J'ai Apache. J'ai mis Header set X-Frame-Options "SAMEORIGIN" et le site se charge.

Il y a plus moderne comme configuration ?

Oui : Le header X-Frame-Options est avantageusement remplacé par une entrée frame-ancestors dans le header Content-Security-Policy
De même pour le header X-XSS-Protection qui ne sert plus (voire pourrait être dangereux), qui est remplacé par un header Content-Security-Policy bien configuré

(le header Content-Security-Policy interdit le chargement des ressources ou les actions qui sont déterminées par l'administrateur du site comme n'étant jamais utilisées en temps normal, ce qui permet de bloquer la grande majorité des attaques par injection de code)

Après, encore une fois pour un site comme hertzien c'est vraiment du bonus, c'est plus utile (mais moins trivial à correctement configurer) pour le forum en lui-même