03.09.17
mis à jour le 21/10/20
Jan Hornung
0 commentaires
WordPress HTTPS : un simple certificat peut accélérer énormément ton site

WordPress sous HTTPS : voici comment un simple certificat rend tes pages plus rapides d'un seul coup

L'idée fausse selon laquelle le HTTPS ralentit WordPress persiste. En fait, c'est exactement le contraire : grâce à HTTP/2, les pages cryptées par SSL sont parfois extrêmement rapides. Et grâce aux certificats SSL gratuits et aux installations intégrées, il n'a jamais été aussi facile qu'aujourd'hui de passer WordPress au HTTPS. Et c'est une bonne chose, car les pages HTTP devront bientôt faire face à quelques inconvénients. Nous montrons les avantages de la transition et comment tu peux vérifier en un seul coup d'œil si ton hébergeur utilise HTTP/2.

Aujourd'hui, chaque client et utilisateur final connaît la différence entre les pages cryptées et non cryptées. Au moins à un niveau subjectif : le cadenas vert donne tout simplement un bon sentiment. L'effet positif sur la confiance des visiteurs du site est aussi connu que l'idée fausse selon laquelle SSL, ou TLS (la différence entre les deux), est une technologie de cryptage. La différence est expliquée par exemple, nos collègues de CHIP.de) rendent WordPress lent.

Et oui, en théorie, c'est vrai : si une page est livrée via HTTPS (c'est-à-dire la variante sécurisée de HTTP), la connexion entre le serveur web et le navigateur prend un peu plus de temps en raison de ce que l'on appelle le handshake SSL. Mais nous parlons ici de quelques millisecondes seulement.

Aujourd'hui, on peut donc dire que le HTTPS ralentit WordPress. En fait, un certificat SSL n'apporte que des avantages à ton site. Et comme Google va bientôt commencer à attribuer la mention "non sécurisé" aux sites non cryptés, il est grand temps de passer ton site au HTTPS dès maintenant.

Je te montre aujourd'hui

  • Pourquoi c'est le meilleur moment pour passer WordPress au HTTPS ?
  • Comment faire passer WordPress en HTTPS ?
  • Pourquoi HTTP/2 rend tes pages WordPress plus rapides
  • Quel coup de pouce en termes de performances tu peux attendre d'un site WordPress sous HTTPS ?
  • Une astuce simple qui te permet de savoir si ton hébergeur utilise déjà HTTP/2 (ce qu'il devrait faire !).

Tout tourne autour du HTTPS, que ce soit WordPress ou non.

Il y a trois ans, lors de sa conférence des développeurs, Google avait déjà appelé à la création d'un nouveau site web. Google I/O la devise "HTTPS everywhere". En bref, les développeurs de Google de l'époque, Pierre Far et Ilja Grigorik, ont rompu une lance pour l'utilisation de TLS (le protocole qui succède à SSL) et ont montré dans leur Session entre autres, des moyens de mise en œuvre.

Quelques semaines plus tard, en août 2014, le site web a été mis en ligne. HTTPS est devenu un signal officiel de classement. dans le classement de recherche de Google. Google essaie donc depuis des années, par le biais d'arguments et de la création de faits, d'inciter les exploitants de sites à convertir leurs sites web au HTTPS.

Le fait que Google Chrome pénalise prochainement les pages HTTP avec la mention "non sécurisé" est certainement considéré comme la prochaine grande étape de l'offensive "HTTPS everywhere" de Google. En fait, cette indication est déjà utilisée depuis la version 56 de Chrome pour les pagesqui demandent par exemple des informations sur les cartes de crédit. Avec la nouvelle version 62 du navigateur de Google, cette règle s'applique à toutes les pages qui permettent aux clients de saisir des données, par exemple les formulaires de contact ou les champs de recherche.

Les mots de passe et les cartes de crédit ne sont pas les seuls types de données qui devraient être privées. Tous les types de données que les utilisateurs insèrent dans les sites Web ne doivent pas être accessibles à d'autres sur le réseau, donc à partir de la version 62, Chrome affichera l'avertissement "Pas sécurisé" lorsque les utilisateurs insèrent des données dans les sites HTTP.

