Corriger le Mixed Content dans WordPress : Forcer correctement le HTTPS

Vous avez activé un certificat SSL, mais le navigateur affiche toujours votre site WordPress comme « Non sécurisé » ? Ou l'icône du cadenas ne s'affiche pas correctement ? Dans ce cas, la cause est souvent ce que l'on appelle du Mixed Content (contenu mixte).

Le Mixed Content signifie que : bien que le site lui-même soit chargé via https://, certains éléments de la page sont toujours intégrés via des adresses http:// non sécurisées. Il peut s'agir d'images, de fichiers CSS, de fichiers JavaScript, de polices de caractères, de vidéos, d'iframes ou de ressources externes.

Explication rapide : Le Mixed Content se produit lorsqu'une page HTTPS charge encore des contenus individuels via HTTP. Le navigateur peut alors afficher des avertissements de sécurité ou bloquer les contenus non sécurisés.

Pourquoi le Mixed Content est problématique

Le HTTPS protège la connexion entre le visiteur et le site web. Cependant, si certains éléments continuent d'être chargés en HTTP, la page n'est pas entièrement cryptée. Cela peut affecter la sécurité, la confiance, le référencement (SEO) et l'expérience utilisateur.

Le Mixed Content peut avoir les conséquences suivantes :

  • Le navigateur affiche « Non sécurisé » ou des messages d'avertissement,
  • L'icône du cadenas ne s'affiche pas correctement,
  • Des images ou des scripts sont bloqués,
  • La mise en page peut sembler défectueuse,
  • Les formulaires semblent peu sûrs,
  • Les visiteurs perdent confiance,
  • Le suivi (tracking) ou les fonctions externes ne fonctionnent pas correctement,
  • La qualité technique du SEO en pâtit.

Le Mixed Content doit être résolu de manière systématique, en particulier pour les formulaires de contact, les pages de connexion, les espaces clients et les boutiques WooCommerce.

Causes typiques du Mixed Content

Le Mixed Content apparaît souvent après la migration d'un site existant de HTTP vers HTTPS. Les anciens liens restent enregistrés dans la base de données, le thème, les widgets ou les constructeurs de pages (page builders).

Causes fréquentes :

  • Des images ont été intégrées auparavant avec http://,
  • Les liens internes contiennent encore des adresses HTTP,
  • Les options du thème enregistrent d'anciennes URL,
  • Les constructeurs de pages enregistrent les chemins dans leurs propres structures de données,
  • Les fichiers CSS contiennent des chemins HTTP absolus,
  • Les fichiers JavaScript sont chargés de l'extérieur via HTTP,
  • Google Fonts ou d'autres polices externes sont intégrées de manière non sécurisée,
  • Les widgets contiennent des liens HTTP codés en dur,
  • D'anciens shortcodes ou blocs HTML contiennent des adresses HTTP,
  • Les fichiers de cache contiennent encore d'anciens chemins.

Mixed Content actif et passif

Toutes les erreurs de Mixed Content ne sont pas aussi critiques. On distingue fondamentalement les contenus passifs et actifs.

Type Exemples Risque
Mixed Content passif Images, vidéos, fichiers audio Peut déclencher des avertissements et nuire à la confiance.
Mixed Content actif JavaScript, CSS, iframes, scripts externes Plus critique, car les fonctions et la sécurité peuvent être directement impactées.

Les navigateurs modernes bloquent souvent automatiquement les contenus non sécurisés actifs. De ce fait, un site web peut soudainement s'afficher de manière incorrecte ou certaines fonctions peuvent cesser de fonctionner.

1. Vérifier si le SSL est correctement actif

Avant de corriger le Mixed Content, le certificat SSL lui-même doit fonctionner correctement. Accédez à votre site web avec https:// :

https://www.votredomaine.ch

Vérifiez :

  • Le site se charge-t-il généralement via HTTPS ?
  • Le certificat est-il valide ?
  • Le HTTPS fonctionne-t-il avec et sans www ?
  • Le HTTP est-il automatiquement redirigé vers HTTPS ?
  • Le navigateur affiche-t-il un avertissement spécifique de certificat ou de Mixed Content ?

