【IT】Wordpressのセキュリティ対策

2023年2月11日 11:40

皆さま
こんにちは

自身の管理するレンタルサーバ（WordPress）
のセキュリティ状況を再度確認します。

先ず、以下のサイトで現状を確認します。
https://securityheaders.com/
※注意：「Hide results」に必ずチェックを入れてください。
　　　　　入れないと結果がさらされます。

以前、対策して「A+」判定となっていた筈ですが、
テーマを入れ替えした際に先祖帰りをしたようです。

あらためて対策をします。

管理サイトより（レンタルサーバにより操作方法は異なります。）
１．レンタルサーバーコントロールパネルにログインします。
２．ファイルマネージャーを選択します。
３．httaccessを開きます。(右クリック→ファイル編集→テキストエリア）
４．以下の対策内容を追加します。

　　　　　　　　　　　・
　　　　　　　　　　　・
　　　　　　　　　　　・
</IfModule>
#END COCOON HTACCESS

# Security Measures Start　　　　　→ここから
##Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS
Header always set Strict-Transport-Security: "max-age=31536000; includeSubDomains"
Header always set Content-Security-Policy "upgrade-insecure-requests"
##Header always set X-Content-Type-Options "nosniff"
Header always set X-XSS-Protection "1; mode=block"
Header always set Expect-CT "max-age=7776000, enforce"
Header always set Referrer-Policy: "no-referrer-when-downgrade"
Header always append X-Frame-Options SAMEORIGIN
Header always set Permissions-Policy "geolocation=(); midi=();notifications=();push=();sync-xhr=();accelerometer=(); gyroscope=(); magnetometer=(); payment=(); camera=(); microphone=();usb=(); xr=();speaker=(self);vibrate=();fullscreen=(self);"  
# Security Measures End　　　　　　　　→ここまで

※Strict-Transport-Security 対策ですが、
「Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS 」
だと「securityheaders.com」のチェックにパスしませんでした。
サイトの案内を参考に以下に変更しております。
「Header always set Strict-Transport-Security: "max-age=31536000; includeSubDomains"」

最終的な結果は、以下となりました。

＜＜追記＞＞
チェックサイトで
Warnings
X-Content-Type-OptionsThere was a duplicate X-Content-Type-Options header.
となっており、サイト側で既に対策が取られており、重複しておりましたので
「Header always set X-Content-Type-Options "nosniff"」はコメントアウトとしました。

では

この記事が気に入ったらサポートをしてみませんか？