- Emily Schechter, équipe de sécurité de Chrome

SSL gratuit : la situation n'a jamais été aussi favorable pour faire passer WordPress au HTTPS

Il y a trois ans, lorsque les deux développeurs de Google ont fait leur plaidoyer pour TLS, il fallait encore acheter des certificats SSL et les installer soi-même. Cela a considérablement changé depuis, et pour le mieux.

En 2016, l'initiative Let's Encrypt a lancé son émission de certificats SSL gratuits. Grâce à Sponsors comme - qui s'en étonnerait - Chrome, mais aussi Facebook et des entreprises de l'univers WordPress, les Californiens peuvent aujourd'hui fournir près de 40 millions de certificats SSL gratuits actifs.

WordPress HTTPS Let's Encrypt chiffres de croissance. Depuis octobre 2016, le nombre de certificats actifs a presque été multiplié par huit.
Comme tu peux le voir, la croissance de Let's Encrypt s'est fortement accélérée depuis octobre 2016. Depuis, le nombre de certificats actifs a presque été multiplié par huit.

Cette évolution a eu un impact massif sur le paysage de l'hébergement : les certificats SSL gratuits sont devenus la norme et même l'installation est aujourd'hui à la portée de tous les utilisateurs grâce à l'intégration d'installations en un clic.

Avant, HTTPS pour WordPress était une vraie douleur

Avant la diffusion massive de certificats SSL gratuits il y a un peu plus de deux ans, la conversion de WordPress à HTTPS était une vraie douleur. Surtout pour les propriétaires de petits sites qui n'ont besoin que de certificats validés par le domaine.

Info : il existe ces types de certificats SSL

  • Certificats DV : DV signifie ici Domain Validated. Un certificat DV sert donc à vérifier si le domaine et l'espace web "vont ensemble". Si tout se passe bien, tu peux être sûr que lorsque tu accèdes au domaine, tu atterris réellement sur l'espace web correspondant et non sur un site de phishing. Le processus d'installation est encore très simple : l'administrateur du domaine confirme qu'il a les droits correspondants sur un domaine et peut ensuite crypter son site en conséquence.
  • Certificats OV : OV signifie Organization Validated. En plus de la validation du domaine, un tel certificat garantit donc que le site visité appartient vraiment à l'entreprise dont tu voulais consulter l'offre.
  • Certificats EV : Les certificats dits Extended Validated Certificates vont encore plus loin : ici, l'organisme de certification vérifie intensivement les documents de l'entreprise. La forme juridique de l'entreprise est notamment incluse dans le certificat.

Auparavant, la mise en place d'un simple certificat DV était déjà un véritable casse-tête pour les sites WordPress et pouvait même être impossible à réaliser pour les non-techniciens. En effet, le processus comportait au moins quatre étapes :

  1. Acheter un certificat : Ici, il fallait se pencher sur le paysage des fournisseurs et comparer activement les prix et les conditions, même pour les simples certificats DV. Cela a également conduit certains fournisseurs à inventer des fonctionnalités très créatives, comme des assurances, pour différencier leurs produits. Pour les certificats avancés, il faut ici ajouter l'étape de validation, c'est-à-dire la preuve qu'en tant que propriétaire du domaine, tu es bien le propriétaire de l'entreprise. Selon le certificat, ce processus pouvait prendre des jours ou des semaines.
  2. Mettre en place le certificat : L'étape suivante consistait à enregistrer les informations relatives au certificat sur le serveur web. Selon le fournisseur, cette procédure était plus ou moins laborieuse. Mais aujourd'hui, tous les fournisseurs d'hébergement ont créé un flux de travail plus ou moins bon qui te guide en tant qu'utilisateur à travers le processus d'installation.
  3. Préparer WordPress pour le HTTPS : Une fois que le certificat en lui-même a été mis en place, le site a dû être préparé pour passer du HTTP au HTTPS. Pour ce faire, chaque entrée de la base de données et chaque ressource du site a dû être convertie en HTTPS, puis le résultat a été vérifié pour les erreurs de contenu mixte.
  4. Configurer Google : Après la conversion de la page, il fallait encore adapter les entités dans Google Analytics et dans la Google Search Console (anciennement Google Webmaster Tools).

Grâce à l'évolution initiée par Let's Encrypt vers les certificats DV gratuits, ce processus s'est considérablement simplifié. De nombreux hébergeurs proposent désormais une installation simplifiée qui, dans le meilleur des cas, permet d'activer et de configurer un certificat en un seul clic et de faire passer automatiquement le site en HTTPS. Et ce, indépendamment du fait qu'il s'agisse d'un projet WordPress ou non.

