Protéger votre site WordPress des menaces en ligne est crucial. Une façon d'améliorer la sécurité chez WPBeginner est d'utiliser les en-têtes de sécurité HTTP. Ceux-ci fournissent une couche de sécurité supplémentaire, agissant comme un bouclier contre les attaques et les vulnérabilités courantes.
Ces en-têtes fonctionnent en coulisses, indiquant aux navigateurs Web et aux serveurs comment gérer les données de votre site Web et améliorer sa sécurité globale. L'ajout de ces en-têtes est un moyen simple mais efficace de renforcer les défenses de votre site Web et de vous protéger contre les activités malveillantes.
Ce guide pour débutants vous montrera comment ajouter des en-têtes de sécurité HTTP dans WordPress. Nous couvrirons diverses méthodes, y compris l'utilisation de plugins et la modification manuelle des fichiers de configuration.
Que sont les en-têtes de sécurité HTTP ?
Les en-têtes de sécurité HTTP sont une mesure de sécurité qui permet au serveur de votre site Web d'empêcher certaines menaces de sécurité courantes avant qu'elles n'affectent votre site Web.
Lorsqu'un utilisateur visite votre site WordPress, votre serveur Web envoie une réponse d'en-tête HTTP à son navigateur. Cette réponse informe les navigateurs sur les codes d'erreur, le contrôle du cache et d'autres statuts.
La réponse d'en-tête normale émet un statut appelé HTTP 200. Après cela, votre site Web se charge dans le navigateur de l'utilisateur. Cependant, si votre site Web rencontre des difficultés, votre serveur Web peut envoyer un en-tête HTTP différent.
Par exemple, il peut envoyer une erreur de serveur interne 500 ou un code d'erreur 404 non trouvé.
Les en-têtes de sécurité HTTP font partie de ces en-têtes. Ils sont utilisés pour protéger les sites Web contre les menaces courantes comme le click-jacking, le cross-site scripting, les attaques par force brute, et plus encore.
Examinons rapidement quelques en-têtes de sécurité HTTP et comment ils protègent votre site WordPress :
- HTTP Strict Transport Security (HSTS) indique aux navigateurs Web que votre site Web utilise HTTPS et ne doit pas être chargé via un protocole non sécurisé comme HTTP.
- X-XSS Protection vous permet de bloquer le chargement du cross-site scripting.
- X-Frame-Options empêche les iframes inter-domaines ou le click-jacking.
- X-Content-Type-Options X-Content-Type-Options bloque le reniflage des types MIME de contenu.
Les en-têtes de sécurité HTTP fonctionnent mieux lorsqu'ils sont définis au niveau du serveur Web, ce qui signifie votre compte d'hébergement WordPress. Cela leur permet d'être déclenchés tôt lors d'une requête HTTP typique et de fournir un maximum de bénéfices.
Ils fonctionnent encore mieux si vous utilisez un pare-feu d'application web au niveau DNS comme Sucuri ou Cloudflare.
Cela dit, examinons comment ajouter facilement des en-têtes de sécurité HTTP dans WordPress. Voici des liens rapides vers différentes méthodes afin que vous puissiez accéder à celle qui vous convient le mieux :
- Ajout d'en-têtes de sécurité HTTP dans WordPress avec Sucuri
- Ajout d'en-têtes de sécurité HTTP dans WordPress avec Cloudflare
- Ajout d'en-têtes de sécurité HTTP dans WordPress avec .htaccess
- Ajout d'en-têtes de sécurité HTTP dans WordPress avec AIOSEO
- Comment vérifier les en-têtes de sécurité HTTP d'un site web
- Guides d'experts sur la sécurité WordPress
1. Ajout d'en-têtes de sécurité HTTP dans WordPress avec Sucuri
Sucuri est l'un des meilleurs plugins de sécurité WordPress du marché. Si vous utilisez leur service de pare-feu web, vous pouvez définir des en-têtes de sécurité HTTP sans écrire de code.
Tout d'abord, vous devrez créer un compte Sucuri. Il s'agit d'un service payant qui comprend un pare-feu de site Web au niveau du serveur, un plugin de sécurité, un CDN et une garantie de suppression des logiciels malveillants.
