見出し画像

【IT】Wordpressのセキュリティ対策

皆さま
こんにちは

自身の管理するレンタルサーバ(WordPress)
のセキュリティ状況を再度確認します。

先ず、以下のサイトで現状を確認します。
https://securityheaders.com/
※注意: 「Hide results」に必ずチェックを入れてください。
     入れないと結果がさらされます。

以前、対策して「A+」判定となっていた筈ですが、
テーマを入れ替えした際に先祖帰りをしたようです。

あらためて対策をします。

管理サイトより(レンタルサーバにより操作方法は異なります。)
1.レンタルサーバーコントロールパネルにログインします。
2.ファイルマネージャーを選択します。
3.httaccessを開きます。(右クリック→ファイル編集→テキストエリア)
4.以下の対策内容を追加します。

           ・
           ・
           ・
</IfModule>
#END COCOON HTACCESS

# Security Measures Start     →ここから
##Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS
Header always set Strict-Transport-Security: "max-age=31536000; includeSubDomains"
Header always set Content-Security-Policy "upgrade-insecure-requests"
##Header always set X-Content-Type-Options "nosniff"
Header always set X-XSS-Protection "1; mode=block"
Header always set Expect-CT "max-age=7776000, enforce"
Header always set Referrer-Policy: "no-referrer-when-downgrade"
Header always append X-Frame-Options SAMEORIGIN
Header always set Permissions-Policy "geolocation=(); midi=();notifications=();push=();sync-xhr=();accelerometer=(); gyroscope=(); magnetometer=(); payment=(); camera=(); microphone=();usb=(); xr=();speaker=(self);vibrate=();fullscreen=(self);"  
# Security Measures End        →ここまで

※Strict-Transport-Security 対策ですが、
「Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS 」
だと「securityheaders.com」のチェックにパスしませんでした。
サイトの案内を参考に以下に変更しております。
「Header always set Strict-Transport-Security: "max-age=31536000; includeSubDomains"」

最終的な結果は、以下となりました。

<<追記>>
チェックサイトで
Warnings
X-Content-Type-OptionsThere was a duplicate X-Content-Type-Options header.
となっており、サイト側で既に対策が取られており、重複しておりましたので
「Header always set X-Content-Type-Options "nosniff"」はコメントアウトとしました。

では

いいなと思ったら応援しよう!