【IT】Wordpressのセキュリティ対策
皆さま
こんにちは
自身の管理するレンタルサーバ(WordPress)
のセキュリティ状況を再度確認します。
先ず、以下のサイトで現状を確認します。
https://securityheaders.com/
※注意: 「Hide results」に必ずチェックを入れてください。
入れないと結果がさらされます。
以前、対策して「A+」判定となっていた筈ですが、
テーマを入れ替えした際に先祖帰りをしたようです。
あらためて対策をします。
管理サイトより(レンタルサーバにより操作方法は異なります。)
1.レンタルサーバーコントロールパネルにログインします。
2.ファイルマネージャーを選択します。
3.httaccessを開きます。(右クリック→ファイル編集→テキストエリア)
4.以下の対策内容を追加します。
・
・
・
</IfModule>
#END COCOON HTACCESS
# Security Measures Start →ここから
##Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS
Header always set Strict-Transport-Security: "max-age=31536000; includeSubDomains"
Header always set Content-Security-Policy "upgrade-insecure-requests"
##Header always set X-Content-Type-Options "nosniff"
Header always set X-XSS-Protection "1; mode=block"
Header always set Expect-CT "max-age=7776000, enforce"
Header always set Referrer-Policy: "no-referrer-when-downgrade"
Header always append X-Frame-Options SAMEORIGIN
Header always set Permissions-Policy "geolocation=(); midi=();notifications=();push=();sync-xhr=();accelerometer=(); gyroscope=(); magnetometer=(); payment=(); camera=(); microphone=();usb=(); xr=();speaker=(self);vibrate=();fullscreen=(self);"
# Security Measures End →ここまで
※Strict-Transport-Security 対策ですが、
「Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS 」
だと「securityheaders.com」のチェックにパスしませんでした。
サイトの案内を参考に以下に変更しております。
「Header always set Strict-Transport-Security: "max-age=31536000; includeSubDomains"」
最終的な結果は、以下となりました。
<<追記>>
チェックサイトで
Warnings
X-Content-Type-OptionsThere was a duplicate X-Content-Type-Options header.
となっており、サイト側で既に対策が取られており、重複しておりましたので
「Header always set X-Content-Type-Options "nosniff"」はコメントアウトとしました。
では