Lors de l'inscription, vous devrez répondre à des questions simples, et la documentation de Sucuri vous aidera à configurer le pare-feu d'application Web sur votre site Web.
Après vous être inscrit, vous devez installer et activer le plugin Sucuri gratuit. Pour plus de détails, consultez notre guide étape par étape sur comment installer un plugin WordPress.
Après l'activation, vous devez aller dans Sucuri Security » Firewall (WAF) et entrer votre clé API du pare-feu. Vous trouverez ces informations dans votre compte sur le site Web de Sucuri.
Après cela, vous devrez cliquer sur le bouton vert « Enregistrer » pour sauvegarder vos modifications.
Ensuite, vous devez passer à votre tableau de bord de compte Sucuri. De là, cliquez sur le menu « Paramètres » en haut, puis basculez vers l'onglet « Sécurité ».
À partir de là, vous pouvez choisir trois ensembles de règles. La protection par défaut fonctionnera bien pour la plupart des sites Web.
Si vous avez un plan Professionnel ou Entreprise, vous avez également des options pour HSTS et HSTS Complet. Vous pouvez voir quels en-têtes de sécurité HTTP seront appliqués pour chaque ensemble de règles.
Vous devez cliquer sur le bouton « Enregistrer les modifications dans les en-têtes supplémentaires » pour appliquer vos modifications.
Sucuri ajoutera maintenant vos en-têtes de sécurité HTTP sélectionnés dans WordPress. Comme il s'agit d'un WAF au niveau DNS, le trafic de votre site Web est protégé contre les pirates avant même qu'il n'atteigne votre site Web.
2. Ajout d'en-têtes de sécurité HTTP dans WordPress avec Cloudflare
Cloudflare propose un pare-feu de site Web gratuit de base et un service CDN. Il manque de fonctionnalités de sécurité avancées dans son plan gratuit, vous devrez donc passer à son plan Pro, qui est plus cher.
Vous pouvez apprendre comment ajouter Cloudflare à votre site Web en suivant notre tutoriel sur comment configurer le CDN gratuit Cloudflare dans WordPress.
Une fois Cloudflare activé sur votre site Web, vous devez accéder à la page SSL/TLS dans le tableau de bord de votre compte Cloudflare, puis passer à l'onglet « Certificats Edge ».
Faites maintenant défiler jusqu'à la section « HTTP Strict Transport Security (HSTS) ».
Une fois que vous l'avez trouvée, vous devez cliquer sur le bouton « Activer HSTS ».
Cela ouvrira une fenêtre contextuelle avec des instructions vous indiquant que vous devez avoir HTTPS activé sur votre site Web avant d'utiliser cette fonctionnalité.
Si votre blog WordPress dispose déjà d'une connexion HTTPS sécurisée, vous pouvez cliquer sur le bouton « Suivant » pour continuer. Vous verrez les options pour ajouter des en-têtes de sécurité HTTP.
À partir de là, vous pouvez activer HSTS, appliquer HSTS aux sous-domaines (si les sous-domaines utilisent HTTPS), précharger HSTS et activer l'en-tête no-sniff.
Cette méthode offre une protection de base à l'aide d'en-têtes de sécurité HTTP. Cependant, elle ne vous permet pas d'ajouter X-Frame-Options, et Cloudflare n'a pas d'interface utilisateur pour le faire.
Vous pouvez toujours le faire en créant un script à l'aide de la fonctionnalité Cloudflare Workers. Cependant, nous ne recommandons pas cela car la création d'un script d'en-tête de sécurité HTTPS peut causer des problèmes inattendus pour les débutants.
3. Ajout d'en-têtes de sécurité HTTP dans WordPress à l'aide de .htaccess
Cette méthode vous permet de définir les en-têtes de sécurité HTTP dans WordPress au niveau du serveur.
Elle nécessite la modification du fichier .htaccess de votre site web. Ce fichier de configuration du serveur est utilisé par le logiciel de serveur web Apache le plus couramment utilisé.
Remarque : Avant d'apporter des modifications aux fichiers de votre site web, nous vous recommandons d'effectuer une sauvegarde.
