Le HTTP Strict Transport Security (HSTS) pour sécuriser votre site wordrpess
Nous sommes bien d’accord que depuis plusieurs années les consignes sont claires; Vous devez avoir un site totalement sécurisé pour la sécurité des données personnelles de vos utilisateurs / visiteurs ainsi que pour permettre à votre site web d’être mieux référencé. Un site conforme et sécurisé en HTTPS en utilisant un certificat SSL (Let’s Encrypt™ SSL par exemple) voit ses chances d’apparaître mieux placé sur les résultats des moteurs de recherche comme Google. Mais il n’y a pas que ce fameux certificat SSL, il faut également passer votre site par une en-tête sécurisée HTTP Strict Transport Security (HSTS) qui permet d’envoyer un signal de votre serveur à votre navigateur pour lui dire de passer uniquement en HTTPS .
Comment passer son site de http vers https ?
A l’heure actuelle nous voyons encore beaucoup trop de sites web non sécurisés. Que ce soit des sites réalisés par des agences de communication ou des sites perso. Nous allons donc vous expliquer comment remédier à cela :
Si vous possédez un ancien site qui n’est pas encore aux normes https.
L’installation d’un plugin comme « Really Simple SSL » vous facilitera le travail. Installez cette extension puis activez là.
Pour une nouvelle installation Wordpress
Une fois votre nom de domaine et hébergement achetés, installez votre certificat SSL. Pour cela ,allez dans votre Cpannel et activez le certificat sur votre nom de domaine.
Ensuite et après validation que votre certificat soit bien en place, installez votre wordpress.
Faites un test en vous rendant à cette adresse https://globalsign.ssllabs.com/
Vous devriez avoir tous les voyants verts.
Si vous avez des difficultés lors de l’installation, vous pouvez passer par une agence wordpress ou un freelance.
Qu’est ce que le HSTS ( HTTP Strict Transport Security) ?
Cela fait maintenant quelques années que le HTTPS est devenu la norme, mais les redirections 301 créent un problème de sécurité.
En effet, un navigateur qui appelle une URL sans protocole va par défaut consulter la version HTTP.
Voici un exemple concret : Vous visitez un site web, mais le temps de redirection du http vers le https laisse aux hackers la possibilité de pirater votre site. Mais comment ? Il est possible de remplacer la certification lors de la communication client > serveur. C’est pour cela que http Strict Transport Security (HSTS) entre en jeu. Il permet de forcer le passage du http vers le https en donnant l’ordre à votre navigateur d’afficher uniquement vos données en https. Bingo
Comment mettre en place le HSTS sur votre site web ?
Pour activer le HSTS sur votre site, il vous suffit d’avoir activé au préalable votre certificat SSL et d’ajouter cette ligne de code dans votre fichier .htaccess à la racine de votre site. Ainsi quand votre site reçoit une requête d’accès HTTPS, le http Strict-Transport-Security fait son travail.
# Début HTTP Strict Transport Security pour obliger le client à utiliser uniquement des connexions sécurisées
Header always set Strict-Transport-Security "max-age=300; includeSubDomains; preload"
# Fin HTTP Strict Transport Security pour obliger le client à utiliser uniquement des connexions sécurisées
« includeSubDomains » permet ici d’inclure tous les sous-domaines au protocole HSTS. Attention à ce que tous vos sous-domaines soient également sécurisés avec un certificat SSL valide.
« max-age » permet d’indiquer pour combien de temps les directives HSTS sont à respecter pour le navigateur, en secondes. Au-delà, il sera possible au navigateur d’appeler le protocole http. Vous pouvez indiquer un max-age de 300 pour 5 minutes, 604800 pour une semaine, 2592000 pour un mois. Une fois que vous êtes certain qu’il n’y aura pas de problème, augmentez la durée max à 2 ans, soit 63072000.
« preload » Le HSTS preloading est une fonction intégrée au navigateur qui définit une liste mondiale d’hôtes appliquant UNIQUEMENT le HTTPS sur leurs sites. Cette liste est utilisée par Chrome, Firefox , Opera, Safari, IE 11 et Edge. Sur les sites de la liste, l’application de la politique HSTS n’est pas subordonnée à l’émission des en-têtes de réponse HSTS. En fait, le navigateur sait déjà que le nom de domaine exige l’utilisation exclusive du HTTPS et pousse le HSTS avant toute connexion ou communication. Si tout est conforme vous pourrez ainsi proposer votre site à https://hstspreload.appspot.com/ en remplissant le formulaire pour être inscrit à la liste des sites « preload » Un délais de plusieurs semaines / mois est à prendre en compte.
Le HSTS pour votre SEO / Référencement naturel
Il faut toujours plaire à google, donc vous avez votre réponse. Un site hautement sécurisé est une très bonne pratique pour le SEO comme d’autres pratiques, contenu, code etc …
Vous pouvez tester la sécurité de votre header sur https://securityheaders.com/ Nous tacherons de répondre dans un prochain article comment passer tous les voyants au vert. En attendant vous pouvez nous contacter si vous avez besoin d’aide.
Exemple de code que vous pouvez insérer dans votre .htaccess
Faites toujours un sauvegarde avant chaque intervention sur votre .htaccess et faites toujours une vérification du bon fonctionnement de votre site.
# Début en-têtes de sécurité
Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS
Header always set Content-Security-Policy "upgrade-insecure-requests"
Header always set X-Content-Type-Options "nosniff"
Header always set X-XSS-Protection "1; mode=block"
Header always set Expect-CT "max-age=7776000, enforce"
Header always set Referrer-Policy: "no-referrer-when-downgrade"
Header always set X-Frame-Options "SAMEORIGIN"
# Fin en-têtes de sécurité
Maintenant vous pouvez scannez votre site sur securityheaders.com
