wordpress.org

Weak points detected

• Prioritaire
  Domaine listé sur URIBL multi

  Le domaine apparaît sur la blacklist URIBL multi. Vos emails partiront en spam et vos visiteurs verront des avertissements.

  What to do: Contactez votre hébergeur ou votre développeur — ils sauront comment procéder.

  Show technical details →

  Suivez la procédure de délisting de URIBL multi. Identifiez d'abord la cause (site compromis, campagne de spam, ancien propriétaire).
• À planifier
  Pas de filtre contre l'injection de code malveillant

  Si un pirate trouve la moindre faille sur votre site, il peut injecter son propre code dans vos pages (vol de mots de passe, défiguration, redirection vers du contenu malveillant). Un garde-fou à activer.

  What to do: Demandez à votre développeur de mettre en place une « Content-Security-Policy ». C'est un peu plus subtil — il faut tester pour ne rien casser — mais ça vaut le coup.

  Show technical details →

  Déclarez une CSP restrictive adaptée à votre site. À défaut : `default-src 'self'`.
• Mineur
  Vos fichiers peuvent être mal interprétés par le navigateur

  Sans cette protection, un fichier uploadé sur votre site (image, document) pourrait être exécuté comme du code. Risque modéré mais facile à corriger.

  What to do: Demandez à votre dev d'ajouter le header « X-Content-Type-Options: nosniff » côté serveur. C'est une ligne dans la configuration.

  Show technical details →

  Ajoutez `X-Content-Type-Options: nosniff`.
• Mineur
  Vos liens externes fuient des informations

  Quand un visiteur clique sur un lien sortant, l'URL exacte de votre page est envoyée au site de destination — ce qui peut leaker des données sensibles (paramètres, identifiants en clair).

  What to do: Petit réglage : demandez à votre dev d'ajouter « Referrer-Policy: strict-origin-when-cross-origin » côté serveur. Sans risque, sans impact UX.

  Show technical details →

  Ajoutez `Referrer-Policy: strict-origin-when-cross-origin`.
• Mineur
  Vos emails ne sont pas signés numériquement

  Sans signature DKIM, vos vrais emails ont plus de risques de tomber en spam, et il est plus dur pour les destinataires de distinguer un faux email d'un vrai. À activer chez votre fournisseur d'email.

  What to do: Activez DKIM chez votre fournisseur email (Google Workspace, Microsoft 365, etc.). C'est généralement un simple toggle dans leurs paramètres avancés.

  Show technical details →

  Activez DKIM chez votre fournisseur mail (Google Workspace, Microsoft 365, Mailjet…) et publiez le record TXT fourni.
• Info
  Votre nom de domaine n'est pas protégé contre la falsification

  Un attaquant sophistiqué pourrait théoriquement détourner les visiteurs cherchant votre site vers un site malveillant. Risque rare mais facile à éliminer auprès de votre registrar de domaine.

  What to do: Connectez-vous chez votre fournisseur de domaine (OVH, Gandi, Cloudflare…) — DNSSEC s'active en 1 clic dans la fiche du domaine.

  Show technical details →

  Activez DNSSEC chez votre registrar / hébergeur DNS (Cloudflare, OVH, Gandi le font en 1 clic).

Create a free account to enable continuous monitoring, receive email alerts, and read detailed reports from our AI agent team.