Guide complet pour vérifier la sécurité de votre site : SSL/TLS, en-têtes HTTP, ports exposés, fichiers sensibles, CVE, clés API exposées. Analyse gratuite en 60s.
La sécurité d'un site web est invisible jusqu'au jour où elle est compromise. Un certificat SSL expiré, un fichier .env accessible publiquement, un header HTTP manquant — chacun de ces problèmes peut exposer vos données et celles de vos utilisateurs.
Voici les 7 points à vérifier pour avoir un site sécurisé en 2026.
HTTPS est le minimum. Vérifiez que votre certificat est valide, non expiré, et que votre site redirige bien de HTTP vers HTTPS. Les certificats Let's Encrypt expirent tous les 90 jours — configurez le renouvellement automatique.
Risque si absent : données transmises en clair, avertissement navigateur, pénalité SEO Google.
Ces headers sont envoyés par votre serveur à chaque réponse. Ils instruisent le navigateur sur ce qu'il peut exécuter.
| Header | Rôle | Valeur minimale |
|---|---|---|
| HSTS | Force HTTPS | max-age=31536000 |
| CSP | Bloque les scripts non autorisés (XSS) | default-src 'self' |
| X-Frame-Options | Protège contre le clickjacking | DENY |
| X-Content-Type | Bloque le MIME sniffing | nosniff |
| Referrer-Policy | Contrôle les infos envoyées aux tiers | strict-origin |
Un scan de ports révèle les services en écoute sur votre serveur. Le port 22 (SSH) ouvert sur l'IP publique est une invitation aux attaques par force brute. Le port 3306 (MySQL) ouvert publiquement est une catastrophe en attente.
Règle : seuls les ports 80 et 443 doivent être accessibles publiquement. Tout le reste derrière un pare-feu ou VPN.
Des erreurs de configuration fréquentes exposent des fichiers qui ne devraient jamais être publics :
/.env — variables d'environnement avec clés API et mots de passe/phpinfo.php — configuration PHP complète (versions, chemins, modules)/.git/config — accès au repository Git, historique de commits/wp-config.php — identifiants base de données WordPress/backup.zip ou /dump.sql — sauvegardes complètesResidual Audit teste 40+ chemins sensibles connus automatiquement.
WordPress 5.x, jQuery 1.x, OpenSSL obsolète — chaque technologie a des versions vulnérables documentées dans la base CVE (Common Vulnerabilities and Exposures). Si votre site utilise une version avec une CVE critique, vous êtes une cible.
Residual Audit détecte les technologies utilisées et les croise avec la base CVE pour alerter sur les versions dangereuses.
Des développeurs commettent par erreur des clés API dans le HTML ou le JavaScript client-side. Ces clés (Google Maps API, Stripe publishable key, tokens AWS) sont visibles dans les sources de la page et scrapées par des bots en permanence.
À vérifier : inspectez votre code source (Ctrl+U) et cherchez des patterns comme AIza (Google), sk_live (Stripe), AKIA (AWS).
Votre IP est-elle sur une blacklist ? Votre domaine a-t-il été signalé comme phishing ? Ces informations impactent la délivrabilité de vos emails et potentiellement votre référencement.
Des services comme Spamhaus, SURBL et Google Safe Browsing maintiennent des listes de domaines et IP compromis. Residual Audit les interroge automatiquement.
Residual Audit teste ces 7 points automatiquement, sans compte, gratuitement. Lancez votre analyse de sécurité →
Residual Audit détecte les problèmes de performance, sécurité, SEO et RGPD en 60 secondes. Sans compte, sans téléchargement.
Lancer mon audit gratuit →