WordPressのサイトヘルスで表示されたおすすめの改善を実施

Security Binary Binary Code Castle  - geralt / Pixabay
この記事は約4分で読めます。

サイトヘルスにおすすめの改善が表示された

WordPress、いろんな機能が追加されていますね。
その機能の一つ、サイトヘルスを確認したところ、

推奨セキュリティヘッダーがインストール済みではありません

推奨セキュリティヘッダーがインストール済みではありません

このウェブサイトは、すべての推奨するセキュリティヘッダーを送信していません。

  • Upgrade Insecure Requests
  • X-XSS protection
  • X-Content Type Options
  • Referrer-Policy
  • X-Frame-Options
  • Permissions-Policy
  • HTTP Strict Transport Security

と表示されていました。

Security Headersで状態を確認

ひとまず、こちら

Analyse your HTTP response headers
Quickly and easily assess the security of your HTTP response headers

で、Headerの状態を確認してみたところ、

Security Report Summary F

Security Report Summary F

と、ダメダメな状態。

ひとまず一気に対策をしましょう

と言う事で、いろんなサイトを確認しつつ、対策を実施しました。

対策したいドメインのルートにある、.htaccessを何らかのエディタを使用して編集開始。
下記コードを.htaccessに貼り付けます。

### Security Header Setting
# HTTP Strict Transport Security
Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS

# Upgrade Insecure Requests
Header always set Content-Security-Policy "upgrade-insecure-requests"

# X-Content Type Options
Header always set X-Content-Type-Options "nosniff"

# X-XSS protection
Header always set X-XSS-Protection "1; mode=block"

# Referrer-Policy
Header always set Referrer-Policy: "no-referrer-when-downgrade"

# X-Frame-Options
Header always append X-Frame-Options SAMEORIGIN

# Permissions-Policy
	Header always set Permissions-Policy "geolocation=(); midi=();notifications=();push=();sync-xhr=();accelerometer=(); gyroscope=(); magnetometer=(); payment=(); camera=(); microphone=();usb=(); xr=();speaker=(self);vibrate=();fullscreen=(self);"  

### END Security Header Setting

対策実施後

サイトでリロードして、もう一度Security Headersで確認したところ、

Security Report Summary A+

Security Report Summary A+

と、バッチリ改善しました。

まだ、やることはあるけど

あとは、未使用プラグインを削除してくれってメッセージがでてますが、たまに使うので、このメッセージは無視しようかなと。

ひとまず、一つずつ改善して行ければなと。

https://amzn.to/3Py6TGU
タイトルとURLをコピーしました