Ensuite, connectez-vous simplement à votre site web à l'aide d'un client FTP ou du gestionnaire de fichiers de votre panneau de contrôle d'hébergement web. Dans le dossier racine de votre site web, vous devez trouver le fichier .htaccess et le modifier.
Cela ouvrira le fichier dans un éditeur de texte brut. Au bas du fichier, vous pouvez ajouter du code pour ajouter des en-têtes de sécurité HTTPS à votre site web WordPress.
Vous pouvez utiliser le code d'exemple suivant comme point de départ. Il définit les en-têtes de sécurité HTTP les plus couramment utilisés avec des paramètres optimaux :
<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
</ifModule>
N'oubliez pas d'enregistrer vos modifications et de visiter votre site web pour vous assurer que tout fonctionne comme prévu.
Remarque : Soyez prudent lorsque vous modifiez le code de votre site web. Des en-têtes incorrects ou des conflits dans le fichier .htaccess peuvent déclencher l'erreur 500 Internal Server Error.
4. Ajout d'en-têtes de sécurité HTTP dans WordPress avec AIOSEO
All in One SEO (AIOSEO) est le meilleur outil SEO pour WordPress et est utilisé par plus de 3 millions d'entreprises. Le plugin premium vous permet d'ajouter facilement des en-têtes de sécurité HTTP à votre site web.
La première chose que vous devrez faire est d'installer et d'activer le plugin AIOSEO sur votre site web. Vous pouvez en apprendre davantage dans notre guide étape par étape sur comment configurer All in One SEO pour WordPress.
Vous devez ensuite vous rendre sur la page All in One SEO » Redirects pour ajouter les en-têtes de sécurité HTTP. Tout d'abord, vous devrez cliquer sur le bouton « Activer les redirections » pour activer la fonctionnalité.
Une fois les redirections activées, vous devez cliquer sur l'onglet « Redirection complète du site » puis faire défiler jusqu'à la section « Paramètres canoniques ».
Activez simplement le bouton « Paramètres canoniques », puis cliquez sur le bouton « Ajouter des préréglages de sécurité ».
Vous verrez une liste prédéfinie d'en-têtes de sécurité HTTP apparaître dans le tableau.
Ces en-têtes sont optimisés pour la sécurité du site Web. Vous pouvez les examiner et les modifier si nécessaire.
Assurez-vous de cliquer sur le bouton « Enregistrer les modifications » en haut ou en bas de l'écran pour enregistrer les en-têtes de sécurité.
Vous pouvez maintenant visiter votre site Web pour vous assurer que tout fonctionne correctement.
Comment vérifier les en-têtes de sécurité HTTP d'un site web
Maintenant que vous avez ajouté des en-têtes de sécurité HTTP à votre site Web, vous pouvez tester votre configuration à l'aide de l'outil gratuit Security Headers.
Entrez simplement l'URL de votre site Web et cliquez sur le bouton « Analyser ».
Il vérifiera ensuite les en-têtes de sécurité HTTP de votre site Web et vous montrera un rapport. L'outil générera également une étiquette de note, que vous pouvez ignorer car la plupart des sites Web obtiendront un score B ou C sans affecter l'expérience utilisateur.
Il vous montrera quels en-têtes de sécurité HTTP sont envoyés par votre site Web et lesquels ne sont pas inclus. Si les en-têtes de sécurité que vous vouliez configurer y figurent, alors vous avez terminé.
Guides d'experts sur la sécurité WordPress
Nous espérons que cet article vous a aidé à apprendre comment ajouter des en-têtes de sécurité HTTP dans WordPress. Vous voudrez peut-être aussi consulter d'autres guides liés à l'amélioration de la sécurité de votre site Web WordPress :
- Le guide ultime de la sécurité WordPress (étape par étape)
- Comment effectuer un audit de sécurité WordPress (Liste de contrôle complète)
- Comment obtenir un certificat SSL gratuit pour votre site WordPress (Guide pour débutants)
- Top Reasons Why WordPress Sites Get Hacked (& How to Prevent It)
- Comment changer le préfixe de la base de données WordPress pour améliorer la sécurité
- Meilleurs plugins de sécurité WordPress pour protéger votre site (comparés)
- Meilleurs scanners de sécurité WordPress pour détecter les logiciels malveillants et les piratages
- Comment scanner votre site WordPress à la recherche de code potentiellement malveillant
Si cet article vous a plu, abonnez-vous à notre chaîne YouTube pour des tutoriels vidéo WordPress. Vous pouvez également nous retrouver sur Twitter et Facebook.
