【WordPress】「推奨セキュリティヘッダーがインストール済みではありません」の対処法

2022年5月14日

サイトヘルスステータスに変なメッセージがあるけど何これ？？

サイトヘルスとは、WordPress5.2以降実装されたサイトのセキュリティやパフォーマンスの状態をチェックする機能です。

サイトの状態をより良くする為の情報が表示されているので、出来るだけ良い状態にしておきたい所ですね。

効率よくWordPress制作したい人はこちら

「推奨セキュリティヘッダーがインストール済みではありません」とは？

管理画面のダッシュボードにはサイトヘルスステータスという項目があります。

ここを見てみると、まだ改善出来る項目があることが分かります。

ここでサイトヘルス画面をクリックすると、こちらが表示されます。

今回改善していくのはこの項目になります。

右側にSSLと書いてありますが、これはSSLするためのプラグイン「Really Simple SSL」を使用している事が原因かと思われます。

セキュリティヘッダーの状態をチェック

まずはセキュリティヘッダーの状態を以下のページでチェックしてみます。

Analyse your HTTP response headers

サイトのURLを入力してScanをクリックすると・・・

見事にF判定という残念な結果に。。。

これをA判定にしたいと思います。

htaccessにコードを追記する

この問題を解決するためにはhtaccessファイルに以下のコードを追記します。

# Security Headers
Header always set Content-Security-Policy "upgrade-insecure-requests"
Header always set X-XSS-Protection "1; mode=block"
Header always set X-Content-Type-Options "nosniff"
Header always set Referrer-Policy: "no-referrer-when-downgrade"
Header always set Expect-CT "max-age=7776000, enforce"
Header always append X-Frame-Options SAMEORIGIN
Header always set Permissions-Policy "geolocation=(); midi=();notifications=();push=();sync-xhr=();accelerometer=(); gyroscope=(); magnetometer=(); payment=(); camera=(); microphone=();usb=(); xr=();speaker=(self);vibrate=();fullscreen=(self);" 
Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS
# End Security Headers