Lors d’une récente lecture sur la sécurisation d’un site WordPress, je suis tombé sur cet outil en ligne :
En testant deux sites hébergés chez Ouvaton, j’obtiens les mêmes avertissements qu’en testant l’URL ouvaton.coop : https://securityheaders.com/?q=ouvaton.coop&followRedirects=on.
Y a-t-il quelque chose à faire globalement chez Ouvaton ?
Y a-t-il quelque chose à faire par chaque administrateur de site hébergé chez Ouvaton ?
Merci ! 
Bonjour,
Vous pouvez ajouter dans le fichier .htaccess du site des lignes comme ci-dessous :
# Security Headers
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
Header set X-Frame-Options "SAMEORIGIN"
Header set X-Content-Type-Options "nosniff"
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
Header set Referrer-Policy "same-origin"
Header set Feature-Policy "geolocation 'none'; vibrate 'none'"
Header set Content-Security-Policy "default-src https:; font-src https: data:; img-src https: data:; script-src https: 'unsafe-inline'; style-src https: 'unsafe-inline';"
</IfModule>
Il faut les adapter à votre site pour éviter de refuser des sources légitimes ou de désactiver des fonctionnalités nécessaires au site.
Attention si vous mettez en place le HSTS, si pour X raisons vous le retirez plus tard ou que le certificat n’est plus bon, votre site deviendra totalement inaccessible pour ceux qui l’auront visités avant.
Et les manipulations pour retirer des entrées HSTS se font côté navigateur sur le pc des visiteurs et c’est pas simple.
Ah oui, ça me rappelle l’activation HSTS pour Nextcloud qui empếchait l’accès à Sympa sur le même domaine.
Merci de l’avertissement !