Si le certificat lui-même est défectueux, il faut d'abord vérifier la configuration du SSL et du domaine. Le Mixed Content n'est que l'étape suivante.

2. Configurer l'adresse de WordPress en HTTPS

Vérifiez les URL du site dans WordPress :

Réglages > Général

À cet endroit, les deux champs doivent commencer par https:// :

  • Adresse de WordPress (URL)
  • Adresse du site (URL)

Exemple :

https://www.votredomaine.ch

Attention : Ne modifiez ces URL que si vous êtes sûr que le SSL est correctement actif. De mauvais réglages d'URL peuvent vous empêcher de vous connecter correctement.

3. Trouver le Mixed Content dans le navigateur

Le moyen le plus rapide de diagnostiquer l'erreur est d'utiliser la console de développement de votre navigateur.

Procédure à suivre :

  1. Ouvrez la page concernée dans le navigateur.
  2. Appuyez sur F12 ou faites un clic droit et sélectionnez Inspecter.
  3. Ouvrez l'onglet Console.
  4. Recherchez les messages contenant Mixed Content.
  5. Notez les adresses HTTP concernées.

Message typique :

Mixed Content: The page at 'https://www.votredomaine.ch/' was loaded over HTTPS, but requested an insecure image 'http://www.votredomaine.ch/wp-content/uploads/image.jpg'.

Ce message indique généralement de manière directe quel fichier est encore chargé de façon non sécurisée.

4. Vérifier le Mixed Content avec des outils en ligne

En plus de la console du navigateur, des outils de vérification externes peuvent vous aider. Ils analysent une URL et affichent les contenus non sécurisés. Ces outils sont particulièrement utiles si vous souhaitez contrôler plusieurs pages.

Attention toutefois : en général, un outil ne vérifie que l'URL indiquée. Si du Mixed Content n'apparaît que sur des sous-pages, des articles de blog, des pages produits ou des pages d'atterrissage (landing pages), celles-ci doivent être vérifiées séparément.

5. Solution simple : Utiliser un plugin SSL

Pour de nombreux sites WordPress, un plugin SSL est la solution la plus simple. Des plugins comme Really Simple SSL peuvent détecter les problèmes HTTPS typiques, mettre en place des redirections et corriger en partie automatiquement le Mixed Content.

Déroulement typique :

  1. Installez un plugin SSL approprié.
  2. Activez la configuration SSL.
  3. Vérifiez les recommandations du plugin.
  4. Videz le cache.
  5. Testez à nouveau le site web dans le navigateur.

Cette méthode est particulièrement pratique pour les débutants. L'inconvénient : certaines corrections se font de manière dynamique au moment de l'exécution et ne résolvent pas toujours la cause réelle dans la base de données.

6. Solution propre : Remplacer les URL HTTP dans la base de données

Si votre site fonctionnait auparavant sous HTTP, d'anciennes URL peuvent être enregistrées dans la base de données. Une solution propre consiste alors à remplacer les URL internes de http:// à https://.

Les plugins appropriés pour cela sont par exemple :

  • Better Search Replace,
  • Search & Replace Everything,
  • WP-CLI search-replace pour les utilisateurs avancés.

Exemple :

Rechercher Remplacer par
http://www.votredomaine.ch https://www.votredomaine.ch
http://votredomaine.ch https://www.votredomaine.ch
Important : Créez une sauvegarde complète avant chaque remplacement dans la base de données. Effectuez d'abord un essai à blanc (test) avant que les modifications ne soient définitivement enregistrées.

