Description
Headers Security Advanced & HSTS WP est la meilleure extension tout-en-un et gratuite pour tous les utilisateurs/utilisatrices de WordPress. La désactivation de cette extension ramènera la configuration de votre site exactement à l’état dans lequel elle était auparavant.
Le projet Headers Security Advanced & HSTS WP met en œuvre des en-têtes de réponse HTTP que votre site peut utiliser pour augmenter la sécurité de votre site Web. L’extension configurera automatiquement toutes les meilleures pratiques (vous n’avez pas à penser à quoi que ce soit), ces en-têtes de réponse HTTP peuvent empêcher les navigateurs modernes de se heurter à des vulnérabilités facilement prévisibles. Le projet Headers Security Advanced & HSTS WP veut populariser et accroître la sensibilisation et l’utilisation de ces en-têtes pour tous les utilisateurs/utilisatrices de WordPress.
This plugin is developed by TentaclePlugins by irn3, we care about WordPress security and best practices.
Découvrez les meilleures fonctionnalités de Headers Security Advanced & HSTS WP :
- X-XSS-Protection (non-standard)
- Expect-CT
- Access-Control-Allow-Origin
- Access-Control-Allow-Methods
- Access-Control-Allow-Headers
- X-Content-Security-Policy
- X-Content-Type-Options
- X-Frame-Options
- X-Permitted-Cross-Domain-Policies
- X-Powered-By
- Content-Security-Policy
- Referrer-Policy
- HTTP Strict Transport Security / HSTS
- Content-Security-Policy
- Content-Security-Policy-Report-Only
- Clear-Site-Data
- Cross-Origin-Embedder-Policy-Report-Only
- Cross-Origin-Opener-Policy-Report-Only
- Cross-Origin-Embedder-Policy
- Cross-Origin-Opener-Policy
- Cross-Origin-Resource-Policy
- Permissions-Policy
- Strict-dynamic
- Strict-Transport-Security
- FLoC (Federated Learning of Cohorts)
Headers Security Advanced & HSTS WP est basé sur OWASP CSRF pour protéger votre site WordPress. En utilisant OWASP CSRF, une fois l’extension installée, elle fournira une atténuation CSRF complète sans avoir à appeler une méthode pour utiliser le nonce sur la sortie. Le site sera sécurisé malgré la présence d’autres extensions vulnérables (CSRF).
Les en-têtes de sécurité HTTP sont un élément essentiel de la sécurité de votre site Web. Après leur implémentation automatique avec Headers Security Advanced & HSTS WP, ils vous protègent contre les types d’attaques les plus notoires que votre site pourrait rencontrer. Ces en-têtes protègent contre le XSS, l’injection de code, le clickjacking, etc.
We have put a lot of effort into making the most important services operational with Content Security Policy (CSP), below are some examples that we have tested and used with Headers Security Advanced & HSTS WP:
- CSP usage for Google Tag Manager
world’s most popular tag manager - Using CSP for Gravatar
Avatar service for WordPress and Social sites - Using CSP for WordPress Internal Media
support WordPress media - Using CSP for Youtube Embedded Video SDK
support Youtube embedded frames and JS SDK - CSP usage for CookieLaw
privacy technology to meet regulatory requirements - CSP usage for Mailchimp
support for Mailchimp automation, SDK and modules - CSP usage for Google Analytics
support for basic conversion domains such as: stats.g.doubleclick.net and www.google.com - CSP usage for Google Fonts
you’re not loading it on the page, chances are one of your SDKs is using it - Using CSP for Facebook
support Facebook SDK functionality - Using CSP for Stripe
highly secure online payment system - Using CSP for New Relic
it’s a registration and monitoring utility - Using CSP for Linkedin Tags + SDKs
support Linkedin Insight, Linkedin Ads and SDK - Using CSP for OneTrust
OneTrust support helps companies manage privacy requirements - CSP usage for Moat
Moat support to measurement suite such as: ad verification, brand safety, advertising and coverage - CSP usage for jQuery