ASTUCE : tu dois mettre en place le SSL sans installation en un clic ?

Si tu n'as pas de chance, ton hébergeur ne propose pas encore d'installation simplifiée. Dans ce cas, tu devras notamment effectuer toi-même les réglages côté WordPress pour le HTTPS :

  • Notre collègue Jonas Tietgen, aka WP Ninjas, t'explique comment faire.
  • Le guide de René Dasbeck, aka netzgänger, est similaire.
  • Et notre collègue Finn Hillebrandt de blogmojo s'est lui aussi penché sur la question.

Sans Google, pas de HTTP/2

Je l'ai déjà mentionné : dans le cadre de son offensive "HTTPS everywhere", Google a toujours été intéressé par le fait que le plus grand nombre possible de sites fonctionnent avec un certificat SSL. C'est probablement la raison pour laquelle Chrome est le sponsor officiel de Let's Encrypt. Le géant de la recherche a également joué un rôle important dans le développement de HTTP/2.

Car le protocole précédent, SPDYLe premier prototype a été développé par Google en tant qu'expérience, afin d'explorer les possibilités techniques pour améliorer le presque ancien HTTP/1. C'était en 2009. En 2015, les connaissances acquises dans le cadre du projet expérimental SPDY ont été intégrées dans le protocole. protocole HTTP/2 standardisé.

Voilà pourquoi HTTP/2 rend tes pages WordPress plus rapides

HTTP/2 a été doté d'une multitude de nouvelles fonctionnalités qui permettent un transfert de données plusieurs fois plus rapide :

  • Le multiplexage : Cette fonction permet de charger plusieurs flux de données différents via une connexion entre le serveur web et le client (c'est-à-dire le navigateur des visiteurs de ta page). Avec HTTP/1, il faut ouvrir une connexion pour chaque flux de données. Et l'ouverture de ces connexions prend du temps.
  • Compression des en-têtes : Chaque requête HTTP qu'un client envoie à un serveur web contient des méta-informations pour que la page puisse être construite correctement. Ces méta-informations sont devenues de plus en plus grandes au fil des années. HTTP/2 comprime ces informations et économise ainsi du volume de données.
  • Push du serveur : Parfois aussi appelé cache push. Le principe de cette fonction est très simple : la plupart des demandes adressées à une page sont très similaires. Si ton serveur Web reconnaît le modèle d'appel typique, par exemple pour ta page d'accueil, le serveur envoie au navigateur, sans le demander, toutes les informations dont il a besoin pour construire la page. Ainsi, le navigateur doit envoyer beaucoup moins de requêtes HTTP au serveur. La construction de la page est donc plus rapide.

Voilà, tout cela semble bien en théorie. Mais qu'est-ce que cela signifie dans la pratique ? La page de test HTTPS vs. HTTP montre de manière impressionnante à quel point la différence entre les deux générations de protocoles est grande.

Dans une comparaison entre HTTPS et HTTP, HTTPS peut parfois être énormément plus rapide.
Dans l'un de nos tests, le temps de chargement entre HTTP/1 et HTTP/2 était aussi différent que le jour et la nuit. La variante HTTP du test était 914% plus lente que la variante HTTP/2. Ce sont de bons signes pour la conversion de tes pages WordPress au HTTPS.

Bien sûr, il est particulièrement intéressant de voir comment ces nouvelles fonctionnalités affectent le temps de chargement de tes pages dans le monde réel. Tu peux facilement demander à ton hébergeur si ton site fonctionne sur un serveur compatible HTTP/2 (ou le découvrir toi-même grâce à cette simple astuce). A condition, bien sûr, que WordPress fonctionne sous HTTPS.

L'épreuve du feu : le HTTPS rend WordPress 45% plus rapide lors du test

Maintenant, passons aux choses sérieuses : Quelle augmentation de la performance peut-on réellement attendre de la conversion d'un site WordPress en HTTPS ? Car ce ne sont pas les 914% que nous venons de mesurer qui apparaîtront sur une page terminée. C'est pourquoi nous avons testé le tout avec notre page d'accueil. C'est-à-dire que nous avons testé raidboxes.de une fois avec et une fois sans HTTPS.

