サイトヘルスを定期的にチェックして、エラー0にしているのですが次のようなメッセージが表示されました。
Missing security headers
Your .htaccess file does not contain all recommended security headers.
- HTTP Strict Transport Security
- Content Security Policy: Upgrade Insecure Requests
- X-XSS protection
- X-Content Type Options
- Referrer-Policy
- X-Frame-Options
- Expect-CT
下部に表示されていたヘルプページを参照しました。
SSLは、サイトのセキュリティの追加レイヤーです。ただし、サイトのセキュリティを最適化するために、サイトでもいくつかの重要なセキュリティヘッダーを使用することをお勧めします。それらを実装するには、以下にリストされているヘッダーをWebサイトの.htaccessファイルに追加します。
追加できる重要なヘッダーはHSTSとHSTSプリロードです。これにより、Webサイトのユーザーがハッカーによって作成された偽のバージョンのWebサイトをロードできなくなります。しかし、サイトに侵入する方法は他にもあります。これをできるだけ難しくするために、以下のヘッダーをサイトに追加することをお勧めします。
■ HSTS
対処法: .htaccessファイルに下記内容を追記する
Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS
■ Content Security Policy: Upgrade Insecure Requests
対処法: .htaccessファイルに下記内容を追記する
Header always set Content-Security-Policy "upgrade-insecure-requests"
■ X-XSS protection
対処法: .htaccessファイルに下記内容を追記する
Header always set X-XSS-Protection "1; mode=block"
■ X-Content Type Options
対処法: .htaccessファイルに下記内容を追記する
Header always set X-Content-Type-Options "nosniff"
■ Referrer-Policy
対処法: .htaccessファイルに下記内容を追記する
Header always set Referrer-Policy: "no-referrer-when-downgrade"
■ X-Frame-Options
対処法: .htaccessファイルに下記内容を追記する
Header always set X-Frame-Options "sameorigin"
■ Expect-CT
対処法: .htaccessファイルに下記内容を追記する
Header always set Expect-CT "max-age=7776000, enforce"
Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS |
環境、プラグインによって対処内容が異なるかと思いますが、ヘルプページ通りに対処すればOKです。