support of jQuery – JS library - CSP usage for Twitter Widgets & SDKs
support Connect, Widgets and the Twitter client-side SDK - Using CSP for Google Maps
support Google Maps as The ggpht used by streetview - Using CSP for Quantcast Choice
Quantcast support for privacy such as GDPR and CCPA - CSP usage for Twitter Ads & Analytics
Twitter support for advertising and Analytics - Using CSP for Paypal
PayPal support for online payment system - Using CSP for Drift
Drift and Driftt support - CSP usage for Cookiebot
cookie and tracker support, GDPR/ePrivacy and CCPA compliance - CSP usage for Vimeo Embedded Videos SDK
support frames, JS SDK, Froogaloop integration - Using CSP for AppNexus (now Xandr)
AppNexus support for custom retargeting - Using CSP for Mixpanel
support analytics tool with SDK/JS to collect client-side data - Using CSP for Font Awesome
toolkit support for fonts and icons over CSS and Less - Using CSP for Google reCAPTCHA
reCAPTCHA support for fraud and bot protection - CSP usage for Bootstrap CDN
Bootstrap support for CSS frameworks - Using CSP for HubSpot
Hubspot support with many features, used for monitoring and mkt functionality - Using CSP for Hotjar
Hotjar tracker support for analytics and metrics - Using CSP for WP.com
support for wp.com hosting - Using CSP for Akamai mPulse
support for Akamai mPulse, for origin and perimeter integrations - CSP usage for Cloudflare – Rocket-Loader & Mirage
support for Mirage libraries for performance acceleration - Using CSP for Cloudflare – CDN.js
Cloudflare’s open CDN support with multiple libraries - Using CSP for jsDelivr
support jsDelivr free CDN for Open Source
Headers Security Advanced & HSTS WP is based on the OWASP CSRF standard to protect your wordpress site. Using the OWASP CSRF standard, once the plugin is installed, you can customize CSP rules for full CSRF mitigation. The site will be secure despite having other vulnerable plugins (CSRF).
Integration with Sentry, Report URI, URIports and Datadog
Sentry is a well-known platform for monitoring and tracking errors in applications. By integrating Sentry with our plugin, users can:
* Receive detailed reports on content security policy (CSP) violations.
* Monitor and analyze JavaScript exceptions occurring on their site.
* Benefit from advanced tools for proactive troubleshooting.
Monitoring and Integration with Sentry, Datadog and URI Reports for optimal security.
All Free Features
The Headers Security Advanced & HSTS WP version includes all the free features.
Nous avons mis en place FLoC (Federated Learning of Cohorts), en utilisant les meilleures pratiques. Tout d’abord, en utilisant Headers Security Advanced & HSTS WP empêche le navigateur d’inclure votre site dans le « calcul de cohorte » sur FLoC (Federated Learning of Cohorts). Cela signifie que rien ne peut appeler document.interestCohort() pour obtenir l’ID FLoC du client actuellement utilisé. Évidemment, cela ne fait rien en dehors de votre site actuellement visité et ne « désactive » pas FLoC sur le client au-delà de cette portée.
Même si FLoC est encore assez nouveau et pas encore largement supporté, en tant que programmeurs nous pensons que les éléments de protection de la vie privée sont importants, donc nous avons choisi de vous donner la fonctionnalité de ne pas être inscrit à FLoC ! Nous avons créé une fonction spéciale de « blocage automatique de FLoC », en essayant de toujours offrir le meilleur outil avec la protection de la vie privée et la cybersécurité comme cibles principales.
Analysez votre site avant et après avoir activé Headers Security Advanced & HSTS WP les en-têtes de sécurité sont auto-configurés selon les meilleures pratiques HTTP Security Headers et HTTP Strict Transport Security/HSTS.
