Entêtes de sécurité qui se suppriment

JeremyH14 2022-06-23 10:33:09 UTC #1

Bonjour à toutes et à tous,

Mon nom de domaine est : https://petite-manivelle.com/

Et j'utilise l'offre: perso2014

Je rencontre la problématique suivante : J'ai inséré des entêtes de sécurités dans le fichier htaccess qui sont les suivants :

Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade

Header always set Permissions-Policy "geolocation=(), midi=(),sync-xhr=(),accelerometer=(), gyroscope=(), magnetometer=(), camera=(), fullscreen=(self)"

Une fois ces entêtes insérés, le site obtient la lettre A sur https://securityheaders.com/ mais ces entêtes disparaissent au bout de 24-48h et la note repasse en F. Auriez-vous une solution afin de les conserver de manière définitive ?

Merci d'avance et bonne journée.

Fritz2cat 2022-06-23 10:58:12 UTC #2

Bonjour
https://www.ssllabs.com/ssltest/analyze.html?d=petite%2dmanivelle.com&s=146.59.209.152

Vous ne pourriez pas faire mieux que B chez Qualys.
En effet OVH supporte toujours TLS1.0 et TLS1.1 afin de ne pas se couper d'une partie du monde où l'informatique est parfois "un peu beaucoup" à la traîne.

JeremyH14 2022-06-23 12:02:07 UTC #3

Malheureusement, cette note retombe sur un F aprés 24h-48h. Les entêtes de sécurités disparaissent du fichier htaccess. La est mon problème.

TTY 2022-06-23 12:27:03 UTC #4

Bonjour,
Vous voulez dire que le contenu de votre fichier .htaccess change tout seul ?

JeremyH14 2022-06-23 13:25:55 UTC #5

Oui exactement. les balises suivantes se suppriment :

Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade

Header always set Permissions-Policy "geolocation=(), midi=(),sync-xhr=(),accelerometer=(), gyroscope=(), magnetometer=(), camera=(), fullscreen=(self)"

TTY 2022-06-23 13:31:51 UTC #6

Regardez la date et l'heure du fichier peut déjà vous donner une indication.
Vous êtes avec un Wordpress donc,
Je regarderai si un plugin ne ré-écrit pas le fichier .htaccess
Ou alors peut être un collaborateur ?
Si non, vous devriez envisager que votre site à été piraté.

Fritz2cat 2022-06-23 13:38:33 UTC #7

Si votre htaccess se modifie derrière votre dos, et que vous n'avez pas été mettre vos modifications entre le délimiteur Begin et End de Wordpress, c'est hautement suspect, ça.

TTY 2022-06-23 13:40:25 UTC #8

Oui bien vue !

JeremyH14 2022-06-23 13:58:34 UTC #9

Les entêtes sont biens positionnés entres le Begin et End Wordpress.. Je vous joint la partie du htacces concernée :

# BEGIN WordPress

# Les directives (lignes) entre « BEGIN WordPress » et « END WordPress » sont générées

# dynamiquement, et doivent être modifiées uniquement via les filtres WordPress.

# Toute modification des directives situées entre ces marqueurs sera surchargée.

RewriteEngine On
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade

Header always set Permissions-Policy "geolocation=(), midi=(),sync-xhr=(),accelerometer=(), gyroscope=(), magnetometer=(), camera=(), fullscreen=(self)"

END WordPress

BEGIN ShortPixelWebp

Les directives (lignes) entre « BEGIN ShortPixelWebp » et « END ShortPixelWebp » sont générées

dynamiquement, et doivent être modifiées uniquement via les filtres WordPress.

Toute modification des directives situées entre ces marqueurs sera surchargée.

END ShortPixelWebp

Fritz2cat 2022-06-23 14:12:29 UTC #10

Ben voilà.
C'est chasse gardée Wordpress et vous n'avez rien à mettre là.

Vous avez vous-même retranscrit en grandes lettres:

Les directives (lignes) entre « BEGIN WordPress » et « END WordPress » sont générées

dynamiquement, et doivent être modifiées uniquement via les filtres WordPress.

Toute modification des directives situées entre ces marqueurs sera surchargée.

JeremyH14 2022-06-23 14:21:02 UTC #11

Daccord. Comment puis je les insérer dans le htaccess si wordpress ne me permet pas de l'intégrer ? Car si je comprends bien, c'est à cet emplacement qu'il fallait les positionner. Navré si ma question est idiote. Je suis en plein apprentissage.

Gaston_Phone 2022-06-23 14:25:33 UTC #12

C'est au tout début du fichier .htaccess qu'il faut ajouter tes redirections.

Voir dans mon guide, paragraphe : M - Pour finir : la modification du fichier /www/.htaccess pour la redirection de http vers https.
Profitez-en pour lire attentivement les paragraphes A à J de ce guide.

__________________________________________________________________________________

Voici un petit guide que j'ai écrit et qui pourrait vous apporter des éclaircissements pour une Installation complète et propre de votre Site.

Guide - Comprendre la Relation Domaine > Zone DNS > Hébergement > Dossier du site *

Voir --> CMS - WordPress - Guide Installation chez OVH
Contrôler votre situation en suivant attentivement les paragraphes : A à J

N'hésitez pas à me faire un retour : positif ou négatif.
C'est comme cela que je peaufine mon Guide.

Si ce guide vous a bien aidé, n'hésitez pas à cliquer sur le bouton « j'aime »

JeremyH14 2022-06-23 15:45:56 UTC #13

Je vous remercie en effet certain élément sont plus précis et je n'ai pas perdu de temps pour conserver votre guide dans mes favoris.
En l'occurence, mon fichier htacces et remplit de plusieurs extensions ce qui ne m'aide pas a y voir très claire.
Je viens d'apporter cela au fichier :

RewriteEngine on
RewriteCond %{SERVER_PORT} 80
RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L,NE,QSA]

et j'ai retiré la redirection de l'appli really simple ssl qui était toujours présente malgré la suppression de l'app.
Je n'arrive toujours pas à insérer les entêtes de sécurités de manière fonctionnelle. Le scan obtient toujours un F. Pour information, j'ai tenté d'insérer les entêtes juste en dessous du morceau de code que vous m'avez conseillé d'intégrer pour la rediction. Selon vous les entêtes sont incorrectes ou c'est l'emplacement qui est mauvais ?

Voici les entêtes que je tente d'intégrer :

Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade

Header always set Permissions-Policy "geolocation=(), midi=(),sync-xhr=(),accelerometer=(), gyroscope=(), magnetometer=(), camera=(), fullscreen=(self)"

Gaston_Phone 2022-06-23 16:56:43 UTC #14

Pourquoi vous obstinez vous à rajouter tout ça dans le fichier .htaccess

Le SSL LET ENCRYPT de OVH suffit amplement.

Fritz2cat 2022-06-24 08:32:58 UTC #15

@Gaston_Phone, si @JeremyH14 veut implémenter HSTS et anti cross-site embedding, c'est son droit le plus strict. Ce n'est pas parce que tu ne comprends pas que les autres ne peuvent pas le faire.

Si @JeremyH14 ne comprend pas non plus ce qu'il fait et pourquoi, parce qu'un site parano (parano et demi) touche des putaclicks chez Probely.com alors il vaudrait mieux ne rien faire.

@JeremyH14 savez-vous quelles sont les conséquences de HSTS ? Savez-vous quel est l'impact de X-Frame DENY ?

Propulsé par Discourse, le rendu est meilleur avec le JavaScript activé

OVHcloud Community

Bienvenue sur votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres d'OVHcloud Community.