La sécurité est d’une importance capitale pour les sites WordPress, compte tenu des nombreuses menaces en ligne auxquelles ils sont exposés. Dans cette optique, le HTTP Strict Transport Security (HSTS) émerge comme un puissant mécanisme de renforcement de la sécurité. Cet article vise à vous familiariser avec le concept du HSTS et à vous guider dans sa mise en place pour sécuriser efficacement votre site WordPress.
Qu’est-ce que l’en-tête HTTP Strict Transport Security ?
Le HTTP Strict Transport Security (HSTS) est un protocole de sécurité qui permet aux sites web de spécifier qu’ils doivent être accessibles uniquement via des connexions sécurisées HTTPS. L’acronyme HSTS signifie littéralement « Strict Transport Security » et son objectif est de garantir que les communications entre le navigateur et le serveur web sont cryptées et protégées.
L’IETF a introduit le concept du HSTS en 2012 avec la spécification RFC 6797. L’objectif principal du HSTS est de contrer différentes attaques, telles que les redirections HTTP vers HTTPS non autorisées, les attaques de type Man-in-the-Middle (MitM) et le détournement de cookies.
Comment activer le HSTS sur votre site WordPress ?
L’intégration du HSTS (Strict Transport Security) à votre site WordPress renforce la sécurité de votre site en s’assurant que toutes les communications avec celui-ci se font exclusivement via HTTPS.
Le HSTS est une politique de sécurité qui oblige les navigateurs à accéder au site uniquement via une connexion sécurisée HTTPS. La mise en œuvre de HSTS est réalisée en ajoutant un en-tête HTTP spécifique à vos réponses de serveur. Une directive couramment utilisée avec HSTS est max-age, qui définit le nombre de secondes pendant lesquelles le site doit uniquement être accessible via HTTPS.
Activer le HSTS dans Apache via le fichier .htaccess
Pour activer HSTS sur un serveur Apache, ajoutez le code suivant à votre fichier de configuration des hôtes virtuels ou au fichier .htaccess:
Header always set Strict-Transport-Security "max-age=31536000"
Activer le HSTS dans NGINX :
Si vous utilisez NGINX, ajoutez cette ligne à votre fichier de configuration pour activer HSTS :
add_header Strict-Transport-Security "max-age=31536000";
Avec le HSTS activé, les utilisateurs qui tentent d’accéder à votre site via HTTP sont automatiquement redirigés vers la version HTTPS, garantissant une expérience sécurisée.
Activer le préchargement du domaine avec HSTS
Le préchargement HSTS, ou HTTP Strict Transport Security, est une fonction essentielle pour renforcer la sécurité d’un site web. En gros, cela implique d’ajouter votre site ou domaine à une liste HSTS approuvée, intégrée directement dans les navigateurs. Cette liste est officiellement compilée par Google et est prise en charge par de nombreux navigateurs populaires tels que Chrome, Firefox, Opera, Safari, IE11 et Edge.
Avantages du préchargement HSTS :
- Sécurité renforcée dès la première connexion.
- Prise en charge par 80% des navigateurs.
- Réduction des risques d’attaques « man-in-the-middle ».
Toutefois, vous devez satisfaire à certaines exigences supplémentaires pour être admissible :
- Possession d’un certificat SSL/TLS valide.
- Redirection de tout le trafic vers HTTPS.
- Service du HSTS sur le domaine principal.
- Service de tous les sous-domaines en HTTPS, en particulier le sous-domaine ‘www’ s’il existe.
- Durée d’expiration HSTS d’au moins 1 an (soit 31536000 secondes).
- Spécification de la directive
includeSubdomains. - Spécification de la directive
preload.
Configurer l’en-tête HSTS :
Pour ce faire, il vous faut ajouter les sous-domaines supplémentaires et les directives de préchargement à votre en-tête HTTP Strict Transport Security :
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Soumission pour préchargement : Une fois que vous avez satisfait à toutes ces exigences et configuré votre en-tête, vous pouvez ajouter votre site à la liste de préchargement HSTS.
Attention : La soumission à la liste de préchargement prend environ une semaine et signifie un engagement à long terme avec HTTPS. Retirer un domaine de cette liste peut être une procédure longue et complexe.
Support du HSTS par les navigateurs
La prise en charge du protocole HSTS (HTTP Strict Transport Security) par les navigateurs est remarquablement élevé. Globalement, plus de 80 % des navigateurs offrent cette fonctionnalité, et ce taux s’élève à plus de 95 % aux États-Unis. Cela démontre l’importance croissante du HSTS dans le renforcement de la sécurité en ligne.
Internet Explorer 11 a intégré cette prise en charge en 2015, reflétant la tendance générale des navigateurs modernes à adopter le HSTS. Cependant, il convient de souligner que le navigateur Opera Mini demeure une exception à cette tendance, car il ne prend toujours pas en charge le HSTS.
Impact du HSTS sur le référencement SEO
Quand vous intégrez votre site web à la liste de préchargement HSTS, il est possible de remarquer certains avertissements provenant de la Google Search Console ou d’autres outils SEO tiers relatifs aux redirections 307. La raison en est simple : lorsqu’un utilisateur essaie d’accéder à votre site via HTTP, une redirection 307 est désormais effectuée au niveau du navigateur, remplaçant ainsi la redirection 301 habituelle.
Généralement, on associe la redirection 307 à des redirections temporaires, tandis que la redirection 301 est destinée aux URLs qui ont changé de manière permanente. Alors, pourquoi ne pas simplement utiliser une redirection 301 ? Et quelles sont les implications SEO de cette approche ?
En réalité, la redirection 301 est toujours là, agissant discrètement en arrière-plan. La spécificité de la redirection 307 due au HSTS est qu’elle opère au niveau du navigateur, tandis que la redirection 301 s’exécute au niveau du serveur. Pour le prouver, il suffit de passer votre site par des outils qui vérifient les redirections au niveau serveur, comme httpstatus. Vous constaterez qu’une redirection 301 est effectivement toujours en action.
De ce fait, les propriétaires de sites n’ont aucune raison de s’inquiéter : le HSTS n’entrave en aucun cas le référencement ni le classement de votre site dans les résultats des moteurs de recherche.
