サイトヘルスにおすすめの改善が表示された
WordPress、いろんな機能が追加されていますね。
その機能の一つ、サイトヘルスを確認したところ、
このウェブサイトは、すべての推奨するセキュリティヘッダーを送信していません。
- Upgrade Insecure Requests
- X-XSS protection
- X-Content Type Options
- Referrer-Policy
- X-Frame-Options
- Permissions-Policy
- HTTP Strict Transport Security
と表示されていました。
Security Headersで状態を確認
ひとまず、こちら
Analyse your HTTP response headers
Quickly and easily assess the security of your HTTP response headers
で、Headerの状態を確認してみたところ、
と、ダメダメな状態。
ひとまず一気に対策をしましょう
と言う事で、いろんなサイトを確認しつつ、対策を実施しました。
対策したいドメインのルートにある、.htaccessを何らかのエディタを使用して編集開始。
下記コードを.htaccessに貼り付けます。
### Security Header Setting # HTTP Strict Transport Security Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS # Upgrade Insecure Requests Header always set Content-Security-Policy "upgrade-insecure-requests" # X-Content Type Options Header always set X-Content-Type-Options "nosniff" # X-XSS protection Header always set X-XSS-Protection "1; mode=block" # Referrer-Policy Header always set Referrer-Policy: "no-referrer-when-downgrade" # X-Frame-Options Header always append X-Frame-Options SAMEORIGIN # Permissions-Policy Header always set Permissions-Policy "geolocation=(); midi=();notifications=();push=();sync-xhr=();accelerometer=(); gyroscope=(); magnetometer=(); payment=(); camera=(); microphone=();usb=(); xr=();speaker=(self);vibrate=();fullscreen=(self);" ### END Security Header Setting
対策実施後
サイトでリロードして、もう一度Security Headersで確認したところ、
と、バッチリ改善しました。
まだ、やることはあるけど
あとは、未使用プラグインを削除してくれってメッセージがでてますが、たまに使うので、このメッセージは無視しようかなと。
ひとまず、一つずつ改善して行ければなと。
https://amzn.to/3Py6TGU