demandes adressées à une page sont très similaires. Si votre serveur web reconnaît le modèle de requête typique, par exemple pour votre page d'accueil, alors le serveur envoie toutes les informations nécessaires pour construire la page au navigateur sans qu'on lui demande. De cette façon, le navigateur doit envoyer beaucoup moins de requêtes HTTP au serveur. Cela permet de charger la page plus rapidement.

Donc, tout cela semble assez beau en théorie. Mais qu'est-ce que cela signifie en pratique ? La page test HTTPS vs. HTTP montre de façon impressionnante la différence entre les deux générations de protocoles.

Si l'on compare le HTTPS et le HTTP, le HTTPS peut être beaucoup plus rapide.
Dans l'un de nos tests, nous avons constaté des différences entre HTTP/1 et HTTP/2 en ce qui concerne le temps de chargement, par exemple le jour et la nuit. La variante HTTP du test était 914% plus lente que la variante HTTP/2. Ce sont de bons présages pour passer vos WordPress pages en HTTPS.

Bien sûr, il est particulièrement intéressant de voir comment ces nouvelles fonctionnalités affectent le temps de chargement de vos pages dans le monde réel. Si votre page tourne sur un serveur compatible HTTP/2, vous pouvez simplement le demander à votre hébergeur (ou le découvrir par vous-même grâce à cette simple astuce). À condition, bien sûr WordPress, qu'il fonctionne sous HTTPS.

Le test de l'acide : le HTTPS est 45 % plus rapide WordPress dans les tests

Passons aux choses sérieuses : Quelle amélioration des performances peut-on raisonnablement attendre de la conversion d'un WordPress site en HTTPS ? Parce qu'une page terminée ne montrera pas les 914 % qui viennent d'être mesurés. Nous avons donc testé le tout avec notre page d'accueil. Cela signifie que nous avons testé raidboxes.io une fois avec et une fois sans HTTPS.

WordPress Le chargement d'un HTTPS sans SSL prend RAIDBOXES plus de 5 secondes
WordPress Le chargement du HTTPS avec SSL ne prend RAIDBOXES que 3 secondes
Nous avons effectué le test réel avec Webpagetest. Le temps de chargement d'un clone de raidboxes.de a été mesuré via le serveur de test français . Au total, sept tests consécutifs ont été effectués pour les variantes HTTPS et HTTP et les résultats ont été mis en moyenne. Il est important de noter que le site affiche un score de performance très faible. En effet, certaines ressources ne fonctionnent que sous le domaine correct de la page. Par conséquent, seul le temps de chargement est décisif pour la comparaison.

Le test montre qu'une copie de notre page d'accueil est 45 % plus rapide avec le HTTPS d'un seul coup. Notre test approfondi avec sept tests consécutifs de serveurs européens montre des résultats similaires.

Piratage de vie pour les webmasters : comment savoir en un coup d'œil si votre hébergeur utilise HTTP/2

Et parce que le HTTPS est votre WordPress Il est encore plus important que vous sachiez si votre hôte utilise HTTP/2. Bien sûr, vous pouvez simplement demander de l'aide, mais il existe également une méthode qui vous permet de voir d'un coup d'œil si votre site, ou tout autre site que vous testez, bénéficie de HTTP/2.

Pour cela, vous n'avez besoin que d'une seule chose : un diagramme de la cascade de votre page. Vous pouvez le créer en mesurant le temps de chargement avec les outils Webpagetest, Royaume des pins ou GTmetrix. Il suffit d'entrer l'URL à tester et de lancer le test. Pour cette astuce, d'ailleurs, peu importe d'où et avec quelles spécifications le test est effectué.

Dans le diagramme de la cascade terminé, il suffit maintenant de faire attention à ce que les différentes demandes soient chargées simultanément ou exclusivement chronologiquement. Si elles sont chargées simultanément, votre page utilise HTTP/2.

WordPress  HTTPS vs WordPress  HTTP
Comme vous pouvez le voir, les requêtes individuelles dans la version de gauche (HTTP) sont chargées chronologiquement, l'une après l'autre. Dans la bonne version (WordPress avec HTTPS), toutes les requêtes sont chargées simultanément.

Avez-vous regardé votre WordPress si le HTTPS est activé dans votre projet et que les requêtes ne sont pas chargées en parallèle, vous devez contacter d'urgence votre hébergeur 😉

Conclusion : le HTTPS comme chance pour tes projets WordPress

Récemment, Google a commencé à envoyer les premiers e-mails d'avertissement aux opérateurs de pages HTTP. À partir de la version 62, le navigateur Chrome fournira des pages permettant à l'utilisateur d'entrer des données avec le message "non sécurisé".

WordPress  HTTPS Exemple d'une page HTTP dans la nouvelle version 62 de Chrome
Par exemple, voici à quoi ressemblerait la barre d'adresse de nos collègues de t3n si Chrome affichait l'avis "Non sécurisé" pour toutes les pages HTTP.

Cela signifie en principe que chaque page HTTP comportant un formulaire de contact ou une fonction de commentaire est marquée par Google. Heureusement, il n'a jamais été aussi facile qu'aujourd'hui de créer votre WordPress pages à HTTPS : Les certificats SSL sont pour la plupart gratuits et les installations en un clic permettent d'économiser beaucoup de travail de configuration et permettent à des webmestres encore moins expérimentés techniquement de passer à l'autre. Et notre test le montre : même avec un site moins optimisé, vous pouvez WordPress bénéficient extrêmement bien du HTTPS et se chargent simplement beaucoup plus rapidement.

Dans le meilleur des cas, il suffit d'un clic. Donc, si vous continuez à gérer des sites sous HTTP, nous ne pouvons que vous conseiller vivement de changer.

RAIDBOXER depuis le début et chef du soutien. Aux Bar- et WordCamps, il aime parler de la vitesse des pages et des performances des sites web. La meilleure façon de le soudoyer est de lui offrir un espresso - ou un bretzel bavarois.

Articles connexes

Commentaires sur cet article

Laisse un commentaire

Ton adresse électronique ne sera pas publiée. Les champs obligatoires sont marqués d'un *.