HTTP headers to improve web site security


Cette extension permet de configurer les différentes instructions d’en-tête incluses dans le protocole HTTP, ce qui permet une amélioration simple de la sécurité de votre site.

Cette extension permet d’activer les mesures suivantes :

  • HSTS (Strict-Transport-Security)
  • CSP (Content-Security-Policy / Politique de Sécurité du Contenu)
  • Mitigation du clickjacking (X-Frame-Options sur le site principal)
  • Protection XSS (X-XSS-Protection)
  • Désactivation du reniflage de contenu (X-Content-Type-Options)
  • Politique de référence
  • Expect-CT
  • Feature-Policy
  • Retirer l’information sur la version PHP utilisée de l’en-tête HTTP
  • Retirer l’information sur la version WordPress utilisée de l’en-tête HTTP est une source utile pour évaluer la sécurité de votre site web.

Comme toujours, assurez-vous de comprendre la signification de ces options et de faire des tests exhaustifs car certaines options peuvent engendrer un blocage de votre site.

Captures d’écran

  • Écran des réglages généraux
  • Écran des paramètres de la directive Content-Security-Policy.
  • Ecran de contu du .htaccess.


  1. Téléchargez les fichiers de l’extension dans le répertoire /wp-content/plugins/http-security ou installez directement l’extension via l’écran des extensions WordPress.
  2. Activez l’extension via l’écran « Extensions » dans WordPress.
  3. Utilisez l’écran Réglages -> HTTP Security pour configurer l’extension.


Comment savoir que l’extension fonctionne correctement ?

Vérifiez les en-têtes HTTP de votre site web.


8 avril 2020
As a rookie regarding WordPress security I was pretty lost about HTTP Security headers until I found this pluging. So far it seems to be working great for me, even though I had to do some extra research to set up the Content Security Policy and Feature Policy thanks to these links (even if they are a bit old). Maybe you could add them (or similar ressources) as references to create a CSP / feature policy for beginners like me ? Thanks Carl for the great plugin and keep up the good work !
24 décembre 2019
This plugin is easy to use. It is confined to a limited set of options to set the http headers. It seems that the most important ones have been chosen since testing my website after installing and setting the plugin yielded an A+ score on The only thing missings is cache-control; this would boost the performance of my website even more. Thanks to the maker of this plugin, I feel my website is safe and up-to-par with other safe websites like banking platforms.
22 novembre 2019
Well im was going crazy all around the web searching for a way to protect my header i attemp to do almost everyting thats on the web to achieve this but on every scan i got this message: To improve the security of your site against some types of XSS (cross-site scripting) attacks, it is recommended that you add the following header to your site: X-XSS-Protection: 1; mode=block It is supported by IE (Internet Explorer) and Chrome. You can enable it by modifying your Apache settings or your .htaccess file, and adding the following line to it: Header set X-XSS-Protection "1; mode=block" i even attemp to follow these instructions but even adding that code this warning was still showing well i installed this plugin and i will try it to see if it help with what i need to do buy i want to thank the plugin developer for this amazing tool playing around with the h.access file is no game, i will like to get in touch with this developer to check if im using the right configuration...
8 juillet 2019
If I could, I would give you 10 stars and dance at your wedding. You just saved me HOURS of work trying to figure out how to secure my site. After two hacks, I had enough and started securing it on my own. To slow and labor intensive (W3C school). Literally took me not even 5 minutes. So, THANK YOU, THANK YOU, THANK YOU.
30 mai 2019
Really easy to set up, a lot of different options but still not hard to get into. The plugin does exactly what it is meant to do and does a great job at it! Adding a CSP to your site is only a matter of minutes with the plugin, but is a great addition to make your website secure against a lot of different attacks. Thanks a lot for the plugin!
4 mars 2019
I've used this to implement http security headers on my WordPress site. Very easy to use and get good scores on evaluation sites. Content Security Policy seems to be an emerging technique to improve security. Its easy to implement using this plugin. Only one problem I've noticed: When I input data in the box for base-uri: and then check with Google CSP Evaluator it shoes all of the CSP values except for base-uri where it shows "base-uri;" regards of what's entered in the plugin. Base-uri doesn't fall back to the default-src directive so this shows up as an issue. Still deserves 5 stars for its ease of use.
Lire les 12 avis

Contributeurs & développeurs

« HTTP headers to improve web site security » est un logiciel libre. Les personnes suivantes ont contribué à cette extension.


“HTTP headers to improve web site security” a été traduit dans 8 locales. Remerciez l’équipe de traduction pour ses contributions.

Traduisez « HTTP headers to improve web site security » dans votre langue.

Le développement vous intéresse ?

Parcourir le code, consulter le SVN dépôt, ou s’inscrire au journal de développement par RSS.



  • Correction de quelques échappements de texte


  • Ajout d’échappement de textes maquants


  • Ajout d’échappement de textes maquants


  • Correction mineure


  • Amélioration de la normalisation des options


  • Correction mineure


  • Testé avec WordPress 5.4
  • Ajout du support de Feature-Policy


  • Testé avec WordPress 5.0


  • Ajout des instructions .htaccess


  • Testé avec WordPress 4.9


  • Ajout du support de Expect-CT
  • Amélioration de l’interface


  • Passage aux packs de langues


  • Ajout du support de la directive de politique de référence.
  • Ajout d’un nettoyage de la base de données à la désinstallation


  • Ajout de support pour toutes les directives Content-Security-Policy
  • Refonte de l’interface utilisateur


  • Ajout de l’activation du mode x-frame-options


  • Suppression de l’en-tête HSTS lors d’une connexion en HTTP


  • Correction de l’avertissement de syntaxe HSTS


  • Ajout du support de Content Security Policy (Politique de Sécurité du Contenu)


  • Ajout de notifications de failles critiques


  • Ajout de l’option max-age aux paramètres du protocole HSTS


  • Ajout de l’option de suppression de la version de WordPress de l’en-tête HTTP


  • Ajout de l’option de suppression de la version de PHP de l’en-tête HTTP


  • Ajout du lien pour soumettre le site au préchargement de la part des navigateurs
  • Réduction de HSTS max-age à un an


  • Ajout de la protection X-Frame-Options.
  • Ajout de la protection Added X-Content-Type-Options.
  • Ajout des options HSTS.


  • Ajout de la protection XSS.


  • Première version stable incluant le support de base du protocole HSTS.