- Vérifier les en-têtes de sécurité HTTP sur securityheaders.com
- Vérifiez HTTP Strict Transport Security/HSTS à hstspreload.org
- Vérifiez WebPageTest à webpagetest.org
- Vérifiez le site web de test HSTS gf.dev/hsts-test
- Check CSP test website csper.io/evaluator
- Check CSP Evaluator csp-evaluator.withgoogle.com
- CSP Content Security Policy Generator addons.mozilla.org
Cette extension est mise à jour périodiquement, notre support limité est gratuit, nous sommes disponibles pour vos retours (bogues, problèmes de compatibilité ou recommandations pour les prochaines mises à jour). Nous sommes généralement rapides :-D.
Captures d’écran
Installation
Italien
- Vai in Plugin ‘Aggiungi nuovo’.
- Cerca Headers Security Advanced & HSTS WP.
- Cerca questo plugin, scaricalo e attivalo.
- Vai in ‘impostazioni’ > ‘Headers Security Advanced & HSTS WP’. Per personalizzare le intestazioni.
- Puoi cambiare questa opzione quando vuoi, Headers Security Advanced & HSTS WP viene impostato in automatico.
ANGLAIS
- Go to Plugins ‘Add New’.
- Search for Headers Security Advanced & HSTS WP.
- Search for this plugin, download and activate it.
- Go to ‘settings’ > ‘Headers Security Advanced & HSTS WP’. To customize headers.
- You can change this option whenever you want, Headers Security Advanced & HSTS WP is set automatically.
FRANÇAIS
- Allez dans Extensions/Ajouter.
- Recherchez Headers Security Advanced & HSTS WP.
- Recherchez cette extension, téléchargez-la et activez-la.
- Allez dans ‘settings’ > ‘Headers Security Advanced & HSTS WP’. Pour personnaliser les en-têtes
- Vous pouvez modifier cette option quand vous le souhaitez, Headers Security Advanced & HSTS WP est réglé automatiquement.
DEUTSCH
- Gehen Sie zu Plugins ‘Neu hinzufügen’.
- Suchen Sie nach Headers Security Advanced & HSTS WP.
- Suchen Sie nach diesem Plugin, laden Sie es herunter und aktivieren Sie es.
- Gehen Sie zu « Einstellungen » > « Kopfzeilen Sicherheit Erweitert & HSTS WP ». So passen Sie die Kopfzeilen an
- Sie können diese Option jederzeit ändern, Headers Security Advanced & HSTS WP wird automatisch eingestellt.
FAQ
-
What will Report URI monitor for me?
-
Report URI will monitor content security policy (CSP) violations and provide detailed reports on detected violations.
-
What will Datadog monitor for me?
-
Datadog will monitor content security policy (CSP) violations and other security and performance metrics of your site.
-
Where can I find my Datadog API Key?
-
You can find your Datadog API Key in the « API Keys » section under « Integrations » in the Datadog control panel. Once the plug-in is activated it performs a test (before and after): Manage CSP reporting with Datadog
-
What will Sentry monitor for me?
-
Sentry will monitor and log content security policy (CSP) violations and other JavaScript exceptions that occur on your site.
-
How can I configure Sentry integration with the plugin?
-
- Log in to your Sentry dashboard.
- Click on the « Projects » menu item.
- Select the project you have created.
- Click on the gear icon to open project settings.
- In the project settings, go to the « SDK SETUP » section.
- Click on « Security Headers ».
- Copy the automatically generated « REPORT URI » URL and paste it into the « CSP Report URI » field in the plugin settings. Example Sentry Report URI (e.g.,
https://<your_org>.sentry.io/api/<project_id>/security/?sentry_key=<key>
). - The plugin will initialize Sentry and send CSP reports to Sentry.
-
How can I configure URIports integration with the plugin?
-
- Log in to your Sentry dashboard.
- Click on the « User Icon » at the top right of your screen.
- Click « Settings ».
- Add the domains you want to monitor to the « Monitored Domains » section on the settings page.
- Click on « Security Headers ».
- Copy the automatically generated « URIports » URL and paste it into the « CSP Report URI » field in the plugin settings. Example URIports Report URI (e.g.,
https://account-subdomain.uriports.com/reports
). - The plugin will initialize URIports and send CSP reports to URIports.
