Le header de votre site est une partie de votre code située dans la partie haute de votre site WordPress. C’est le lieu privilégié de certains hackers pour attaquer votre site et par défaut ils ne sont pas sécurisés.
Pour le sécuriser, ajouter ces lignes dans votre .htaccess :
<IfModule mod_headers.c>
# Protection contre les attaques XSS
Header set X-XSS-Protection "1; mode=block"
# Empêche le reniflage du type de contenu
Header set X-Content-Type-Options "nosniff"
# Protection contre le clickjacking
Header set X-Frame-Options "SAMEORIGIN"
# Politique de sécurité du contenu
Header set Content-Security-Policy "default-src 'self'; script-src 'self' https://trusted.cdn.com; style-src 'self' https://trusted.cdn.com"
# Forcer l'utilisation de HTTPS
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
# Politique de référent
Header set Referrer-Policy "no-referrer-when-downgrade"
# Politique des permissions
Header set Permissions-Policy "geolocation=(), microphone=(), camera=()"
</IfModule>
Si vous ne savez pas faire cette ajout, vous pouvez exploiter d’autres solutions.
Sécuriser vos headers avec un plugin de sécurité
Comme d’habitude, je conseille d’installer le plugin Wordfence qui est le plus complet pour sécuriser gratuitement, facilement en quelques clics votre site WordPress.
Puisque c’est le sujet du jour, il a aussi la fonctionnalité de sécuriser vos headers.
Sinon, il existe d’autres plugins très intéressant comme « All In One WP Security & Firewall« .
Utiliser un plugin dédié aux headers
Vous pouvez aussi installer un plugin dédié uniquement à la sécurisation des headers.
Je ne conseille pas cette approche, car elle a tendance à multiplier les plugins installés. Et quand on sait la pénibilité de gérer les mises à jour, franchement c’est plus une perte de temps qu’autre chose.
Mais je vous écris quand même sur le sujet car ça existe. Le plugin le plus connu en la matière est « Headers Security Advanced & HSTS WP«