WordPress HTTPS sans SSL Raidboxes prend plus de 5 secondes pour se charger
WordPress HTTPS avec SSL Raidboxes prend à peine 3 secondes pour se charger
Nous avons effectué le test proprement dit avec Webpagetest. Nous avons mesuré le temps de chargement d'un clone de raidboxes.de via des serveurs de test allemands. Au total, sept tests consécutifs ont été effectués pour les variantes HTTPS et HTTP et les résultats ont été moyennés. Ce qui est important, c'est que le site affiche une très mauvaise note de performance. En effet, certaines ressources ne fonctionnent que sous le domaine correct de la page. C'est donc uniquement le Load time qui est décisif pour la comparaison.

Le test montre qu'une copie de notre page d'accueil est 45% plus rapide d'un seul coup avec le HTTPS. Notre test détaillé avec sept tests consécutifs de serveurs allemands montre des résultats similaires.

Life-Hack pour les webmasters : voici comment savoir en un coup d'œil si ton hébergeur utilise HTTP/2

Et parce que HTTPS apporte à tes projets WordPress-WordPress ce coup de pouce confortable en termes de performances, il est d'autant plus important que tu saches si ton hébergeur utilise HTTP/2. Bien sûr, tu peux simplement demander au support, mais il existe aussi une méthode qui te permet de savoir en un coup d'œil si ton site, ou tout autre site que tu testes, bénéficie de HTTP/2.

Pour cela, tu n'as besoin que d'une chose : un diagramme en cascade de ton site. Tu peux le créer en mesurant le temps de chargement avec les outils suivants Webpagetest, Pingdom ou GTmetrix. Saisis simplement l'URL à tester et laisse le test se dérouler. Pour cette astuce, peu importe d'où et avec quelles spécifications le test est effectué.

Dans le diagramme en cascade final, il te suffit de vérifier si les demandes individuelles sont chargées simultanément ou uniquement par ordre chronologique. Si elles sont chargées en même temps, ton site utilise le HTTP/2.

WordPress HTTPS vs WordPress HTTP
Comme tu peux le voir, dans la version de gauche (HTTP), les différentes requêtes sont chargées chronologiquement, c'est-à-dire l'une après l'autre. Dans la version de droite (WordPress avec HTTPS), toutes les requêtes sont chargées en même temps.

Si tu as activé HTTPS sur tes projets WordPress-WordPress et que les requêtes ne se chargent pas en parallèle, tu dois contacter ton hébergeur de toute urgence 😉

Conclusion : HTTPS comme opportunité pour tes projets WordPress

Récemment, Google a commencé à envoyer les premiers e-mails d'avertissement aux opérateurs de sites HTTP. En effet, à partir de la version 62, le navigateur Chrome affichera la mention "non sécurisé" sur les pages qui permettent aux utilisateurs de saisir des données.

WordPress HTTPS Exemple de page HTTP dans la nouvelle version 62 de Chrome
Voici par exemple à quoi ressemblerait la barre d'adresse de nos collègues de t3n si Chrome affichait la mention "non sécurisé" sur tous les sites HTTP.

Cela signifie en principe que chaque page HTTP avec formulaire de contact ou fonction de commentaire est marquée par Google. Heureusement, il n'a jamais été aussi facile qu'aujourd'hui de passer ses pages WordPress au HTTPS : Les certificats SSL sont pour la plupart gratuits et les installations en un seul clic épargnent un tas de travail lors de la mise en place et permettent même aux webmasters moins expérimentés sur le plan technique d'effectuer la transition. Et notre test le montre : même avec un site peu optimisé, WordPress peut profiter pleinement du HTTPS et se charge tout simplement beaucoup plus rapidement.

Dans le meilleur des cas, cela ne nécessite qu'un clic. Si tu gères encore des sites sous HTTP, nous te conseillons vivement de changer.

As-tu aimé cet article ?

Tes évaluations nous permettent d'améliorer encore plus notre contenu.

Jan Hornung

Fait partie de Raidboxes depuis la première heure et est responsable du support. Lors des bars-camps et des WordCamps, il aime parler de Pagespeed et de la performance des sites web. Le meilleur moyen de le soudoyer est de lui offrir un espresso - ou un bretzel bavarois.

Laisse un commentaire

Ton adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués d'un *.