Tout ce que vous avez voulu savoir sur HTTPS et les en-têtes de sécurité

Vous utilisez de l’hébergement mutualisé (shared Hosting), il se trouve que TLS devient de plus en plus complexe. C’est là l’objet de cet article:

Security Headers

Code: Get-HttpSecHead -url https://cisware.com/wpaas -log y
Nous allons suivre ces préconisations de sécurité, bien sûr.

En effet la notion de Server Name Indication (SNI) des sites HTTPS hébergés sur un même serveur voire cluster est un challenge perpétuel si on ne peut pas tweaker la configuration de Apache, LightSpeed etc. et/ou manipuler .htaccess.

Dans la lumière de ce qui précède, nous avons ces éléments à configurer :

  • HSTS (Strict-Transport-Security)
  • HPKP (Public-Key-Pins)
  • Disabling content sniffing (X-Content-Type-Options)
  • XSS protection (X-XSS-Protection)
  • Clickjacking mitigation (X-Frame-Options in main site)
  • Expect-CT

Voici une brève explication de ces termes :

HSTS est utilisé pour garantir que les futures connexions à un site Web utilisent toujours TLS et ne pas autoriser les contournements de certificats pour le site.

HPKP est utilisé si vous ne souhaitez pas vous fier uniquement au modèle de confiance de l’autorité de certification pour l’émission de certificats.

Désactiver le content sniffing est surtout intéressant pour les sites qui permettent aux utilisateurs de télécharger des fichiers de types spécifiques, mais les navigateurs peuvent être assez perméables pour interpréter un autre type, permettant ainsi des attaques inattendues.

La protection XSS réactive la protection XSS pour le site, si l’utilisateur l’a déjà désactivée, et définit l’option «bloquer» pour que les attaques ne soient pas silencieusement ignorées.

La protection contre les Clickjacking n’est généralement pertinente que lorsque quelqu’un est connecté mais que les utilisateurs l’ont demandé, probablement parce qu’ils ont un contenu riche en dehors de l’authentification WordPress qu’ils souhaitent protéger.

Expect-CT est utilisé pour s’assurer que la transparence du certificat est correctement configurée.

Si vous souhaitez un mini audit gratuit de votre site WordPress, envoyez-moi un message en privé, cela va de soi :

Formulaire de contact : https://cisware.com/wpaas/contactez-nous/

Ou par FaceBook: https://www.facebook.com/WPaaS.fr/

Par Messenger : m.me/WPaaS.fr