Effet Papillon

EffetPapillon.fr

HSTS (Strict Transport Security) comment l’installer ?

  • le 15 septembre 2021
  • à 08:28
hsts-strict-transport-security-StartingBlog
hsts-strict-transport-security-StartingBlog
HSTS (Strict Transport Security) comment l’installer ?

Le HTTP Strict Transport Security (HSTS) pour sécuriser votre site wordrpess

Nous sommes bien d’accord que depuis plusieurs années les consignes sont claires; Vous devez avoir un site totalement sécurisé pour la sécurité des données personnelles de vos utilisateurs / visiteurs ainsi que pour permettre à votre site web d’être mieux référencé. Un site conforme et sécurisé en HTTPS en utilisant un certificat SSL (Let’s Encrypt™ SSL par exemple) voit ses chances d’apparaître mieux placé sur les résultats des moteurs de recherche comme Google. Mais il n’y a pas que ce fameux certificat SSL, il faut également passer votre site par une en-tête sécurisée HTTP Strict Transport Security (HSTS) qui permet d’envoyer un signal de votre serveur à votre navigateur pour lui dire de passer uniquement en HTTPS .

 

Comment passer son site de http vers https ?

A l’heure actuelle nous voyons encore beaucoup trop de sites web non sécurisés. Que ce soit des sites réalisés par des agences de communication ou des sites perso. Nous allons donc vous expliquer comment remédier à cela :

Si vous possédez un ancien site qui n’est pas encore aux normes https.

L’installation d’un plugin comme « Really Simple SSL » vous facilitera le travail. Installez cette extension puis activez là.

Pour une nouvelle installation WordPress

Une fois votre nom de domaine et hébergement achetés, installez votre certificat SSL. Pour cela ,allez dans votre Cpannel et activez le certificat sur votre nom de domaine.

Ensuite et après validation que votre certificat soit bien en place, installez votre wordpress.
Faites un test en vous rendant à cette adresse https://globalsign.ssllabs.com/
Vous devriez avoir tous les voyants verts.

A lire aussi  💡 Le guide ultime pour obtenir plus d’avis Google et booster la réputation de votre entreprise ! 🚀

Si vous avez des difficultés lors de l’installation, vous pouvez passer par une agence wordpress ou un freelance.

 

Qu’est ce que le HSTS ( HTTP Strict Transport Security) ?

Cela fait maintenant quelques années que le HTTPS est devenu la norme, mais les redirections 301 créent un problème de sécurité.
En effet, un navigateur qui appelle une URL sans protocole va par défaut consulter la version HTTP.
Voici un exemple concret : Vous visitez un site web, mais le temps de redirection du http vers le https laisse aux hackers la possibilité de pirater votre site. Mais comment ? Il est possible de remplacer la certification lors de la communication client > serveur. C’est pour cela que http Strict Transport Security (HSTS) entre en jeu. Il permet de forcer le passage du http vers le https en donnant l’ordre à votre navigateur d’afficher uniquement vos données en https. Bingo

 

Comment mettre en place le HSTS sur votre site web ?

Pour activer le HSTS sur votre site, il vous suffit d’avoir activé au préalable votre certificat SSL et d’ajouter cette ligne de code dans votre fichier .htaccess à la racine de votre site. Ainsi quand votre site reçoit une requête d’accès HTTPS, le http Strict-Transport-Security fait son travail.

				
					# Début HTTP Strict Transport Security pour obliger le client à utiliser uniquement des connexions sécurisées 
Header always set Strict-Transport-Security "max-age=300; includeSubDomains; preload"
# Fin HTTP Strict Transport Security pour obliger le client à utiliser uniquement des connexions sécurisées

« includeSubDomains » permet ici d’inclure tous les sous-domaines au protocole HSTS. Attention à ce que tous vos sous-domaines soient également sécurisés avec un certificat SSL valide.

A lire aussi  Boostez la vitesse de votre site web : les astuces ultime pour un chargement de page au top !

« max-age » permet d’indiquer pour combien de temps les directives HSTS sont à respecter pour le navigateur, en secondes. Au-delà, il sera possible au navigateur d’appeler le protocole http. Vous pouvez indiquer un max-age de 300 pour 5 minutes, 604800 pour une semaine, 2592000 pour un mois. Une fois que vous êtes certain qu’il n’y aura pas de problème, augmentez la durée max à 2 ans, soit 63072000.

« preload » Le HSTS preloading est une fonction intégrée au navigateur qui définit une liste mondiale d’hôtes appliquant UNIQUEMENT le HTTPS sur leurs sites. Cette liste est utilisée par Chrome, Firefox , Opera, Safari, IE 11 et Edge. Sur les sites de la liste, l’application de la politique HSTS n’est pas subordonnée à l’émission des en-têtes de réponse HSTS. En fait, le navigateur sait déjà que le nom de domaine exige l’utilisation exclusive du HTTPS et pousse le HSTS avant toute connexion ou communication. Si tout est conforme vous pourrez ainsi proposer votre site à https://hstspreload.appspot.com/ en remplissant le formulaire pour être inscrit à la liste des sites « preload » Un délais de plusieurs semaines / mois est à prendre en compte.

