Analyseur d'en-têtes de sécurité

Les en-têtes de sécurité sont des instructions qu'un serveur Web envoie avec chaque réponse qui indiquent aux navigateurs comment se comporter de manière défensive : Content-Security-Policy restreint l'endroit à partir duquel les scripts peuvent être chargés, Strict-Transport-Security force HTTPS, X-Frame-Options bloque le détournement de clic, etc. Il s’agit de l’une des étapes de renforcement les moins coûteuses et les plus efficaces qu’un site puisse suivre.

La note compte le nombre de six en-têtes principaux présents (CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy). Tous les six obtiennent un A ; un A+ nécessite en outre au moins un en-tête d'isolation d'origine croisée (COOP/CORP/COEP) et aucun indicateur d'affaiblissement comme unsafe-inline dans votre CSP.

Pas directement : Google ne classe pas par en-têtes de sécurité. Cependant, HSTS protège l'expérience HTTPS que Google mesure, et un site renforcé est moins susceptible d'être piraté et mis sur liste noire, ce qui détruit absolument les classements. Considérez les en-têtes comme une assurance pour votre investissement SEO.

Chaque en-tête manquant dans votre rapport comprend un extrait de correctif nginx prêt à coller. Sur Apache, utilisez Header pour toujours définir les directives dans .htaccess ; sur WordPress avec nginx, ajoutez les extraits à votre bloc serveur et rechargez. Commencez par X-Content-Type-Options et HSTS (risque le plus faible), testez d'abord CSP en mode rapport uniquement.

Les en-têtes comme Server : nginx/1.24.0 ou X-Powered-By : PHP/8.3 révèlent les versions exactes du logiciel, ce qui permet aux attaquants de rechercher des exploits spécifiques à une version. Le rapport les signale afin que vous puissiez les supprimer ou les généraliser.