レンタルサーバーのValue Domainから、ネットde診断 診断結果の報告というメールが届きました。
レベルはDで早急にセキュリティ対策をしてくださいとのと。
詳細
1 高リスク:WordPressのバージョンが最新でないこと(すぐにバージョンアップで対応)
2 低リスク:セキュリティヘッダ “X-Frame-Options” の未設定もしくは設定の不備
3 低リスク:セキュリティヘッダ “X-Content-Type-Options” の未設定
4 低リスク:セキュリティヘッダ “Content-Security-Policy” の未設定もしくは設定の不備
5 低リスク:脆弱なSSL/TLS暗号スイートのサポートが有効です。
6 低リスク:POP3プロトコルが有効です(暗号化されたPOP3SやIMAPなどへの変更)
7 低リスク:IMAPプロトコルが有効です(IMAPSなどの暗号化されたプロトコルへの変更)
1 のWordPressのバージョンアップはすぐに対応最新にしました。
5 6 7 は後日対応することにして、今回は2 3 4 についての対応です。
こちらのサイト(TCD https://tcd-theme.com/2022/11/site-health-security-headers.html)を参考にさせて頂きました。
WordPressがインストールされているフォルダ内の .htaccess を編集します
# BEGIN WordPress
# "BEGIN WordPress" から "END WordPress" までのディレクティブ (行) は
# 動的に生成され、WordPress フィルターによってのみ修正が可能です。
# これらのマーカー間にあるディレクティブへのいかなる変更も上書きされてしまいます。
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
RewriteBase /xxxxxx/xxxx/
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /xxxxxx/xxxx/index.php [L]
</IfModule>
# END WordPress
# 以下にセキュリティーヘッダーを追記します
# Security Headers
Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS
Header always set Content-Security-Policy "upgrade-insecure-requests"
Header always set X-Content-Type-Options "nosniff"
Header always set X-XSS-Protection "1; mode=block
Header always set Expect-CT "max-age=7776000, enforce"
Header always set Referrer-Policy: "no-referrer-when-downgrade"
Header always append X-Frame-Options SAMEORIGIN
# End Security Headers
編集した .htaccess を上書きアップロードしてサイトの表示を確認、しばらく様子を見ます。
