WordPressでHTTPセキュリティヘッダーを追加する方法

公開: 2021-04-20

WordPressのウェブサイトをデザインすることになると、安全すぎるということはありません。 安全のすべての層は、あなたとあなたの顧客の情報が保護され続けることをさらに保証します。 しかし、残念ながら、いくつかの安全対策はさまざまな方法であなたを妨げる可能性があります。 理想的には、ユーザーエクスペリエンスを損なうことなく、Webサイトに安全機能を追加する必要があります。 そして、結局のところ、それはまさにHTTPセキュリティヘッダーが提供するものです。 それでは、WordPressにHTTPセキュリティヘッダーを追加する方法を詳しく見てみましょう。

HTTPセキュリティヘッダーを理解する

HTTPセキュリティヘッダーの主な用途は警告です。 訪問者がWebサイトにアクセスすると、サーバーからHTTPヘッダー応答を受信します。 応答は、エラーコード、キャッシュコントロール、およびその他のさまざまな側面についてブラウザに通知します。 すべてが正常な場合、ヘッダー応答はHTTP200ステータスを発行します。 これを受け取ることにより、ユーザーのブラウザはあなたのウェブサイトをロードするための緑色のライトを持っています。 ただし、問題がある場合、ユーザーは別のヘッダーを取得します。 一般的な例は、500の内部サーバーエラー、または404の見つからないエラーです。

ブロックで書かれた404。
404エラーはかなり一般的です。

HTTPセキュリティヘッダーは、サーバーが送信できるヘッダーの一種です。 これらは、クロスサイトスクリプティング、ブルートフォース攻撃、クリックジャッキング、およびその他のさまざまなセキュリティ脅威についてブラウザに警告するのに役立ちます。 最も一般的なタイプのHTTPセキュリティヘッダーは次のとおりです。

  • HTTP Strict Transport Security(HSTS) –このヘッダーは、WebサイトがHTTPSを使用していることをユーザーのブラウザーに通知します。
  • X-XSS保護–このヘッダーはクロスサイトスクリプティングをブロックします。
  • X-Frame-Options –このヘッダーは、クリックジャッキングやクロスドメインiframeを防ぎます。
  • X-Content-Type-Options –このヘッダーはmimeタイプのスニッフィングをブロックします。

ご覧のとおり、セキュリティヘッダーは、Webサイトの安全性に重要な役割を果たす可能性があります。 それで、それが邪魔にならないように、あなたがあなたのウェブサイトにHTTPセキュリティヘッダーを組み込むことができるいくつかの方法を見てみましょう。

WordPressにHTTPセキュリティヘッダーを追加する

HTTPセキュリティヘッダーを設定する最良の方法は、Webサーバーレベルです。 そうすることで、HTTPリクエストの開始時にトリガーされるようになり、最大限の安全性が提供されます。 また、ヘッダーはサーバーレベルで設定されるため、ランディングページごとにそうすることを心配する必要はありません。 もう1つのオプションは、DSNレベルのWebサイトファイアウォールを使用することです。 このレベルでの設定は通常簡単であると考えられていますが、安全対策に関しては問題になる可能性があります。 それでも、両方の方法とその適用方法について説明します。

WordPressプラグインを使用する

WordPressに関するほとんどの場合と同様に、プラグインを使用するのが何かを変更する最も簡単な方法です。 幸い、HTTPセキュリティヘッダーも例外ではありません。 最初に行うことは、リダイレクトプラグインをインストールすることです。 インストールしてアクティブ化すると、セットアップウィザードが表示されます。 指示に従ってセットアップしてください。 それが完了したら、[ツール]-> [リダイレクト]ページに移動し、[サイト]タブに切り替えます。 そこで、一番下までスクロールして、「ヘッダーの追加」をクリックする必要があります。 表示されるドロップダウンメニューで、[セキュリティプリセットの追加]オプションを選択できます。 そうすることで、HTTPセキュリティヘッダーのリストが表示されます。 次に、ヘッダーを確認して変更し(必要な場合)、最終的にそれらをWebサイトに実装できます。 完了したら、「更新」ボタンをクリックすることを忘れないでください。

WordPressの[セキュリティ]タブ。
WordPressにHTTPセキュリティヘッダーを追加する必要がありますが、Webサイトを安全に保つには他のプラグインが必要になることを知っておいてください。

.htaccessを使用する

それでは、ありふれたプラグインから離れて、もう少し複雑なメソッドをいくつか見ていきましょう。 次の方法では、サーバーレベルでHTTPセキュリティヘッダーを設定できます。 つまり、あなたがやろうとしていることはあなたのウェブサイト上の.htaccessファイルを変更することです。 Apache Webサーバーソフトウェアは、最も一般的にこのファイルをサーバー構成に使用します。 これを変更するには、FTPクライアントを使用するか、ホスティングコントロールパネルに移動してファイルマネージャーアプリを使用します。 .htaccessファイルは、Webサイトのルートフォルダーにあります。 完了したら、それを右クリックして[編集]を選択します。

これを行うと、テキストエディタが開きます。 その中で、一番下までスクロールして、HTTPセキュリティヘッダーを実装するコードを追加する必要があります。 実装するヘッダーに関しては、いくつかの種類があります。 したがって、どのヘッダーが自分に最も適しているかを判断するには、もう少し深く掘り下げる必要があります。 次のコードは、最も一般的に使用されるヘッダーが含まれているため、開始点として適しています。

<ifModule mod_headers.c>
ヘッダーセットStrict-Transport-Security“ max-age = 31536000” env = HTTPS
ヘッダーセットX-XSS-Protection“ 1; mode = block”
ヘッダーセットX-Content-Type-Optionsnosniff
ヘッダーセットX-Frame-OptionsDENY
ヘッダーセットReferrer-Policy:no-referrer-when-downgrade
</ ifModule>

コードをコピーしたら、変更を保存することを忘れないでください。

さまざまな国のウェブサイトに接続されているラップトップ。WordPressにHTTPセキュリティヘッダーを追加する必要があることを示しています。
サーバーレベルでのセキュリティ対策を打ち負かすことは非常に困難です。

Cloudflareを使用する

ウェブサイトの取り扱いに関しては、Cloudfareはかなりまともなツールです。 これを使用することで、ボットや標準的なマルウェア攻撃からユーザーを保護するのに十分な基本的なファイアウォールが得られます。 そして、CDNサービスがあります。 残念ながら、無料版では少し不足している可能性があります。 したがって、気に入った場合は、プレミアムのものを選択する必要があるかもしれません。

Cloudfareのもう1つの用途は、WordPressにHTTPセキュリティヘッダーを追加できることです。 そのためには、最初にインストールしてアクティブ化する必要があります。 完了したら、アカウントのSSL/TLSページに移動します。 次に、[エッジ証明書]タブに切り替える必要があります。 次に、下にスクロールしてHSTS(HTTP Strict Transport Security)セクションを開く必要があります。 次に、[HSTSを有効にする]ボタンをクリックします。 ここで、WordPressブログでHTTPSを有効にするように求められます。 これを行うと、HTTPセキュリティヘッダーにアクセスできるようになります。