En 2026, plus de 98 % des sites WordPress populaires utilisent HTTPS, et Google pénalise explicitement les sites en HTTP dans ses classements depuis 2018. Pourtant, selon le rapport Patchstack 2025, 23 % des WordPress hackés l’ont été via des attaques de type man-in-the-middle facilitées par une configuration SSL défaillante ou absente.
Un site WordPress sans HTTPS expose ses visiteurs à :
Forcer HTTPS n’est pas qu’une question de SEO — c’est la base de toute stratégie de sécurité WordPress sérieuse en 2026.
Avant de forcer HTTPS, votre serveur doit disposer d’un certificat SSL actif. Les options en 2026 :
Vérifiez que votre certificat est valide avant de continuer : accédez à https://votre-site.com — si le cadenas vert s’affiche, vous êtes prêt.
C’est la méthode la plus propre pour WordPress. Ouvrez votre fichier wp-config.php et ajoutez ces lignes avant la ligne /* That's all, stop editing! */ :
/* Forcer HTTPS sur l'administration et le frontend */
define('FORCE_SSL_ADMIN', true);
/* Gérer le HTTPS derrière un proxy ou load balancer */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] === 'https') {
$_SERVER['HTTPS'] = 'on';
}
La constante FORCE_SSL_ADMIN force HTTPS pour toutes les pages d’administration WordPress. La seconde partie gère les cas où votre site est derrière un CDN comme Cloudflare.
Ensuite, mettez à jour les URLs WordPress dans Réglages → Général :
https://votre-site.comhttps://votre-site.comPour les serveurs Apache (la majorité des hébergements mutualisés), ajoutez ces règles dans votre .htaccess WordPress, juste après la ligne RewriteEngine On :
# Forcer HTTPS - Redirection 301 permanente
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
# Si derrière un load balancer ou Cloudflare
RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Pour Nginx, ajoutez dans le bloc server HTTP (port 80) :
server {
listen 80;
server_name votre-site.com www.votre-site.com;
return 301 https://$host$request_uri;
}
La plupart des hébergeurs modernes proposent une option de redirection HTTPS en un clic :
Cette méthode est la plus simple mais moins flexible que la configuration directe.
Si vous n’avez pas accès aux fichiers serveur, le plugin Really Simple SSL (4+ millions d’installations actives) automatise la redirection HTTPS et corrige la plupart des problèmes Mixed Content en un clic. Cependant, pour une sécurité maximale et des performances optimales, la configuration manuelle reste préférable sur le long terme.
HSTS (HTTP Strict Transport Security) est un en-tête de sécurité HTTP qui dit aux navigateurs : « Ce site ne fonctionne qu’en HTTPS — n’essaie même pas HTTP. » Une fois reçu, le navigateur mémorise cette instruction et refuse toute connexion non chiffrée pour votre domaine, même si l’utilisateur tape http://.
Sans HSTS, un attaquant peut intercepter la première requête HTTP (avant la redirection) et effectuer une attaque SSL stripping. Avec HSTS, cette fenêtre d’attaque est éliminée.
Via .htaccess (Apache), dans le bloc SSL (port 443) :
<IfModule mod_headers.c>
# HSTS : 1 an, incluant les sous-domaines
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
</IfModule>
Via Nginx, dans le bloc server HTTPS :
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
Paramètres expliqués :
max-age=31536000 : mémorisation pendant 1 an (valeur recommandée pour la production)includeSubDomains : applique HSTS à tous les sous-domaines (www, shop, blog…)preload : permet l’inscription à la liste HSTS Preload des navigateursLa liste HSTS Preload est intégrée directement dans Chrome, Firefox, Safari et Edge. Les domaines inscrits sont toujours chargés en HTTPS, même lors de la toute première visite, avant même que le navigateur ait reçu un en-tête HSTS.
