Les en-têtes de sécurité protègent les sites web contre des risques courants tels que le détournement de clics (click-jacking), les attaques de type cross-site scripting, les attaques par force brute et d'autres vulnérabilités.
Maintenant, explorons brièvement des en-têtes de sécurité HTTP spécifiques et leurs fonctions protectrices :
Le Strict Transport Security HTTP (HSTS) informe les navigateurs web que votre site web utilise exclusivement HTTPS, décourageant ainsi le chargement via des protocoles non sécurisés tels que HTTP.
La protection contre les attaques XSS (X-XSS Protection) vous permet de bloquer les tentatives de scripting entre sites.
Les options X-Frame (X-Frame-Options) empêchent les iframes entre domaines différents et les tentatives de détournement de clic.
Les options X-Content-Type (X-Content-Type-Options) découragent l'analyse des types MIME du contenu.
Analysez les en-têtes de sécurité actuels de votre site web : Rendez-vous sur https://securityheaders.com/ et saisissez le domaine de votre site web. Si vous obtenez une note A+, c'est parfait. Votre site est déjà sécurisé !
Si vous obtenez une note A ou moins... Continuez à lire pour obtenir de l'aide.
Ajout de l'en-tête de sécurité recommandé par Axtov : Connectez-vous au panneau de contrôle Axtov (ou My Axtov, puis cliquez sur 'Se connecter au panneau de contrôle').
Cliquez sur 'Sites web', sélectionnez ensuite le domaine de votre site web. Allez dans 'Fichier' > 'public_html'. Ouvrez le fichier .htaccess et ajoutez ce code en haut :
Si vous avez actuellement des en-têtes de sécurité dans votre fichier .htaccess, veuillez les supprimer avant de continuer afin d'éviter les entrées en double.
<IfModule mod_headers.c>
Header set X-Frame-Options SAMEORIGIN
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options "nosniff"
Header set X-Permitted-Cross-Domain-Policies "none"
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header set Content-Security-Policy "upgrade-insecure-requests"
Header set Referrer-Policy "no-referrer-when-downgrade"
Header set Permissions-Policy "accelerometer=(), autoplay=(self), camera=(), cross-origin-isolated=(), display-capture=(), encrypted-media=(self), fullscreen=(self), geolocation=(self), gyroscope=(), keyboard-map=(), magnetometer=(), microphone=(), midi=(), payment=(), picture-in-picture=(self), publickey-credentials-get=(), screen-wake-lock=(), sync-xhr=(self), usb=(), xr-spatial-tracking=()"
Header always unset X-Powered-By
Header unset X-Powered-By
</IfModule>Réanalysez votre site web en utilisant cet outil : https://securityheaders.com/ et saisissez le domaine de votre site web. Vous devriez maintenant obtenir une note A+.
Voilà ! Votre site web bénéficiera d'une sécurité renforcée grâce à ces en-têtes de sécurité.