-
Why did you choose to integrate with Sentry, URIports, Datadog, and Report URI?
-
I chose Sentry, URIports, Datadog, and Report URI for integration with this plugin because they are highly reputable and functional platforms in the field of security monitoring. Here’s a brief overview of each:
Sentry
Sentry is a well-known platform for monitoring and tracking errors and exceptions in applications. It provides comprehensive tools for logging and analyzing JavaScript errors, making it an excellent choice for monitoring Content Security Policy (CSP) violations. By integrating with Sentry, users can benefit from detailed error reports and proactive issue resolution.
Datadog
Datadog is a powerful platform for monitoring infrastructure, applications, and logs. It offers extensive capabilities for tracking security and performance metrics, including CSP violations. The integration with Datadog allows users to gain insights into the health and security of their websites, providing real-time monitoring and alerting features that are essential for maintaining a secure and performant environment.
Report URI
Report URI is a dedicated service for collecting and analyzing security violation reports, including CSP, HPKP, and other security headers. It is designed specifically to handle large volumes of security reports and provide detailed analytics and visualizations. By using Report URI, users can easily monitor and analyze CSP violations, helping them to quickly identify and mitigate potential security threats.
Each of these platforms offers unique strengths and capabilities, making them ideal choices for comprehensive security monitoring and reporting. By integrating with these well-established services, we aim to provide users with reliable and effective tools to enhance the security of their WordPress websites.
URIports
URIports is a well-known platform for monitoring and tracking errors and exceptions in applications. It provides comprehensive tools for logging and analyzing JavaScript errors, making it an excellent choice for monitoring Content Security Policy (CSP) violations. By integrating with URIports, users can benefit from detailed error reports and proactive issue resolution.
-
Can I view CSP reports directly in Sentry?
-
Yes, all CSP reports will be sent to Sentry, where you can view and analyze them in the Sentry control panel.
-
Comment obtenir une note A+ ?
-
Pour obtenir la note A+, votre site doit émettre tous les en-têtes de réponse HTTP que nous vérifions. Cela indique un haut niveau d’engagement à améliorer la sécurité de vos visiteurs.
-
Quels sont les en-têtes recommandés ?
-
Pour une connexion HTTP, nous obtenons Content-Security-Policy, X-Content-Type-Options, X-Frame-Options et X-XSS-Protection. Via une connexion HTTPS, la présence de deux en-têtes supplémentaires est vérifiée, à savoir Strict-Transport-Security et Public-Key-Pins.
- Une fois l’extension activée, elle effectue un test (avant et après) : https://securityheaders.com/
-
L’extension peut-elle ralentir le site ?
-
Non, Headers Security Advanced & HSTS WP est rapide, sécurisé et n’affecte pas le référencement et la vitesse de votre site web.
-
Qu’est-ce que HSTS (Strict Transport Security) ?
-
Il a été créé comme solution pour forcer le navigateur à utiliser des connexions sécurisées lorsqu’un site fonctionne en HTTPS. Il s’agit d’un en-tête de sécurité qui est ajouté au serveur Web et qui se reflète dans l’en-tête de réponse sous la forme Strict-Transport-Security. HSTS est important car il permet de remédier aux anomalies suivantes :
-
Contrôle avant et après l’utilisation de Preload HSTS
-
Cette étape est importante pour soumettre votre site Web et/ou votre domaine à une liste HSTS approuvée. Google compile officiellement cette liste et elle est utilisée par Chrome, Firefox, Opera, Safari, IE11 et Edge. Vous pouvez faire suivre votre site au répertoire officiel de préchargement HSTS. (‘https://hstspreload.org/’)
-
Comment utiliser HTTP Strict Transport Security (HSTS) ?
-
Si vous souhaitez utiliser Preload HSTS pour votre site, vous devez remplir quelques conditions avant de pouvoir l’activer.
- Disposer d’un certificat SSL valide. Vous ne pouvez rien faire de tout cela sans lui.