7. Utiliser Better Search Replace en toute sécurité

Comment procéder prudemment avec Better Search Replace :

  1. Créez une sauvegarde complète des fichiers et de la base de données.
  2. Installez le plugin Better Search Replace.
  3. Allez dans Outils > Better Search Replace.
  4. Saisissez votre ancienne adresse HTTP dans le champ Rechercher.
  5. Saisissez la nouvelle adresse HTTPS dans le champ Remplacer par.
  6. Sélectionnez les tables concernées.
  7. Activez d'abord l'option Essai à blanc ?.
  8. Vérifiez le nombre de correspondances trouvées.
  9. Si tout semble logique, exécutez le remplacement sans cocher l'essai à blanc.
  10. Videz ensuite le cache et vérifiez le site web.

Utilisez des indications de domaine aussi complètes que possible. Ne remplacez pas aveuglément chaque http:// par https://, car des URL externes pourraient être concernées et ne pas être accessibles en HTTPS.

8. Vérifier le constructeur de pages et les options du thème

Les constructeurs de pages comme Elementor, Divi, WPBakery ou d'autres systèmes de mise en page enregistrent souvent les URL dans leurs propres champs de données, fichiers CSS ou structures de cache. C'est pourquoi le Mixed Content peut persister malgré un remplacement dans la base de données.

Pour les constructeurs de pages, vérifiez :

  • Les options globales du thème,
  • Les modèles d'en-tête (header) et de pied de page (footer),
  • Les images d'arrière-plan,
  • Le CSS personnalisé,
  • Les modèles (templates),
  • Le constructeur de fenêtres surgissantes (popups),
  • Les éléments de bibliothèque enregistrés,
  • Les fichiers CSS régénérés.

Avec Elementor, cette manipulation aide souvent :

  • Elementor > Outils > Régénérer les fichiers et les données,
  • Vider le cache d'Elementor,
  • Vider le cache du site web,
  • Vider le cache du navigateur.

9. Contrôler les fichiers du thème et les widgets

Certains liens HTTP ne se trouvent pas dans la base de données, mais directement dans les fichiers du thème, les widgets ou du code personnalisé. Cela concerne particulièrement les anciens sites ou les thèmes personnalisés.

Emplacements possibles :

  • header.php,
  • footer.php,
  • functions.php,
  • Widgets HTML personnalisés,
  • Options du thème,
  • Champs du Customizer,
  • Champs de copyright du pied de page,
  • Champs de code de suivi (tracking),
  • Polices de caractères ou scripts intégrés.

Les liens HTTP codés en dur doivent être corrigés manuellement. Utilisez si possible un thème enfant (child theme) afin que les modifications ne soient pas perdues lors des mises à jour du thème.

10. Vérifier les ressources externes

Toutes les erreurs de Mixed Content ne proviennent pas de votre propre domaine. Parfois, des fichiers externes sont intégrés de manière non sécurisée.

Exemples :

  • Images externes,
  • Anciens scripts de suivi,
  • Polices de caractères,
  • iframes,
  • Vidéos,
  • Widgets d'avis ou de témoignages,
  • Widgets de discussion (chat),
  • Anciennes adresses CDN.

Si un service externe ne prend pas en charge le HTTPS, vous ne devez plus l'intégrer via HTTP. Cherchez une alternative compatible HTTPS ou supprimez l'intégration.

11. Rediriger le HTTP vers le HTTPS

En plus de la correction des contenus, le HTTP doit être redirigé de manière permanente vers le HTTPS. Cela évite que les visiteurs ou les moteurs de recherche n'utilisent d'anciennes adresses HTTP.

Selon votre installation, une redirection peut se faire via :

  • Le cPanel,
  • Le fichier .htaccess,
  • Un plugin WordPress,
  • La configuration du serveur,
  • Le CDN ou le proxy, si utilisé.

Il est important que la redirection soit propre et directe. Évitez les chaînes de redirection telles que HTTP sans www → HTTPS sans www → HTTPS avec www, lorsqu'une redirection directe est possible.

12. Vider complètement le cache

Après avoir corrigé le Mixed Content, tous les caches doivent être vidés. Sinon, d'anciennes références HTTP peuvent continuer à être distribuées.

