2022-08-12 23:58 Temps de lecture : 5 min
Technologie

Sécurisez WordPress avec les options X-Frame et le cookie HTTPOnly

Renforcez la sécurité de votre site WordPress contre les menaces XSS, Clickjacking et autres vulnérabilités.

La protection de votre site web est cruciale pour votre présence commerciale en ligne. Récemment, j'ai réalisé une analyse de sécurité de mon site WordPress en utilisant Acunetix et Netsparker, et j'ai identifié les faiblesses suivantes :

  • Absence de l'en-tête X-Frame-Options
  • Cookie non marqué comme HttpOnly
  • Cookie dépourvu de l'attribut sécurisé

Si vous hébergez votre site sur un serveur Cloud ou VPS dédié, vous pouvez directement injecter ces en-têtes dans la configuration d'Apache ou Nginx. Cependant, pour les implémenter directement dans WordPress, voici la méthode à suivre :

Note : Après l'implémentation, un outil de test d'en-têtes sécurisés vous permettra de vérifier l'efficacité des modifications.

L'ajout de l'en-tête approprié préviendra les attaques de Clickjacking, comme l'a détecté Netsparker.

La solution :

  • Accédez au répertoire où WordPress est installé. Si vous utilisez un hébergement mutualisé, connectez-vous à cPanel, puis ouvrez le gestionnaire de fichiers.
  • Faites une copie de sauvegarde du fichier `wp-config.php`.
  • Éditez le fichier et insérez la ligne suivante :
header('X-Frame-Options: SAMEORIGIN');
  • Enregistrez les changements et actualisez votre site web pour valider.

Renforcer la sécurité des cookies avec les attributs HTTPOnly et Secure

L'attribut HTTPOnly, appliqué à un cookie, signale au navigateur que celui-ci ne doit être accessible que par le serveur, ajoutant une protection contre les attaques XSS.

L'attribut sécurisé indique au navigateur que le cookie doit être transmis uniquement via des canaux SSL sécurisés, renforçant ainsi la protection des cookies de session.

Note : Cette solution fonctionne avec un site HTTPS. Si votre site est en HTTP, envisagez la migration vers HTTPS pour une sécurité accrue.

La solution :

  • Sauvegardez le fichier `wp-config.php`.
  • Modifiez le fichier et ajoutez les lignes suivantes :
@ini_set('session.cookie_httponly', true);
@ini_set('session.cookie_secure', true);
@ini_set('session.use_only_cookies', true);
  • Enregistrez les modifications et actualisez votre site pour vérifier l'application.

Si la manipulation directe du code ne vous convient pas, vous pouvez également utiliser le plugin Shield Security. Il bloque les iFrames et vous protège contre les attaques XSS.

Une fois le plugin installé, allez dans la section "En-têtes HTTP" et activez les options nécessaires.

J'espère que ces conseils vous aideront à renforcer la sécurité de votre site WordPress.

Attendez, il y a plus...

Souhaitez-vous mettre en place des en-têtes de sécurité plus avancés ?

OWASP recommande 10 en-têtes de sécurité importants. Si vous utilisez un serveur VPS ou Cloud, référez-vous à ce guide pour Apache et Nginx. Si vous avez un hébergement mutualisé ou préférez une solution dans WordPress, vous pouvez utiliser ce plugin.

Conclusion

La sécurisation d'un site web est un processus continu et exigeant. Si vous préférez confier cette tâche à un expert, envisagez SUCURI WAF, qui assure une protection complète et optimise les performances de votre site.

Cet article vous a été utile ? N'hésitez pas à le partager !

Auteur
Camille Moreau
France

Rédacteur tech, guides pratiques et astuces numériques.

Articles similaires
2026-05-15
Découvrez la montre connectée légère HUAWEI WATCH FIT 5 Pro, votre alliée au quotidien  
Dans un monde où l'innovation ne cesse d'évoluer, la HUAWEI WATCH FIT 5 Pro se présente comme une option incontournable pour les amateurs d…
2026-05-05
Énergie solaire en Europe : comment bien préparer une installation photovoltaïque professionnelle ?
L’énergie solaire n’est plus seulement une solution réservée aux passionnés d’écologie ou aux grands projets industriels. Elle devient, pro…
2026-03-31
Comment économiser sur un vélo électrique : conseils pratiques pour payer moins cher en Europe
Acheter un vélo électrique représente souvent un investissement important. Entre le prix du modèle, les accessoires, la livraison et l’entr…
2026-03-11
Optimisez vos performances : Pourquoi la huawei watch gt runner est l'alliée incontournable des marathoniens en 2026 ? 
Si vous avez déjà pris le départ du Marathon de Paris ou couru le long des quais de Bordeaux, vous savez que chaque détail compte dès que l…
Article précédent
7 meilleurs outils de création de quiz pour interagir davantage avec votre public
Article suivant
8 applications Web vulnérables pour pratiquer le piratage légalement