WordPressのサイトヘルスで表示されたおすすめの改善を実施

Security Binary Binary Code Castle  - geralt / Pixabay
この記事は約4分で読めます。

サイトヘルスにおすすめの改善が表示された

WordPress、いろんな機能が追加されていますね。
その機能の一つ、サイトヘルスを確認したところ、

推奨セキュリティヘッダーがインストール済みではありません

推奨セキュリティヘッダーがインストール済みではありません

このウェブサイトは、すべての推奨するセキュリティヘッダーを送信していません。

  • Upgrade Insecure Requests
  • X-XSS protection
  • X-Content Type Options
  • Referrer-Policy
  • X-Frame-Options
  • Permissions-Policy
  • HTTP Strict Transport Security

と表示されていました。

Security Headersで状態を確認

ひとまず、こちら

Analyse your HTTP response headers
Quickly and easily assess the security of your HTTP response headers

で、Headerの状態を確認してみたところ、

Security Report Summary F

Security Report Summary F

と、ダメダメな状態。

ひとまず一気に対策をしましょう

と言う事で、いろんなサイトを確認しつつ、対策を実施しました。

対策したいドメインのルートにある、.htaccessを何らかのエディタを使用して編集開始。
下記コードを.htaccessに貼り付けます。

### Security Header Setting
# HTTP Strict Transport Security
Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS

# Upgrade Insecure Requests
Header always set Content-Security-Policy "upgrade-insecure-requests"

# X-Content Type Options
Header always set X-Content-Type-Options "nosniff"

# X-XSS protection
Header always set X-XSS-Protection "1; mode=block"

# Referrer-Policy
Header always set Referrer-Policy: "no-referrer-when-downgrade"

# X-Frame-Options
Header always append X-Frame-Options SAMEORIGIN

# Permissions-Policy
	Header always set Permissions-Policy "geolocation=(); midi=();notifications=();push=();sync-xhr=();accelerometer=(); gyroscope=(); magnetometer=(); payment=(); camera=(); microphone=();usb=(); xr=();speaker=(self);vibrate=();fullscreen=(self);"  

### END Security Header Setting

対策実施後

サイトでリロードして、もう一度Security Headersで確認したところ、

Security Report Summary A+

Security Report Summary A+

と、バッチリ改善しました。

まだ、やることはあるけど

あとは、未使用プラグインを削除してくれってメッセージがでてますが、たまに使うので、このメッセージは無視しようかなと。

ひとまず、一つずつ改善して行ければなと。

Apacheセキュリティ
本書はApacheベースのシステムをセキュリティで保護するために必要な情報をすべて盛り込んだ書籍です。 Apacheセキュリティの原則、SSL、サービス妨害攻撃、サーバの共有、アクセス制御など基礎的なことから、インフラストラクチャ、 Web...
タイトルとURLをコピーしました