Nous sommes à un tournant de l’histoire : 2017 sera l’année où nous verrons certaines fonctionnalités de WordPress exiger un hébergement compatible avec SSL, exactement comme Javascript est une nécessité pour une meilleure expérience utilisateur, ainsi qu’une version moderne de PHP l’est en ce qui concerne les performances. Le SSL est logiquement le prochain obstacle que les utilisateurs de WordPress devront affronter.
En bref, SSL signifie que la connexion entre votre navigateur et le serveur est cryptée. SSL est connu comme étant difficile à mettre en œuvre, coûteux ou lent. Les navigateurs modernes et le succès incroyable de projets tels que Let’s Encrypt ont permis d’obtenir un certificat pour sécuriser votre site rapidement, gratuitement et nous pensons que celui-ci devrait être supporté, de base par tous les hébergeurs, surtout dans une période post-Snowden 1. Google considère également SSL comme un facteur de classement dans son moteur de recherche et commencera à signaler les sites aux connexions non chiffrées dans son navigateur Chrome.
Pour commencer, début 2017, WordPress.org ne fera la promotion que des partenaires d’hébergement qui fournissent un certificat SSL par défaut dans leurs comptes. Plus tard, ils commencerons à évaluer quelles fonctionnalités (telles que l’authentification API…) devraient bénéficier en priorité du protocole SSL, les rendant accessibles uniquement si le HTTPS est activé.
De plus, même si cela n’a aucun rapport avec SSL, je pense que les améliorations de performance de PHP7 sont particulièrement impressionnantes. Toutes mes féliciations à ceux qui ont travaillé sur cela. Nous examinerons donc aussi si les hébergeurs utilisent PHP7 par défaut pour leurs nouveaux comptes utilisateurs.
Par Matt Mullenweg (traduction Mr WP).
Commentaire de Mister WordPress
Ouf ! Heureusement que j’ai prévenu tous mes clients il y a quelques mois de la nécessité de passer leur site en HTTPS.
J’avais d’ailleurs rédigé un gros tuto sur « comment installer SSL sur WordPress sans Let’s Encrypt ». 🙂
Et vous, avez-vous déjà passé votre site en HTTPS ?
Sinon, qu’attendez-vous pour le faire ?
Depuis 2009, je vis confortablement, grâce à mon entreprise sur Internet. Je me suis fait tout seul, sans filet de sécurité et sans[...]
J’avoue que ça me fout un peu la trouille.
Petit blogueur, j’ai quelques ambitions de qualité pour mes visiteurs qui implique plusieurs aspects :
– des coûts raisonnables (ce n’est pas un site pro)
– un hébergement (et pas wordpress.com) pour pouvoir régler tout comme je pense être le mieux (sans payer le double d’un hébergement pro pour débloquer les options)
– hébergeur fiable (pas de mutalisé qui m’affiche un 500 dès que 3 personnes se connectent en même temps)
– un hébergement sans publicité parce que 😉
Du coup, j’avais trouvé une offre chez un hébergeur dont le nom sonne comme celui d’un indien célèbre. Sauf que pas de SSL possible dans l’offre de base… ça pourrait « […] provoquer des problèmes qui se répercuteraient sur d’autres serveurs, nous avons préféré limiter les risques » selon la réponse du support. :'(
Du coup quand je lis » WordPress.org ne fera la promotion que des partenaires d’hébergement qui fournissent un certificat SSL par défaut dans leurs comptes », ça me redonne un peu d’espoir en me disant que sous la pression générale les choses vont peut-être évoluer mais je doute que ce soit le cas suffisamment vite avant que je ne me retrouve face à un dilemme :
– ne pas passer en SSL sachant que des alertes pourraient effrayer mes utilisateurs ;
– changer d’hébergeur au risque de perdre en fiabilité parce que je n’ai pas les moyens d’investir davantage pour un blog qui ne me rapporte rien.
Je partage cette réflexion pour montrer que si cela ne changera rien pour les wordpress.com et autres blogspots, pour la catégorie de ceux qui mettent un peu les mains dans le cambouis mais pas trop, cela n’augure rien de bon.
Hey Mealin ! 😉
Je n’aurais pas soupçonné que ce dirigeant politique et guide spirituel originaire du mouvement pour l’indépendance de l’Inde n’aurait pas encore débloqué SSL en mode gratoche sur ses hébergements.
En effet, j’entends des retours très positifs sur cet hébergeur (bon support, tout ça…).
Je pense vraiment que cela n’est qu’une question de temps.
N’hésite pas à les secouer un peu sur Twitter en partageant mon article et en les mentionnant en « cc ». En plus de leur mettre une pression saine, cela me fera de la publicité et je deviendrais riche. Ensuite, je fonderais une association de lutte contre l’hébergement « non SSL » et j’éviterai ainsi l’extinction de l’humanité.
