サイトヘルスエラー「推奨セキュリティヘッダーがインストール済みではありません」は2STEPで改善できる

2022-02-222022-11-11

サイトヘルスのアラートはチェックしていますか？

１つ１つこまめに修正していくことで、 WordPress 初心者でもスキルアップにつながります。

今回は「推奨セキュリティヘッダーがインストール済みではありません」の警告を修正していきたいと思います。

自宅で現役エンジニアから学べる【TechAcademy(テックアカデミー)】

→ テックアカデミーの無料体験

→ 無料キャリアカウンセリングのお申込み

サイトヘルスステータスとは

サイトヘルスステータスは、WordPress ログインページを下にスクロールしていくとこの項目があります。

サイト内に問題があるときに出現するアラートです。

何も問題がない状態がベストなので、なるべく修正するようにしていきましょう。

ひとまず「良好」ではあるのですが、1項目確認する箇所があるようです。

「サイトヘルス画面」のリンクをクリックすると、おすすめの改善テキストが表示されました。

「Really Simple SSL」を使っているのですが、どうやらこのプラグインに関連するようです。

セキュリティ系のプラグイン「XO Security」や「BBQ Firewall」に入れ替えしたこともあり、きっかけになってしまったのかもしれません。

Your website does not send all recommended security headers.

Upgrade Insecure Requests
Referrer-Policy
Expect-CT
X-Frame-Options
Permissions-Policy
HTTP Strict Transport Security

セキュリティヘッダーについての詳細

※セキュリティヘッダーについての詳細のリンクをクリックすると、「Really Simple SSL」公式ページに飛びます。

今回の問題を改善するには、サーバー内の「.htaccess」にコードを書き込む必要があります。

セキュリティヘッダーの診断をしてみよう

サーバーにログインする前に「セキュリティヘッダー」を診断するサイトがありますので、早速トライしてみます。

→ https://securityheaders.com

こちらの「Security Headers」では、ブログのURLを入力するだけでスキャン診断してくれます。ちなみに「D」判定でした。

サーバーにアクセス

続いて、ConoHa WINGにログインします。ConoHa WINGのキャンペーン情報はこちら

サーバーの「.htaccess」に追記する

# BEGIN Really Simple SSL
Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS
Header always set Content-Security-Policy "upgrade-insecure-requests"
Header always set X-Content-Type-Options "nosniff"
Header always set X-XSS-Protection "1; mode=block"
Header always set Expect-CT "max-age=7776000, enforce"
Header always set Referrer-Policy: "no-referrer-when-downgrade"
Header always set X-Frame-Options: "SAMEORIGIN"
Header always set Permissions-Policy "geolocation=(); midi=();notifications=();push=();sync-xhr=();accelerometer=(); gyroscope=(); magnetometer=(); payment=(); camera=(); microphone=();usb=(); xr=();speaker=(self);vibrate=();fullscreen=(self);"
# END Really Simple SSL

「.htaccess」には、Really Simple SSLの公式ページに詳細がありますので一読ください。最後は他サイト様のコードを参考にさせていただきました。

ではサーバー内の「.htaccess」に追記してきましょう。

※ご自身の判断と自己責任の下お試しください。

STEP

ConoHa WINGのコントロールパネルにログイン

STEP

左メニューの「サイト管理」→「サイト設定」を開きます

STEP

上部メニューの「応用設定」→「.htaccess設定」をクリック

右の鉛筆アイコンの「編集」をクリックします。任意の内容を入力します。

注意）入力が終わったら最後は必ず忘れずに1行改行してから保存をしてください。

STEP

最後に「保存」をクリック

サイトヘルスの確認する

サーバー内で編集後に「成功しました。」と表示されましたが、どうなったでしょうか。

特に変化はありませんでした。

自宅で現役エンジニアから学べる【TechAcademy(テックアカデミー)】

→ 未経験からエンジニアを目指すエンジニア転職保証コース

エラーの改善策はサーバー側ではなかった！

カスタマイズの「追加 CSS」もなるべく触らないようにしているので「.htaccess」をいじるのは抵抗がありますよね。

いろいろ情報収集していると改善方法を見つけました。助かりました、ありがとうございます。

STEP

WordPressにログイン→ダッシュボード→「設定」→「SSL」をクリック

STEP

スクロールして「設定」画面の以下の項目をオン→「保存」をクリック

Really Simple SSL の通知をすべて非表示

この2STEPでOKです。「えー！」ですよね。

サイトヘルスステータスが改善

おめでとうございます ! 現在、サイトはすべてのサイトヘルスチェックに合格しています。

itolico

サイトヘルスが改善されました。

「.htaccess」の設定は注意が必要！バックアップとって慎重にね！

なるべくなら必須な設定だけをしておきたいので、サーバー内の「.htaccess」に追記したコードはひとまず削除しました。再度「Security headers」のサイトでスキャンしてみます。

あれあれ？ご覧の通りの「D」判定。

コード削除後のセキュリティヘッダーのスキャン画像です。プラグイン「Really Simple SSL」を導入している限りコードの設定は必要なようです。

「A」判定。

「Strict Transport Security」のエラーは解消されませんね。

上記に記載したコードのStrict-Transport-Securityを修正して再度追記しました。

# BEGIN Really Simple SSL
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header always set Content-Security-Policy "upgrade-insecure-requests"
Header always set X-Content-Type-Options "nosniff"
Header always set X-XSS-Protection "1; mode=block"
Header always set Expect-CT "max-age=7776000, enforce"
Header always set Referrer-Policy: "no-referrer-when-downgrade"
Header always set X-Frame-Options: "SAMEORIGIN"
Header always set Permissions-Policy "geolocation=(); midi=();notifications=();push=();sync-xhr=();accelerometer=(); gyroscope=(); magnetometer=(); payment=(); camera=(); microphone=();usb=(); xr=();speaker=(self);vibrate=();fullscreen=(self);"
# END Really Simple SSL