Shared security audit

wptavern.com

Diagnostic run 4 d ago · 9 weak points

Sécurité correcte
81/100
1Prioritaire3À planifier3Mineur

Weak points detected

  • Prioritaire
    Domaine listé sur URIBL multi
    Le domaine apparaît sur la blacklist URIBL multi. Vos emails partiront en spam et vos visiteurs verront des avertissements.
    What to do: Contactez votre hébergeur ou votre développeur — ils sauront comment procéder.
    Show technical details →
    Suivez la procédure de délisting de URIBL multi. Identifiez d'abord la cause (site compromis, campagne de spam, ancien propriétaire).
  • À planifier
    Pas de filtre contre l'injection de code malveillant
    Si un pirate trouve la moindre faille sur votre site, il peut injecter son propre code dans vos pages (vol de mots de passe, défiguration, redirection vers du contenu malveillant). Un garde-fou à activer.
    What to do: Demandez à votre développeur de mettre en place une « Content-Security-Policy ». C'est un peu plus subtil — il faut tester pour ne rien casser — mais ça vaut le coup.
    Show technical details →
    Déclarez une CSP restrictive adaptée à votre site. À défaut : `default-src 'self'`.
  • À planifier
    Votre site est exposé aux pièges à clic
    Un site malveillant peut afficher le vôtre dans un cadre invisible et piéger vos visiteurs en leur faisant cliquer sur des boutons cachés (paiement, suppression, validation). Protection à activer.
    What to do: Petit ajout côté serveur : votre dev ou hébergeur ajoute « X-Frame-Options » dans la configuration. 1 ligne, 0 risque.
    Show technical details →
    Ajoutez `X-Frame-Options: SAMEORIGIN` pour prévenir le clickjacking.
  • À planifier
    Pas de politique anti-fraude email active
    DMARC dit aux services email (Gmail, Outlook…) comment traiter les emails frauduleux usurpant votre domaine. Sans lui, ils passent.
    What to do: Chez votre fournisseur DNS, ajoutez un « enregistrement DMARC ». Commencez en mode observation (« p=none ») pour ne rien casser, puis durcissez progressivement.
    Show technical details →
    Commencez par `v=DMARC1; p=none; rua=mailto:dmarc@votredomaine.fr` pour recevoir les rapports, puis passez à `p=quarantine` puis `p=reject`.
  • Mineur
    Vos fichiers peuvent être mal interprétés par le navigateur
    Sans cette protection, un fichier uploadé sur votre site (image, document) pourrait être exécuté comme du code. Risque modéré mais facile à corriger.
    What to do: Demandez à votre dev d'ajouter le header « X-Content-Type-Options: nosniff » côté serveur. C'est une ligne dans la configuration.
    Show technical details →
    Ajoutez `X-Content-Type-Options: nosniff`.
  • Mineur
    Vos liens externes fuient des informations
    Quand un visiteur clique sur un lien sortant, l'URL exacte de votre page est envoyée au site de destination — ce qui peut leaker des données sensibles (paramètres, identifiants en clair).
    What to do: Petit réglage : demandez à votre dev d'ajouter « Referrer-Policy: strict-origin-when-cross-origin » côté serveur. Sans risque, sans impact UX.
    Show technical details →
    Ajoutez `Referrer-Policy: strict-origin-when-cross-origin`.
  • Mineur
    Vos emails ne sont pas signés numériquement
    Sans signature DKIM, vos vrais emails ont plus de risques de tomber en spam, et il est plus dur pour les destinataires de distinguer un faux email d'un vrai. À activer chez votre fournisseur d'email.
    What to do: Activez DKIM chez votre fournisseur email (Google Workspace, Microsoft 365, etc.). C'est généralement un simple toggle dans leurs paramètres avancés.
    Show technical details →
    Activez DKIM chez votre fournisseur mail (Google Workspace, Microsoft 365, Mailjet…) et publiez le record TXT fourni.
  • Info
    Votre nom de domaine n'est pas protégé contre la falsification
    Un attaquant sophistiqué pourrait théoriquement détourner les visiteurs cherchant votre site vers un site malveillant. Risque rare mais facile à éliminer auprès de votre registrar de domaine.
    What to do: Connectez-vous chez votre fournisseur de domaine (OVH, Gandi, Cloudflare…) — DNSSEC s'active en 1 clic dans la fiche du domaine.
    Show technical details →
    Activez DNSSEC chez votre registrar / hébergeur DNS (Cloudflare, OVH, Gandi le font en 1 clic).
  • Info
    WordPress détecté
    Le site tourne sous WordPress. Les vulnérabilités connues (cœur + plugins) sont analysées.
    What to do: Contactez votre hébergeur ou votre développeur — ils sauront comment procéder.
Partager :