Ou alors, tu ouvres un petit ticket via leur support, c’est peut-être plus sage 😀
Merci pour ton retour « utilisateur » et bon blogging !
Un bon hébergeur « O2Switch » j’y suis pour héberger mes 12 sites, comme le site de « la marmite ». Ils sont super ! C’est illimité en plus ! Le passage en https se fait simplement par Let’s Encrypt dans le CPanel. J’étais chez OVH auparavant, il n’y a pas de comparaisons. Quand vous avez un problème ils vous trouvent toujours une solution. 72 € par ans en illimité, nombre de sites comme la place qui vous est attribuée. C’est un compte Mutualisé mais il n’y a jamais de problèmes.
Je connais 2 hébergeurs mutu (dont le mien) qui propose le SSL en un clic ou presque dans l’admin et avec les API de Let’s Encrypt, bah SSL direct sur les noms de domaine + renouvellement auto pour les 90 jours.
Gratuitement.
Je vois mal un hébergeur autre faire payer, ou alors faut pas pleurer si les gens se barrent.
Le SSL devient une (quasi) obligation pour les nouveaux sites qui sortent en production.
Ce qui m’inquiète ce sont tous les autres réalisés depuis des années et dont les clients ne sont pas forcément averti ou n’ont pas trouvé nécessaire de payer un service de maintenance… vont-ils tous me spammer le jour où Chrome et compagnie leur affichera un message d’alerte?
De ton côté, as-tu averti tes anciens clients du changement qui s’annonce?
Oui, j’ai prévenu mes clients. Je l’avais même indiqué dans l’article 😉 tu as dû zapper cette partie :
Environ 8 clients sur 10 m’ont commandé ma prestation de mise en HTTPS… Et puis il y a les autres, ceux qui n’écoutent pas les précos. Ils risquent effectivement de se décider, en urgence, lorsqu’ils verront un avertissement sur tous leurs sites. Ça fonctionne aussi après tout.
Merci d’être passé Greg ! 😀
Ca me parait fou que Chrome commence déjà (en 2017) a signaler les sites non sécurisé…
Je ne connais pas le pourcentage sur le web mais il doit encore être très largement majoritaire…
Après c’est sur que passer en parallèle par WordPress pour initier un changement plus industriel est la bonne méthode.
Le passage vers SSL est, selon moi, tout à fait nécessaire et Google à bien raison de pousser les webmasters. Nous avons passé notre site web en SSL il y à déjà bien longtemps. Par contre est du au courant si il y à une perte de jus SEO suite à ce changement? J’ai entendu plusieurs cas ou les blogs perdaient des places dans le pagerank. Pourtant si Google pousse vers ce changement cela devrait l’améliorer non ?
Ca va trembler dans les chaumières des blogueuses freelance …
Le SSL va en effet devenir incontournable en 2017 pour les sites qui souhaitent ne pas perdre une part importante de leur trafic. En effet, en plus d’envoyer un signal positif aux moteurs de recherche et à l’utilisateur (on a trop tendance à l’oublier^^), la future version de Chrome signalera aux internautes lorsque ceux-ci tenteront de se connecter à un site non sécurisé comme tu le mentionne à juste titre dans ton article. Autant dire que cela aura un fort impact en terme de trafic.
Entre le tout SSL et l’index mobile de Google, 2017 s’annonce comme une année pleine de rebondissements 🙂 Reste à voir si les éditeurs de sites vont rapidement adopter ces évolutions…
Ces changements risquent d’engendrer pas mal de cafouillages à la fois en terme de redirections mais également d’analyse de trafic avec Analytics si le compte est configuré sur l’ancienne URL du site ..
En tout cas, espérons que cela nous menera vers un web plus sécurisé car il y en a bien besoin 🙂
Au plaisir d’échanger et de te lire Mr WordPress.
Matthis
Bonjour,
Autant j’ai été réfractaire au https lorsque Google a annoncé qu’il allait en quelque sorte nous l’imposer, autant je me dis aujourd’hui qu’avec les certificats gratuits, qui plus est installés chez les bons hébergeurs, et surtout des extensions WordPress comme Really Simple SSL qui vous évitent d’avoir à éditer les fichiers wp-config.php et .htaccess, puis à remplacer les URLs dans les réglages WordPress et dans la base de données … que celui qui n’y passe pas finira bien un jour par s’en mordre les doigts.
Pour ceux que cela intéresserait, j’ai rédigé un article à ce sujet sur mon blogue dans lequel j’ai même inséré un tutoriel vidéo pour passer au HTTPS avec Really Simple SSL (je ne mets pas le lien ici pour ne pas spammer, mais vous trouverez facilement en cliquant sur mon nom).
Amicalement,
Bruno
P.S : je te remercie de régulièrement me citer dans ton paper.li 😉