Jump to content
Sign in to follow this  
plow

[RESOLU]passage d'un site wordpress en https

Recommended Posts

Bonjour,

Profitant des nouvelles fonctionnalités, j'essaie de passer un site wordpress en https. Certificat let's encrypt installé. Réglages wordpress fait et urls http transformés en https avec le script search replace db. L'accès en https fonctionne et le petit cadenas vert est bien là sur toutes les pages. Cependant, dans mes recherches sur internet à ce sujet, il semble que pour éviter les accès en http ll faille mettre en place une redirection 301 dans le fichier .htaccess avec ces lignes (bien sur, avec le nom de mon site)

RewriteCond %{SERVER_PORT} ^80$ [OR]
RewriteCond %{HTTPS} =off
RewriteRule ^(.*)$ https://monsite.com/$1 [R=301,L]

Mais quand je fais ça, ça ne marche pas ? "La page n'est pas redirigée correctement"

Qui peut m'aider

Share this post


Link to post
Share on other sites

Bonjour Plow,

Sur mon site (qui n'est pas en Wordpress), j'ai utilisé la syntaxe suivante :

# ----------------------------
# -- FORCER UTILISATION HTTPS
# ----------------------------

RewriteEngine On	
RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteCond %{HTTPS} !on
RewriteRule ^(.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Et ça a l'air de fonctionner. La ligne "RewriteRule" est différente. Je ne sais pas si ta syntaxe est mieux que la mienne.

Cordialement.

Nicolas

Share this post


Link to post
Share on other sites

Bonjour plow

Essaye ceci :

# REDIRECT HTTP to HTTPS
RewriteCond %{HTTPS} on
RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

 

  • Upvote 1

Share this post


Link to post
Share on other sites

Ca y est, ça fonctionne ! J'avais en fait un problème de cache de navigateur. Merci à tous les deux pour votre aide

Share this post


Link to post
Share on other sites

Et pour compléter, je recommanderais de rajouter ceci au .htaccess :

# bloquer les attaques XSS
Header always set X-XSS-Protection "1; mode=block"
# activer le plus haut mode de rendu pour IE
Header always set X-UA-Compatible "IE=Edge"
# eviter le click hijacking ou le vol d'identifiant via des frame
Header always set X-Frame-Options "SAMEORIGIN"
# eviter que le client exécute du code malicieux dans des fichiers vérolés (js dans jpeg par ex)
Header always set X-Content-Type-Options "nosniff"
# préciser la gestion du referer: https://scotthelme.co.uk/a-new-security-header-referrer-policy/
Header always set Referrer-Policy" strict-origin-when-cross-origin"
# Activation de HSTS (pour éviter les requetes en non chiffrées): https://hstspreload.org/
Header always set Strict-Transport-Security "max-age=63072000"
# Content Security Policy (attention la config peut être casse-geule): https://www.w3.org/TR/CSP2/ et https://wiki.mozilla.org/Security/Guidelines/Web_Security#Content_Security_Policy
Header always set Content-Security-Policy "default-src 'none'; style-src 'self' 'unsafe-inline'; script-src 'self'; img-src 'self'; font-src 'self'; frame-ancestors 'self'"

Il est possible de vérifier tout cela avec les sites suivants :

https://www.ssllabs.com/ssltest/

https://tls.imirhil.fr/

https://securityheaders.io/

https://observatory.mozilla.org/

Et si on souhaite implémenter correctement la compression Gzip sur le site :

SetOutputFilter DEFLATE
SetEnvIfNoCase Request_URI \.(?:bmp|bbaw|crx|cur|f4[abpv]|flv|gif|ico|jpe?g|m4[av]|mp4|oex|og[agv]|opus|otf|pdf|png|safariextz|svgz|swf|tt[cf]|web[mp]|woff2?|xpi)$ no-gzip dont-vary
<FilesMatch "\.(appcache|css|htc|js|manifest|map|rdf|svg|txt|vcard|vcf|vtt|webapp|webmanifest|xloc|csv|xls|po|shtml|phtml|html?|atom|xml|rss)$">
Header set Vary Accept-Encoding
Header append Cache-Control "no-transform"
</FilesMatch>

 

Edited by alh

Share this post


Link to post
Share on other sites

Mouais... j'ai jamais été convaincu par le "tout module" de WP, ca devient vite une usine à gaz...

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×