セキュリティ WordPress

【WordPress】「推奨セキュリティヘッダーがインストール済みではありません」の対処法

【WordPress】「推奨セキュリティヘッダーがインストール済みではありません」の対処法
サイトヘルスステータスに変なメッセージがあるけど何これ??

サイトヘルスとは、WordPress5.2以降実装されたサイトのセキュリティやパフォーマンスの状態をチェックする機能です。

サイトの状態をより良くする為の情報が表示されているので、出来るだけ良い状態にしておきたい所ですね。

効率よくWordPress制作したい人はこちら

「推奨セキュリティヘッダーがインストール済みではありません」とは?

管理画面のダッシュボードにはサイトヘルスステータスという項目があります。

ここを見てみると、まだ改善出来る項目があることが分かります。

ここでサイトヘルス画面をクリックすると、こちらが表示されます。

今回改善していくのはこの項目になります。

右側にSSLと書いてありますが、これはSSLするためのプラグイン「Really Simple SSL」を使用している事が原因かと思われます。

 

セキュリティヘッダーの状態をチェック

まずはセキュリティヘッダーの状態を以下のページでチェックしてみます。

Analyse your HTTP response headers

サイトのURLを入力してScanをクリックすると・・・

見事にF判定という残念な結果に。。。

これをA判定にしたいと思います。

 

htaccessにコードを追記する

この問題を解決するためにはhtaccessファイルに以下のコードを追記します。

# Security Headers
Header always set Content-Security-Policy "upgrade-insecure-requests"
Header always set X-XSS-Protection "1; mode=block"
Header always set X-Content-Type-Options "nosniff"
Header always set Referrer-Policy: "no-referrer-when-downgrade"
Header always set Expect-CT "max-age=7776000, enforce"
Header always append X-Frame-Options SAMEORIGIN
Header always set Permissions-Policy "geolocation=(); midi=();notifications=();push=();sync-xhr=();accelerometer=(); gyroscope=(); magnetometer=(); payment=(); camera=(); microphone=();usb=(); xr=();speaker=(self);vibrate=();fullscreen=(self);" 
Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS
# End Security Headers

htaccessファイルをダウンロード

htaccessファイルをダウンロードするにはFTPソフトを使います。

FTPソフトの使い方が分からない方は以下の記事を参照下さい。

WindowsMac両方使えるFTPソフト「FileZilla」のインストールと接続方法

.htaccessファイルはwp-contentと同じ階層にあるファイルで、サイトURL → public_html → htaccessとなります。

htaccessを開くとこのようになっています。

ここに先ほどのコードを追記するのですが、場所はどこでも大丈夫ですが分かりやすいように一番下に書いておきましょう。

そしてこのようになります。

ここでの注意点は最後に改行を1行入れるのを忘れないようにしましょう。

編集が終わったらファイルをアップして上書きします。

変なところを消したりするとサイトが見れなくなる可能性があるので、必ずバックアップを取って自己責任でお願いします。

 

サイトヘルスステータスを確認

それではもう一度ダッシュボードからサイトヘルスステータスを確認してみます。

ダッシュボード上でも全て合格になりました。

あとは最初にチェックしたセキュリティヘッダーの状態を見てみましょう。

A判定になっていれば完了です。

追記

こちらの項目は以前は解決しなくても表示されなかったのですが、今度は上記のチェックでクリアしても表示されるようになりました。。。

しかし上記判定ではA+になっています(これを解決しないとAになります)

そして何日か経ってもう一度見てみるとこの表示も消えていたので、まだ残っている場合は時間を置いてもう一度見てみましょう。

 

サイトヘルスステータスは他にもプラグインをアップデートしていなかったり、未使用のテーマがあったりすると改善点として表示されます。

これらは全て簡単に解決出来るので、全て解決してスッキリしておきましょう。

 

WordPress案件の単価と作業効率を上げる!

Brainランキング1位獲得 & 3日で500部突破

クチコミ約280件(平均スコア

今だけ!5大特典あり🎁

-セキュリティ, WordPress