 

Le HSTS pour votre SEO / Référencement naturel

Il faut toujours plaire à google, donc vous avez votre réponse. Un site hautement sécurisé est une très bonne pratique pour le SEO comme d’autres pratiques, contenu, code etc …

Vous pouvez tester la sécurité de votre header sur https://securityheaders.com/ Nous tacherons de répondre dans un prochain article comment passer tous les voyants au vert. En attendant vous pouvez nous contacter si vous avez besoin d’aide.

A lire aussi  Quelle différence entre une plateforme de netlinking et une agence de netlinking ?

 

Exemple de code que vous pouvez insérer dans votre .htaccess

Faites toujours un sauvegarde avant chaque intervention sur votre .htaccess et faites toujours une vérification du bon fonctionnement de votre site.

				
					# Début en-têtes de sécurité
Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS 
Header always set Content-Security-Policy "upgrade-insecure-requests"
Header always set X-Content-Type-Options "nosniff"
Header always set X-XSS-Protection "1; mode=block"
Header always set Expect-CT "max-age=7776000, enforce"
Header always set Referrer-Policy: "no-referrer-when-downgrade"
Header always set X-Frame-Options "SAMEORIGIN"
# Fin en-têtes de sécurité

Maintenant vous pouvez scannez votre site sur securityheaders.com

Image de Olivier Routhier
Olivier Routhier

Olivier est un rédacteur, éditeur et spécialiste du contenu web. Avant de rejoindre Effet Papillon, il a passé des années à perfectionner ses compétences au sein de plusieurs agences web en France, Belgique et Luxembourg..

Voir les articles d'Olivier

Besoin d'une Agence de Communication et Web ?

Nos derniers articles
SEO / SEA

SEO / SEA
Entrepreneur demandant un avis Google avec un smartphone et une fiche Google Business affichée en arrière-plan.

💡 Le guide ultime pour obtenir plus d’avis Google et booster la réputation de votre entreprise ! 🚀

Demander un avis Google efficacement passe par un bon timing, un message personnalisé et un lien direct vers votre fiche Google Business. Automatisez le processus...
SEO / SEA
Smartphone affichant le flux Google Discover avec articles et vidéos optimisés SEO

Google Discover : Comment optimiser votre contenu pour booster votre trafic ?

Google Discover est un flux d’actualités personnalisé qui affiche des contenus selon les intérêts des utilisateurs. Optimiser ses articles, images et vidéos avec un bon...
SEO / SEA

ZennoPoster : L’outil ultime pour automatiser les tâches web ?

ZennoPoster est un outil puissant d’automatisation web qui imite les actions humaines sur un navigateur. Il permet de remplir des formulaires, collecter des données et...

Articles populaires

Actualité du digital
Illustration d'un cerveau numérique représentant l'IA, avec le logo ChatGPT intégré en arrière-plan.

🧠 ChatGPT : Tout savoir sur l’outil révolutionnaire d’OpenAI

Découvrez Chat gor, l'outil d'OpenAI basé sur l'intelligence artificielle. Fonctionnalités, avantages et utilisation pour la rédaction, le code et la génération de contenu automatisée.
Actualité du digital
Smartphone affichant l'application Google Interprète avec une conversation traduite en temps réel.

🌍 Google Interprète : Découvrez comment l’utiliser pour traduire vos conversations en temps réel

Le mode Google Interprète est une fonctionnalité innovante qui permet de traduire des conversations en temps réel via l’Assistant Google, Google Translate et certaines applications...
Actualité du digital
Exemple de matrixes utilisées en mathématiques, technologie et intelligence artificielle

Matrixes : Décryptage complet d’un concept clé dans les sciences et les arts

Les matrixes sont essentielles dans les mathématiques, les sciences et la technologie. Découvrez leur définition, leurs applications dans les algorithmes, les arts et bien plus...
Organisation et planification
"Interface de Digiposte, coffre-fort numérique pour la gestion et la sécurité des documents personnels et professionnels.

Digiposte : Le coffre-fort numérique pour sécuriser vos documents 🚀

Digiposte est un coffre-fort numérique qui simplifie la gestion de vos documents en toute sécurité. Bulletins de paie, justificatifs ou démarches administratives : centralisez tout...
Organisation et planification
Interface Zimbra affichant la gestion des emails, calendriers et fichiers pour la collaboration.

Zimbra : une solution complète pour la messagerie et la collaboration 📧

Zimbra est une plateforme de messagerie et de collaboration largement utilisée dans le monde. Offrant une gestion intégrée des emails, calendriers, et documents, elle est...
Organisation et planification
Opensi : la solution magique pour booster votre e-commerce et simplifier votre gestion de stock !

Opensi : La solution ultime pour une gestion efficace de vos stocks en e-commerce 🚀

Opensi est bien plus qu’un simple outil de gestion commerciale pour le e-commerce. Découvrez comment cette solution révolutionne la gestion des stocks avec des fonctionnalités...

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Effet
Papillon

Nous contacter