Jiří Vaněk
J'utilise CloudFlare depuis que j'ai lancé mon blog, principalement pour leur CDN et leur protection DDoS. J'avais déjà configuré le SSL avec des certificats à la fois sur mon serveur et sur CloudFlare. Cependant, il y avait certains paramètres de sécurité que j'ignorais et que je n'avais pas activés par peur de perturber le fonctionnement de mon site web. C'était l'un d'entre eux. Grâce à cet article, j'ai activé la fonctionnalité et je comprends maintenant beaucoup mieux son utilité. Et bien sûr, le site web n'a pas planté ; il continue de fonctionner parfaitement. Je suis content d'avoir pris cette mesure supplémentaire pour la sécurité. Alors, merci pour cet article !
Holly Gough
Reconnaissant pour ces informations. Instructions claires, concises et faciles à suivre. J'ai passé plus d'une heure à essayer de résoudre les problèmes d'en-tête. Merci !
Support WPBeginner
Nous sommes heureux que notre guide ait pu vous aider !
Admin
Valerie
Merci. Informations solides comme le roc, comme d'habitude. Merci pour votre aide, cela a parfaitement fonctionné.
Support WPBeginner
De rien, heureux que notre guide vous ait été utile !
Admin
Katrin
Où dans le .htacces dois-je mettre le code ? au-dessus, entre # BEGIN WordPress ou derrière # END WordPress ?
Support WPBeginner
You would want to put code between the begin and end WordPress
Admin
Michelangelo
Merci beaucoup pour cet article ! Il m'a beaucoup aidé.
I wish you the best and that your sleeves never slip during dishwashing
Support WPBeginner
Nous sommes heureux que notre article vous ait été utile !
Admin
Karma Tsheten
Ça a fonctionné pour moi mais ça a aussi détruit mon design. dès que j'ajoute un en-tête de sécurité, le design est gâché, une aide ?
Support WPBeginner
Cela ressemble à un conflit avec votre thème pour une raison quelconque. Nous vous recommandons de contacter le support de votre thème pour voir s'ils peuvent identifier la cause du problème.
Admin
Nigel Mcilwaine
Bonjour,
Malheureusement, cela n'a pas fonctionné pour moi, même après avoir vidé mon cache. Le site est sur un serveur Apache, l'hébergement mutualisé va-t-il affecter le succès ?
Cordialement
Support WPBeginner
Vous devriez probablement vérifier auprès de votre fournisseur d'hébergement pour vous assurer qu'il n'a pas de mise en cache ou de règle de son côté qui pourrait causer un problème avec votre en-tête de sécurité.
Admin
Neil Cheesman
Salut
J'ai ajouté le code au fichier .htaccess mais cela n'a fait aucune différence... le site web redirige correctement de HTTP vers https mais lors des tests, je reçois toujours le message "Impossible de trouver l'en-tête HSTS
dans les en-têtes de réponse."
Support WPBeginner
N'oubliez pas de vider tout cache sur votre site, car c'est la raison la plus courante pour cette erreur spécifique après avoir ajouté le code à votre htaccess.
Admin
ed thomas
n'a pas fonctionné. j'ai toujours :
Votre site web n'envoie pas tous les en-têtes de sécurité recommandés.
X-Content Type Options
X-Frame-Options
Permissions-Policy
Support WPBeginner
Vous voudrez peut-être vérifier votre cache, car c'est la raison la plus courante pour laquelle il ne se mettra pas à jour. Si vous videz le cache de votre site, cela devrait permettre de trouver vos en-têtes.
Admin
Mark Downing
Merci pour cet article très utile. Notre site est passé d'un "F" à un "B" sans aucun problème après que j'ai collé votre extrait de code dans .htaccess.
Support WPBeginner
Glad our recommendation was helpful
Admin