Pour soumettre votre domaine : rendez-vous sur hstspreload.org. Conditions requises :
max-age ≥ 31536000, includeSubDomains et preload⚠️ Attention : HSTS Preload est difficile à annuler (délai de plusieurs mois). Ne l’activez que si vous êtes sûr de conserver HTTPS indéfiniment sur tous vos sous-domaines.
Après activation de HTTPS, des ressources (images, scripts, CSS) peuvent encore se charger en HTTP, provoquant un avertissement « Contenu mixte » et cassant le cadenas SSL. Voici comment les corriger :
-- Remplacer toutes les URLs HTTP en HTTPS dans WordPress
UPDATE wp_options SET option_value = REPLACE(option_value, 'http://votre-site.com', 'https://votre-site.com');
UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://votre-site.com', 'https://votre-site.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://votre-site.com', 'https://votre-site.com');
Ou utilisez le plugin Better Search Replace pour une correction visuelle sans risque.
La directive upgrade-insecure-requests de votre Content Security Policy force le navigateur à upgrader automatiquement les ressources HTTP en HTTPS :
Content-Security-Policy: upgrade-insecure-requests
Oui. HTTPS garantit le chiffrement des données, mais HSTS protège contre une classe d’attaques supplémentaire : le SSL stripping et les attaques MITM lors de la première connexion. Les deux sont complémentaires et recommandés ensemble.
Non, à condition d’utiliser une redirection 301 (permanente). Google transfère intégralement le PageRank via les 301. À l’inverse, rester en HTTP pénalise votre référencement depuis 2018 et affiche un avertissement dans Chrome qui fait fuir les visiteurs.
C’est le principal danger de HSTS : si votre certificat expire ou est mal configuré, les visiteurs ne pourront plus accéder à votre site jusqu’à ce que le max-age expire ou que vous corrigiez le certificat. Assurez-vous d’utiliser le renouvellement automatique (Let’s Encrypt + certbot) avant d’activer HSTS.
HTTPS est une couche fondamentale, mais pas suffisante seule. Combinez-le avec d’autres mesures : en-têtes de sécurité HTTP complets, authentification forte, mises à jour régulières des plugins, et une checklist de sécurité WordPress complète.
Forcer HTTPS sur WordPress est en 2026 le minimum syndical de tout site sérieux — pour la sécurité des utilisateurs, le SEO et la confiance. HSTS va un cran plus loin en éliminant les dernières fenêtres d’attaque liées au protocole HTTP.
En résumé, votre configuration optimale :
FORCE_SSL_ADMIN dans wp-config.php + URLs mises à jourmax-age=31536000; includeSubDomainsBesoin d’aide pour la configuration SSL/HTTPS de votre WordPress ou d’un audit de sécurité complet ? Contactez l’équipe SecuriteWP — nous sécurisons votre site de A à Z.
Découvrez comment mettre en place un système de monitoring WordPress efficace : journalisation des connexions, alertes en temps réel, plugins recommandés et intégration SIEM pour détecter toute intrusion.
Le credential stuffing cible des millions de sites WordPress via des bases de données de mots de passe volés. Découvrez comment détecter, bloquer et vous prémunir contre cette attaque en 2026.
Comment forcer HTTPS et configurer HSTS sur WordPress en 2026 : 4 méthodes testées, configuration HSTS Preload, correction des erreurs Mixed Content et sécurisation SSL complète.
Apprenez à surveiller l’intégrité des fichiers WordPress pour détecter backdoors, webshells et modifications malveillantes avant qu’il ne soit trop tard. Guide complet 2026.
L’éditeur de fichiers WordPress natif est l’une des portes d’entrée les plus exploitées lors d’une compromission. Découvrez comment le désactiver en une ligne et durcir votre installation WordPress.
cPanel cumule en 2026 une faille d’authentification critique (CVE-2026-41940, CVSS 10.0) exploitée activement et des hausses tarifaires de +400% en 5 ans. Des sites e-commerce ont été ransomwés. Est-il encore raisonnable de lui faire confiance ?
Nos experts français assurent un support et une prestation de qualité.