Videz :

  • Le cache de WordPress,
  • Le plugin de mise en cache,
  • Le cache du constructeur de pages,
  • Le cache du thème,
  • Le cache du serveur, s'il existe,
  • Le cache du CDN, si utilisé,
  • Le cache du navigateur.

Testez ensuite le site web dans une fenêtre de navigation privée ou sur un autre appareil.

13. Vérifier WooCommerce avec un soin particulier

Pour les boutiques WooCommerce, le HTTPS est particulièrement important. Le panier, la page de commande (checkout), le compte client et les processus de paiement doivent être entièrement cryptés.

Vérifiez après le passage au HTTPS :

  • Les pages produits,
  • Le panier,
  • La page de commande,
  • Le compte client,
  • Les fournisseurs de services de paiement,
  • La confirmation de commande,
  • Les liens dans les e-mails,
  • Les webhooks,
  • Les scripts de suivi et de conversion.

Effectuez toujours une commande de test sur une boutique.

14. Mettre à jour la Google Search Console et le sitemap

Après le passage au HTTPS, vous devez vérifier si votre sitemap contient bien des URL HTTPS. Les plugins SEO génèrent normalement les sitemaps automatiquement avec l'adresse actuelle du site.

Vérifiez :

  • Le sitemap contient-il uniquement des URL HTTPS ?
  • Le sitemap a-t-il été mis à jour dans la Google Search Console ?
  • Y a-t-il des erreurs 404 ou des problèmes de redirection ?
  • Les anciennes URL HTTP sont-elles correctement redirigées ?
  • Les URL canoniques sont-elles configurées en HTTPS ?

Structure propre en HTTPS aide les moteurs de recherche à indexer les bonnes URL.

15. Erreurs courantes lors de la correction du Mixed Content

  • Activer uniquement un certificat SSL : Les anciens liens HTTP subsistent malgré tout.
  • Pas de sauvegarde de la base de données : Les remplacements erronés sont difficiles à annuler.
  • Remplacement aveugle de http:// : Des URL externes peuvent être endommagées.
  • Ne pas vider le cache : Les anciens contenus continuent de s'afficher.
  • Oublier le constructeur de pages : Les fichiers CSS et les modèles contiennent toujours des chemins HTTP.
  • Vérifier uniquement la page d'accueil : Le Mixed Content peut apparaître sur les sous-pages.
  • Ne pas tester WooCommerce : Les problèmes lors de la commande restent indétectables.
  • Pas de redirection 301 : La version HTTP reste accessible.

SEO et Confiance

Le HTTPS est aujourd'hui la norme pour les sites web professionnels. Le Mixed Content peut nuire à la confiance, surtout lorsque les navigateurs affichent des avertissements. Les visiteurs s'attendent à ce que les formulaires, les connexions et les boutiques fonctionnent en toute sécurité.

Une transition propre vers le HTTPS aide à :

  • La confiance des visiteurs,
  • La qualité technique du SEO,
  • Une indexation correcte,
  • Une transmission sécurisée des formulaires,
  • Une image extérieure professionnelle,
  • Des fonctions de suivi et de boutique stables.

GEO : URL sécurisées et cohérentes

Le GEO, c'est-à-dire la "Generative Engine Optimization" (optimisation pour les moteurs génératifs), bénéficie de structures de site claires, stables et fiables. Si les contenus sont accessibles via différentes adresses HTTP et HTTPS ou si des ressources non sécurisées sont bloquées, cela peut nuire à la compréhension technique.

Des structures HTTPS propres aident grâce à :

  • Des URL unifiées,
  • Moins de pages d'erreur,
  • Des liens internes corrects,
  • Des contenus qui se chargent intégralement,
  • Des signaux techniques de confiance,
  • Une meilleure accessibilité des ressources importantes.

