Bonjour à toutes et à tous,
Mon nom de domaine est : https://petite-manivelle.com/
Et j'utilise l'offre: perso2014
Je rencontre la problématique suivante : J'ai inséré des entêtes de sécurités dans le fichier htaccess qui sont les suivants :
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
Header always set Permissions-Policy "geolocation=(), midi=(),sync-xhr=(),accelerometer=(), gyroscope=(), magnetometer=(), camera=(), fullscreen=(self)"
Une fois ces entêtes insérés, le site obtient la lettre A sur https://securityheaders.com/ mais ces entêtes disparaissent au bout de 24-48h et la note repasse en F. Auriez-vous une solution afin de les conserver de manière définitive ?
Merci d'avance et bonne journée.
1manivelle.com/manivelle.com/
Bonjour
https://www.ssllabs.com/ssltest/analyze.html?d=petite%2dmanivelle.com&s=146.59.209.152
Vous ne pourriez pas faire mieux que B chez Qualys.
En effet OVH supporte toujours TLS1.0 et TLS1.1 afin de ne pas se couper d'une partie du monde où l'informatique est parfois "un peu beaucoup" à la traîne.
Malheureusement, cette note retombe sur un F aprés 24h-48h. Les entêtes de sécurités disparaissent du fichier htaccess. La est mon problème.
Bonjour,
Vous voulez dire que le contenu de votre fichier .htaccess change tout seul ?
Oui exactement. les balises suivantes se suppriment :
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
Header always set Permissions-Policy "geolocation=(), midi=(),sync-xhr=(),accelerometer=(), gyroscope=(), magnetometer=(), camera=(), fullscreen=(self)"
Regardez la date et l'heure du fichier peut déjà vous donner une indication.
Vous êtes avec un Wordpress donc,
Je regarderai si un plugin ne ré-écrit pas le fichier .htaccess
Ou alors peut être un collaborateur ?
Si non, vous devriez envisager que votre site à été piraté.
Malheureusement, cette note retombe sur un F aprés 24h-48h. Les entêtes de sécurités disparaissent du fichier htaccess. La est mon problème.
Si votre htaccess se modifie derrière votre dos, et que vous n'avez pas été mettre vos modifications entre le délimiteur Begin et End de Wordpress, c'est hautement suspect, ça.
vous n'avez pas été mettre vos modifications entre le délimiteur Begin et End de Wordpress
Oui bien vue !
Les entêtes sont biens positionnés entres le Begin et End Wordpress.. Je vous joint la partie du htacces concernée :
## # BEGIN WordPress
## # Les directives (lignes) entre « BEGIN WordPress » et « END WordPress » sont générées
## # dynamiquement, et doivent être modifiées uniquement via les filtres WordPress.
## # Toute modification des directives situées entre ces marqueurs sera surchargée.
RewriteEngine On
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
Header always set Permissions-Policy "geolocation=(), midi=(),sync-xhr=(),accelerometer=(), gyroscope=(), magnetometer=(), camera=(), fullscreen=(self)"
# END WordPress
# BEGIN ShortPixelWebp
# Les directives (lignes) entre « BEGIN ShortPixelWebp » et « END ShortPixelWebp » sont générées
# dynamiquement, et doivent être modifiées uniquement via les filtres WordPress.
# Toute modification des directives situées entre ces marqueurs sera surchargée.
# END ShortPixelWebp
Les entêtes sont biens positionnés entres le Begin et End Wordpress.
Ben voilà.
C'est chasse gardée Wordpress et vous n'avez rien à mettre là.
Vous avez vous-même retranscrit en grandes lettres:
# Les directives (lignes) entre « BEGIN WordPress » et « END WordPress » sont générées
# dynamiquement, et doivent être modifiées uniquement via les filtres WordPress.
# Toute modification des directives situées entre ces marqueurs sera surchargée.
Daccord. Comment puis je les insérer dans le htaccess si wordpress ne me permet pas de l'intégrer ? Car si je comprends bien, c'est à cet emplacement qu'il fallait les positionner. Navré si ma question est idiote. Je suis en plein apprentissage.
Daccord. Comment puis je les insérer dans le htaccess si wordpress ne me permet pas de l'intégrer ? Car si je comprends bien, c'est à cet emplacement qu'il fallait les positionner. Navré si ma question est idiote. Je suis en plein apprentissage.
C'est **au tout début** du fichier .htaccess qu'il faut ajouter tes redirections.
Voir dans mon guide, paragraphe : **M - Pour finir : la modification du fichier /www/.htaccess pour la redirection de http vers https.**
Profitez-en pour lire attentivement les paragraphes **A à J** de ce guide.
**__________________________________________________________________________________**
Voici un petit guide que j'ai écrit et qui pourrait vous apporter des éclaircissements pour une Installation complète et propre de votre Site.
**************************************************************************************************
* **Guide - Comprendre la Relation Domaine > Zone DNS > Hébergement > Dossier du site** *
**************************************************************************************************
Voir --> **https://www.wordetweb.com/word-et-web/WORDPRESS-guide-installation-de-WordPress-premier-domaine-chez-OVH-FR.htm">CMS - WordPress - Guide Installation chez OVH**
Contrôler votre situation en suivant **attentivement** les paragraphes : **A** à **J**
_N'hésitez pas à me faire un retour : positif ou négatif._
_C'est comme cela que je peaufine mon Guide._
_Si ce guide vous a bien aidé, n'hésitez pas à cliquer sur le bouton « j'aime »_
Je vous remercie en effet certain élément sont plus précis et je n'ai pas perdu de temps pour conserver votre guide dans mes favoris.
En l'occurence, mon fichier htacces et remplit de plusieurs extensions ce qui ne m'aide pas a y voir très claire.
Je viens d'apporter cela au fichier :
RewriteEngine on
RewriteCond %{SERVER_PORT} 80
RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L,NE,QSA]
et j'ai retiré la redirection de l'appli really simple ssl qui était toujours présente malgré la suppression de l'app.
Je n'arrive toujours pas à insérer les entêtes de sécurités de manière fonctionnelle. Le scan obtient toujours un F. Pour information, j'ai tenté d'insérer les entêtes juste en dessous du morceau de code que vous m'avez conseillé d'intégrer pour la rediction. Selon vous les entêtes sont incorrectes ou c'est l'emplacement qui est mauvais ?
Voici les entêtes que je tente d'intégrer :
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
Header always set Permissions-Policy "geolocation=(), midi=(),sync-xhr=(),accelerometer=(), gyroscope=(), magnetometer=(), camera=(), fullscreen=(self)"
Pourquoi vous obstinez vous à rajouter tout ça dans le fichier .htaccess
Le SSL LET ENCRYPT de OVH suffit amplement.
Le SSL LET ENCRYPT de OVH suffit amplement.
@Gaston_Phone, si @JeremyH14 veut implémenter HSTS et anti cross-site embedding, c'est son droit le plus strict. Ce n'est pas parce que tu ne comprends pas que les autres ne peuvent pas le faire.
Si @JeremyH14 ne comprend pas non plus ce qu'il fait et pourquoi, parce qu'un site parano (parano et demi) touche des putaclicks chez Probely.com alors il vaudrait mieux ne rien faire.
@JeremyH14 savez-vous quelles sont les conséquences de HSTS ? Savez-vous quel est l'impact de X-Frame DENY ?