サイトヘルスとは、WordPress5.2以降実装されたサイトのセキュリティやパフォーマンスの状態をチェックする機能です。
サイトの状態をより良くする為の情報が表示されているので、出来るだけ良い状態にしておきたい所ですね。
- 完全無料
- 30日間でWeb制作を学べる
- 現役エンジニアへの質問無制限
- オンラインの動画学習なので時間場所を問わず勉強可能
- 最大4回の学習サポート面談
- 毎日人数制限ありの先着制
(有料になっていたらすいません🙇♂️)
『推奨セキュリティヘッダーがインストール済みではありません』とは?
管理画面のダッシュボードには『サイトヘルスステータス』という項目があります。
ここを見てみると、まだ改善出来る項目があることが分かります。
ここでサイトヘルス画面をクリックすると、こちらが表示されます。
今回改善していくのはこの項目になります。
右側にSSLと書いてありますが、これはSSLするためのプラグイン『Really Simple SSL』を使用している事が原因かと思われます。
『推奨セキュリティヘッダーがインストール済みではありません』の対処法
手順としては
- セキュリティヘッダーの状態をチェック
- .htaccessにコードを追記する
- サイトヘルスステータス
セキュリティヘッダーの状態をチェック
まずはセキュリティヘッダーの状態を以下のページでチェックしてみます。
Analyse your HTTP response headers
赤枠内でサイトのURLを入力して隣の『Scan』をクリックすると・・・
見事にF判定という残念な結果に。。。
これをA判定にしたいと思います。
htaccessにコードを追記する
この問題を解決するためにはhtaccessファイルに以下のコードを追記します。
# Security Headers
Header always set Content-Security-Policy "upgrade-insecure-requests"
Header always set X-XSS-Protection "1; mode=block"
Header always set X-Content-Type-Options "nosniff"
Header always set Referrer-Policy: "no-referrer-when-downgrade"
Header always set Expect-CT "max-age=7776000, enforce"
Header always append X-Frame-Options SAMEORIGIN
Header always set Permissions-Policy "geolocation=(); midi=();notifications=();push=();sync-xhr=();accelerometer=(); gyroscope=(); magnetometer=(); payment=(); camera=(); microphone=();usb=(); xr=();speaker=(self);vibrate=();fullscreen=(self);"
Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS
# End Security Headers
.htaccessファイルをダウンロード
.htaccessファイルをダウンロードするにはFTPソフトを使います。
FTPソフトの使い方が分からない方は以下の記事を参照下さい。
無料で使えるFTPソフト『FileZilla』の使い方を解説【WindowsとMac両方OK】
続きを見る
.htaccessファイルは『wp-content』と同じ階層にあるファイルで『サイトURL → public_html → .htaccess』となります。
.htaccessを開くとこのようになっています。
ここに先ほどのコードを追記するのですが、場所はどこでも大丈夫ですが分かりやすいように一番下に書いておきましょう。
そしてこのようになります。
ここでの注意点は、最後に改行を1行入れるのを忘れないようにしましょう。
編集が終わったらファイルをアップして上書きします。
変なところを消したりするとサイトが見れなくなる可能性があるので、必ずバックアップを取って自己責任でお願いします。
サイトヘルスステータスを確認
それではもう一度ダッシュボードからサイトヘルスステータスを確認してみます。
ダッシュボード上でも全て合格になりました。
あとは最初にチェックしたセキュリティヘッダーの状態を見てみましょう。
A判定になっていれば完了です。
追記
こちらの項目は以前は解決しなくても表示されなかったのですが、今度は逆に上記のチェックでクリアしても表示されるようになりました。。。
しかし上記判定ではA+になっています(これを解決しないとAになります)
そして何日か経ってもう一度見てみるとこの表示も消えていたので、まだ残っている場合は時間を置いてもう一度見てみましょう。
サイトヘルスステータスは他にもプラグインをアップデートしていなかったり、未使用のテーマがあったりすると改善点として表示されます。
これらは全て簡単に解決出来るので、全て解決してスッキリしておきましょう。
まとめ
今回は『推奨セキュリティヘッダーがインストール済みではありません』の対処法について解説しました。
実は最近新たに『永続オブジェクトキャッシュを使用してください』というステータスが表示されるようになりましたが、これについては解決方法がまだ分かりません・・・
分かり次第ブログに書こうと思います。
以上になります。