Procédure recommandée

  1. Vérifier le SSL : Le certificat doit être valide et correctement actif.
  2. Vérifier les URL de WordPress : Configurer l'adresse du site et l'adresse de WordPress en HTTPS.
  3. Ouvrir la console du navigateur : Identifier les sources de Mixed Content.
  4. Créer une sauvegarde : Obligatoire avant toute modification de la base de données.
  5. Nettoyer la base de données : Remplacer les anciennes URL HTTP internes par du HTTPS.
  6. Vérifier le constructeur de pages : Régénérer le CSS et les modèles.
  7. Contrôler le thème et les widgets : Corriger les liens HTTP codés en dur.
  8. Rediriger le HTTP vers le HTTPS : Mettre en place une redirection 301 propre.
  9. Vider le cache : Vérifier WordPress, le plugin, le serveur, le CDN et le navigateur.
  10. Tester les sous-pages : Ne pas limiter la vérification à la page d'accueil.
  11. Tester WooCommerce : Contrôler la page de commande et les paiements.
  12. Vérifier le sitemap et la Search Console : Confirmer les URL HTTPS.

Questions fréquentes sur le Mixed Content

Qu'est-ce que le Mixed Content ?

Le Mixed Content se produit lorsqu'un site web est chargé en HTTPS, mais que certains fichiers ou ressources sont encore intégrés en HTTP.

Pourquoi mon navigateur affiche-t-il « Non sécurisé » malgré le SSL ?

Cela est souvent dû à du Mixed Content, un certificat SSL expiré, une mauvaise configuration du domaine ou des ressources externes intégrées de manière non sécurisée.

Comment trouver le Mixed Content ?

Ouvrez la console de développement de votre navigateur avec F12 et vérifiez l'onglet Console pour y trouver les avertissements de Mixed Content.

Un plugin peut-il corriger le Mixed Content ?

Oui, dans de nombreux cas, les plugins SSL sont d'une grande aide. Cependant, une solution durable et propre consiste souvent à corriger les anciennes URL HTTP dans la base de données, le thème et le constructeur de pages.

Dois-je utiliser Better Search Replace ?

Oui, si d'anciennes URL HTTP internes sont enregistrées dans la base de données. Créez au préalable une sauvegarde complète et effectuez d'abord un essai à blanc.

Pourquoi l'erreur persiste-t-elle après la correction ?

Cela est souvent dû au cache, au CSS du constructeur de pages, aux options du thème, aux widgets ou à des ressources externes qui continuent d'être chargées en HTTP.

Dois-je faire particulièrement attention au HTTPS avec WooCommerce ?

Oui. Le panier, la page de commande, le compte client et les processus de paiement doivent fonctionner de manière totalement sécurisée en HTTPS.

Le Mixed Content est-il mauvais pour le SEO ?

Le Mixed Content peut nuire à la confiance, à la qualité technique et à l'expérience utilisateur. Une structure HTTPS propre est clairement recommandée pour les sites professionnels.

Toujours pas de cadenas sécurisé ?

Parfois, les liens HTTP se cachent dans les constructeurs de pages, les fichiers de thèmes, les widgets ou d'anciennes entrées de base de données. CURIAWEB vous accompagne volontiers dans l'analyse et la résolution des problèmes persistants de Mixed Content sur votre site WordPress.

Demander une analyse du Mixed Content
Cette réponse était-elle pertinente? 0 Utilisateurs l'ont trouvée utile (0 Votes)

Les plus consultés

Comment installer WordPress via l'auto-installateur Softaculous

Comment installer WordPress via l'auto-installateur Softaculous WordPress est le premier...
Comment installer manuellement WordPress via une archive d'installation

Comment installer manuellement WordPress via une archive d'installation Dans ce tutoriel, nous...
Configuration WordPress : Comment optimiser les réglages généraux

Configuration WordPress : Comment optimiser les réglages généraux Après l'installation...
Qu'est-ce qu'une extension (Plugin) WordPress et comment l'installer ?

Qu'est-ce qu'une extension WordPress et comment en installer une nouvelle ? Introduction Les...
Comment installer un nouveau Thème dans WordPress

Comment installer un nouveau design (Thème) dans WordPress Introduction Il est évident que le...