- Vous devez rediriger tout le trafic HTTP vers HTTPS (recommandé via des redirections 301 permanentes). Cela signifie que votre site doit être uniquement en HTTPS.
- Vous devez également servir tous les sous-domaines en HTTPS. Si vous avez des sous-domaines, vous aurez besoin d’un certificat SSL.
L’en-tête HSTS de votre domaine de base (par exemple : exemple.com) est déjà configuré ; il vous suffit d activer l’extension.
Si vous souhaitez vérifier l’état HSTS de votre site, vous pouvez le faire ici : https://hstspreload.org/
-
Puis-je signaler un bogue ou demander une fonctionnalité ?
-
You can report bugs or request new features right support@tentacleplugins[dot]com
-
Désactiver FLoC, la technologie publicitaire de Google
-
FLoC est un méga-traqueur qui surveille l’activité des internautes sur tous les sites, stocke les informations dans le navigateur, puis utilise l’apprentissage automatique pour placer les internautes dans des cohortes ayant des intérêts similaires. De cette façon, les annonceurs peuvent cibler des groupes de personnes ayant des intérêts similaires. De plus, selon les propres tests de Google, FLoC permet d’obtenir au moins 95 % de conversions en plus que les cookies.
-
Qui désactive FLoC par Google ?
-
Scott Helme a signalé qu’à la date du 3 mai, 967 domaines sur un million avaient déjà désactivé le raccourci d’intérêt de FLoC dans leur en-tête Permissions-Policy. Cette liste comprend des sites importants comme The Guardian et IKEA.
-
Do you use CloudFlare and the Headers Security Advanced & HSTS WP plugin?
-
Are you experiencing any anomalies after a plugin update? If yes, please follow these instructions: clear the cache directly to the CloudFlare Client Area
- Log in to your Cloudflare dashboard, and select your account and domain.
- Select Caching > Configuration.
- Under Cache Purge, select Custom Purge. The custom purge window will be displayed.
- Under Purge by, select URL.
- Enter the appropriate values in the text field using the format shown in the example.
- Run through the additional instructions to complete the form.
- Review the data entered.
- Click Delete.
This will cause the cloudFlare
Avis
Contributeurs/contributrices & développeurs/développeuses
« Headers Security Advanced & HSTS WP » est un logiciel libre. Les personnes suivantes ont contribué à cette extension.
Contributeurs“Headers Security Advanced & HSTS WP” a été traduit dans 5 locales. Remerciez l’équipe de traduction pour ses contributions.
Traduisez « Headers Security Advanced & HSTS WP » dans votre langue.
Le développement vous intéresse ?
Parcourir le code, consulter le SVN dépôt, ou s’inscrire au journal de développement par RSS.
Journal
5.0.40
I don’t want to tell you what to do, but here’s the thing: When you update the Headers Security Advanced & HSTS WP plugin, you don’t just click a button, you enter a world of enhanced security and performance.
With version 5.0.40, I have gone above and beyond to ensure that your experience is nothing short of exceptional. I have eliminated numerous bugs, improved annoying pixels, and updated the graphics in a sleek and modern way. The result? A plugin that not only looks great, but works even better.
But that’s not all. This update brings seamless integration with the industry’s leading security monitoring platforms-Sentry, Datadog, and Report URI. These integrations offer enhanced reporting capabilities, providing detailed information on content security policy (CSP) violations and improving site security.
- Preparation: Coming in the next updates is a new interface optimized to the smallest detail;
- Fixed: Fixed a critical error that occurred when the flush_rules() function was called on a null object, causing the error;
- Fixed: Fixed a problem that could occur on a small user base by blocking synchronous requests and disabling features, this only from Chrome browser;
By updating to 5.0.40, you’re not just improving your site’s security – you’re optimizing it with the best tools available. Our goal is to provide you with the most beautiful, fastest, and most impressive plugin experience around. So, shall we get started? Hit « update » and step into a new era of security and performance with Headers Security Advanced & HSTS WP. Enjoy the upgrade!