セキュリティ WordPress

【WordPress】『推奨セキュリティヘッダーがインストール済みではありません』の対処法

※ 当サイトではアフィリエイト広告を利用しています

サイトヘルスステータスに変なメッセージがあるけど何これ??

サイトヘルスとは、WordPress5.2以降実装されたサイトのセキュリティやパフォーマンスの状態をチェックする機能です。

サイトの状態をより良くする為の情報が表示されているので、出来るだけ良い状態にしておきたい所ですね。

 

コーディングの時給と作業効率を上げる!
2年間の実務で実際に使ったコードをまとめた『コーディング&WordPressメモまとめ集』をBrainで公開しています。
  • コピペで使えるWordPressの各テンプレート
  • 実務でよく使う見出し一覧
  • 実務でよく使うテキストのhoverアニメーション
  • 実務でよく使うボタン内の矢印9種類
  • Contact Form 7の色々・・・
などなど、他にもコピペで使えるコードがたくさん載せてあるので、時短=時給アップに繋がります。
さらに『コードのまとめ方が参考になった』というレビューも多数頂いているので、これを元に自分なりの"メモまとめ集"を作るという使い方も出来ます。
1,100部以上販売し、レビューは630件以上あるので、気になる方は以下のボタンからチェックしてみて下さい👇

1,100部突破🎉

商品ページはこちら!

2024年4月15日値上げ!

『推奨セキュリティヘッダーがインストール済みではありません』とは?

管理画面のダッシュボードには『サイトヘルスステータス』という項目があります。

ここを見てみると、まだ改善出来る項目があることが分かります。

WordPress管理画面:ダッシュボードのサイトヘルスステータス

WordPress管理画面:ダッシュボードのサイトヘルスステータス

ここでサイトヘルス画面をクリックすると、こちらが表示されます。

WordPress管理画面:サイトヘルスステータス

WordPress管理画面:サイトヘルスステータス

今回改善していくのはこの項目になります。

右側にSSLと書いてありますが、これはSSLするためのプラグイン『Really Simple SSL』を使用している事が原因かと思われます。



『推奨セキュリティヘッダーがインストール済みではありません』の対処法

手順としては

  1. セキュリティヘッダーの状態をチェック
  2. .htaccessにコードを追記する
  3. サイトヘルスステータス

 

セキュリティヘッダーの状態をチェック

まずはセキュリティヘッダーの状態を以下のページでチェックしてみます。

Analyse your HTTP response headers

Analyse your HTTP response headers

Analyse your HTTP response headers

赤枠内でサイトのURLを入力して隣の『Scan』をクリックすると・・・

Analyse your HTTP response headers:Scan結果(F判定)

Analyse your HTTP response headers:Scan結果(F判定)

見事にF判定という残念な結果に。。。

これをA判定にしたいと思います。

 

htaccessにコードを追記する

この問題を解決するためにはhtaccessファイルに以下のコードを追記します。

# Security Headers
Header always set Content-Security-Policy "upgrade-insecure-requests"
Header always set X-XSS-Protection "1; mode=block"
Header always set X-Content-Type-Options "nosniff"
Header always set Referrer-Policy: "no-referrer-when-downgrade"
Header always set Expect-CT "max-age=7776000, enforce"
Header always append X-Frame-Options SAMEORIGIN
Header always set Permissions-Policy "geolocation=(); midi=();notifications=();push=();sync-xhr=();accelerometer=(); gyroscope=(); magnetometer=(); payment=(); camera=(); microphone=();usb=(); xr=();speaker=(self);vibrate=();fullscreen=(self);" 
Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS
# End Security Headers

 

.htaccessファイルをダウンロード

.htaccessファイルをダウンロードするにはFTPソフトを使います。

FTPソフトの使い方が分からない方は以下の記事を参照下さい。

あわせて読みたい
無料で使えるFTPソフト『FileZilla』の使い方を解説【WindowsとMac両方OK】
無料で使えるFTPソフト『FileZilla』の使い方を解説【WindowsとMac両方OK】

続きを見る

.htaccessファイルは『wp-content』と同じ階層にあるファイルで『サイトURL → public_html → .htaccess』となります。

.htaccessの場所

.htaccessの場所

.htaccessを開くとこのようになっています。

.htaccess:コード追記前

.htaccess:コード追記前

ここに先ほどのコードを追記するのですが、場所はどこでも大丈夫ですが分かりやすいように一番下に書いておきましょう。

そしてこのようになります。

.htaccess:コード追記後

.htaccess:コード追記後

ここでの注意点は、最後に改行を1行入れるのを忘れないようにしましょう。

編集が終わったらファイルをアップして上書きします。

変なところを消したりするとサイトが見れなくなる可能性があるので、必ずバックアップを取って自己責任でお願いします。

 

サイトヘルスステータスを確認

それではもう一度ダッシュボードからサイトヘルスステータスを確認してみます。

サイトヘルスステータス結果:良好

サイトヘルスステータス結果:良好

サイトヘルスステータス結果:良好

サイトヘルスステータス結果:良好

ダッシュボード上でも全て合格になりました。

あとは最初にチェックしたセキュリティヘッダーの状態を見てみましょう。

Analyse your HTTP response headers:Scan結果(A+判定)

Analyse your HTTP response headers:Scan結果(A+判定)

A判定になっていれば完了です。

 

追記

こちらの項目は以前は解決しなくても表示されなかったのですが、今度は逆に上記のチェックでクリアしても表示されるようになりました。。。

しかし上記判定ではA+になっています(これを解決しないとAになります)

そして何日か経ってもう一度見てみるとこの表示も消えていたので、まだ残っている場合は時間を置いてもう一度見てみましょう。

Permissions-Policy

Permissions-Policy

サイトヘルスステータスは他にもプラグインをアップデートしていなかったり、未使用のテーマがあったりすると改善点として表示されます。

これらは全て簡単に解決出来るので、全て解決してスッキリしておきましょう。

まとめ

今回は『推奨セキュリティヘッダーがインストール済みではありません』の対処法について解説しました。

実は最近新たに『永続オブジェクトキャッシュを使用してください』というステータスが表示されるようになりましたが、これについては解決方法がまだ分かりません・・・

分かり次第ブログに書こうと思います。

以上になります。

 

Web制作おすすめ教材と案件獲得サービス
当ブログではWeb制作学習におすすめの教材を厳選してご紹介しています。
こちらの記事を参考に教材を購入して成果を出している人もたくさんいるので、自分に必要な教材を探してみて下さい。
また、学習面だけでなく営業面である案件獲得サービスもご紹介しています。
スキルが身についても仕事がなければ意味がないので、営業に不安がある人はこちらの記事をぜひ参考にしてみて下さい。
この記事を参考にスキルと営業力を身につけて稼げるようになりましょう!

-セキュリティ, WordPress