Bon, j'vais te raconter. Mars 2024, un client m'appelle en panique : « Stéphane, on a migré le site en HTTPS le week-end dernier, lundi matin notre trafic Google a fait -47%. » C'était un site WordPress d'un cabinet d'expert-comptable du côté de Nivelles, Jean, le gérant, blanc comme un linge. J'ouvre la GSC, j'comprends en deux minutes : ils avaient zappé les redirections 301 côté serveur. Bref, classique.
Du coup, j'ai du migrer une petite vingtaine de sites en HTTPS. WordPress, Drupal, du sur-mesure, des trucs en HTML statique de 2009. Honnêtement, c'est jamais pareil deux fois. Mais les pièges, eux, reviennent toujours.
Déjà, pourquoi en 2026 on en parle encore ?
Tu vas me dire : HTTPS c'est plié depuis 2018. Ouais. Sauf que je tombe encore régulièrement sur des sites legacy en HTTP. Petit cabinet d'avocat à Wavre l'an dernier, le site avait été fait en 2011 par un stagiaire de l'époque, plus personne touchait. Chrome affichait « Non sécurisé » en rouge dans la barre. Les clients potentiels fermaient l'onglet direct.
Donc oui, ça arrive encore. Et quand ça arrive, faut bien faire la migration, parce qu'une migration ratée tu perds 30 à 50% de trafic SEO pendant des semaines. J'ai vu pire.
Piège 1 — Le mixed content qu'on voit pas
Tu bascules en HTTPS, tu cliques sur la home, le cadenas est vert, tu te dis super. Sauf que sur la page « équipe » t'as une photo en http://... chargée en dur, et hop le cadenas pète sur cette page-là. Personne te le dit, les visiteurs voient juste un cadenas barré et flippent.
Ce que je fais : j'ouvre Chrome DevTools, onglet Console, j'clique chaque page importante. Les warnings apparaissent direct. Sur WordPress, le plugin Better Search Replace pour passer toutes les URL de la base en HTTPS d'un coup, c'est magique. Trois minutes de boulot, pas trois heures.
Astuce que personne donne : les URL dans les widgets, les options de thèmes, et les emails transactionnels (mot de passe oublié, etc) c'est souvent là que ça traîne. Faut chercher partout.
Piège 2 — Les 301, le truc qu'on rate
Toutes tes vieilles URL en http:// doivent rediriger en 301 (permanent) vers https://. Pas en 302. Pas en JS. Pas via meta refresh. En 301 propre, côté serveur.
Sur Apache, dans le .htaccess, trois lignes suffisent. Sur Nginx, un bloc server qui écoute sur le 80 et fait return 301. Si t'utilises un plugin WP genre Really Simple SSL, vérifie qu'il fait bien la redirection serveur et pas juste un truc cosmétique. J'ai eu le cas avec un client en juin 2023, le plugin disait « activé » mais y'avait rien dans le .htaccess. Google indexait les deux versions en parallèle, contenu dupliqué, dégringolade.
Test concret : curl -I http://tonsite.be. Tu dois voir HTTP/1.1 301 Moved Permanently et Location: https://.... Si t'as un 302 ou un 200, c'est mort.
Piège 3 — La GSC, deux propriétés à gérer
Pour Google, http://tonsite.be et https://tonsite.be c'est deux sites différents. Donc tu vas dans Search Console, tu ajoutes la propriété HTTPS (en plus de l'ancienne, tu la supprimes pas tout de suite), tu valides, tu soumets le nouveau sitemap.
L'ancienne propriété HTTP, tu la gardes 2-3 mois, le temps que Google capte le changement d'adresse. Tu peux même utiliser l'outil « changement d'adresse » dans GSC, ça aide. Les premiers jours tu vois les impressions chuter sur l'ancienne et monter sur la nouvelle, c'est normal, panique pas.
Piège 4 — Le sitemap et le robots.txt
Ton robots.txt qui pointe vers http://tonsite.be/sitemap.xml, faut le mettre à jour en HTTPS. Et ton sitemap lui-même doit lister des URL en HTTPS, pas en HTTP. Sur WP avec Yoast ou Rank Math, c'est régénéré tout seul, normalement. Sur du sur-mesure, faut vérifier à la main.
Petit truc en plus : si t'as une balise <link rel="canonical"> en dur dans tes templates qui pointe vers la version HTTP, c'est la blague. Google va indexer la version HTTP malgré tes 301. Cherche « canonical » dans tout ton thème, change-moi ça.
Piège 5 — Les liens internes en absolu
Si t'as des liens internes du genre <a href="http://tonsite.be/contact"> dans ton contenu, chaque clic va déclencher une 301 vers HTTPS. C'est pas grave techniquement mais ça ralentit, et Google aime moyen les chaînes de redirection.
Sur WP : Better Search Replace encore, tu remplaces http://tonsite.be par https://tonsite.be dans toute la base. Sur du sur-mesure, faut faire un grep dans les templates et un UPDATE SQL sur la table contenu. J'ai déjà passé une demi-journée à nettoyer ça sur un Drupal 7 chez une ASBL en novembre 2024, fastidieux mais nécessaire.
Et concrètement, ça donne quoi côté SEO ?
Migration bien faite : tu prends 1 à 3 semaines de baisse de trafic, le temps que Google ré-indexe. Retour à la normale en 6 à 8 semaines, parfois mieux qu'avant parce que HTTPS c'est un signal positif léger.
Migration foirée (genre Jean en mars 2024) : -30 à -50% qui peuvent durer des mois. On a corrigé ses 301 le mardi, refait le sitemap, relancé GSC. Trois semaines après il était remonté à -8%. Six semaines, retour à la normale. Mais bon, trois semaines à -47%, pour un cabinet qui dépend du SEO local, c'est rude.
Bref, le plan de migration que je suis
Backup complet du site et de la base AVANT toute chose. Toujours. Même si tu te crois bon. Surtout si tu te crois bon.
Tu testes en staging si possible. Tu fais ton certif Let's Encrypt (gratuit, automatique, marche partout). Tu actives HTTPS, tu mets les 301, tu nettoies le mixed content, tu refais le sitemap, tu mets à jour la GSC. Tu surveilles 8 semaines minimum.
Et tiens, dernier truc : si t'es sur un mutualisé low-cost et que tu galères avec le SSL, change de hébergeur tant qu'à faire. J'héberge mes clients chez Hetzner ou OVH Europe, le SSL est intégré, géré, automatique. Ça t'évite cette catégorie de problème pour les 10 ans qui viennent.