WordPress

WordPressサイトにHTTPセキュリティヘッダーを設定する方法

2021.01.22

WordPressサイトにHTTPセキュリティヘッダーを設定する方法をまとめた備忘録記事です。

管理画面のサイトヘルスに「推奨セキュリティヘッダーがインストール済みではありません」という表示があって少し気になっていたため設定してみました(プラグイン『Really Simple SSL』が出力しているようでした)。

HTTPレスポンスヘッダーをセキュリティ目的で利用する”HTTPセキュリティヘッダー”は、適切に設定することで自分のサイトが攻撃に利用されるのを防いだり、訪問者の安全性を高めることができるようです。

設定は.htaccessファイルにコードを少し追加するだけで簡単なため、やっておくのも良いかもしれません。

【最終更新:2022年11月】
「HTTP Strict Transport Security (HSTS)」、「Permissions Policy」などについて追記・更新しました。

スポンサーリンク
スポンサーリンク

設定方法について

【設定の流れ】
  1. Webツール「Security Headers」でサイトの状態を確認
  2. .htaccessファイルをダウンロード(ついでにバックアップ)
  3. .htaccessファイルにレスポンスヘッダー用のコードを追記
  4. .htaccessファイルをアップロード
  5. Webツール「Security Headers」でサイトの状態を再確認

端的に言えば、.htaccessにコードを追記するだけです。 ということでやっていきましょう。

サイトの状態チェック

まずは、HTTPセキュリティヘッダーの状態を分析してくれるWebツール『Security Headers』『HTTPヘッダーセキュリティチェッカー』などを使用して、サイトの状態をチェック!

Analyse your HTTP response headers
Quickly and easily assess the security of your HTTP response headers
securityheaders.com
HTTPヘッダーセキュリティチェッカー:HTTPレスポンスヘッダからセキュリティ状況を確認 | ラッコツールズ🔧
ウェブサイトが、セキュリティ対策に有効的な下記の項目を含む推奨HTTPレスポンスヘッダーかを確認する事が出来ます。HTTP Strict Transport Security(HSTS)HTTP Public Key Pinning(HPKP)X-Frame-OptionsX-XSS-ProtectionX-Conte...
rakko.tools
securityheaders.comでF判定

何も設定していないと低評価のF判定

.htaccessをダウンロード

まずは、FTPクライアントソフトを使って.htaccessをサーバーからダウンロードする。

不測の事態に備えて元の.htaccessのバックアップを作成しておく。

FTPクライアントソフト

『FileZilla』や『ffftp』などのソフトを利用。

FileZilla - The free FTP solution
FileZilla - The free FTP solution for both client and server. Filezilla is open source software distributed free of charge.
filezilla-project.org
GitHub - ffftp/ffftp: FTPクライアントソフトウェアです。
FTPクライアントソフトウェアです。. Contribute to ffftp/ffftp development by creating an account on GitHub.
github.com

.htaccessについて

ダウンロードするのは、WordPressがインストールされているルートフォルダ(ルートディレクトリ)にある.htaccessファイル

「wp-admin」や「wp-content」フォルダと同じ階層の.htaccessファイル。

記述するコード

Windows10のメモ帳も[BOM無し+LF]に対応したようだけど、使い勝手があまり良くないので他のエディタを使ったほうがいいかも。

簡単なコードを追記(コピペ)するだけので『TeraPad』や『サクラエディタ』あたりが軽くて便利。

TeraPad 公式ダウンロードサイト
HTML・CSS・JavaScript・Perl・PHP等の色分け・強調表示がプログラミング作業を支援します。ツールは、編集中のファイルを外部実行ファイルへ渡しコンパイル実行など工夫次第で様々な処理が可能です。
tera-net.com
Sakura Editor
Japanese text editor for MS Windows
sakura-editor.github.io
以下の情報は、2021年1月頃に調べたものを、2022年11月に更新した時点での情報です。
各設定の仕様変更や主要なブラウザでのサポートには変化があるため、設定時に確認してください。

Strict-Transport-Security

Header always set Strict-Transport-Security: "max-age=63072000; includeSubDomains; preload"

HTTPを使わずHTTPSを使って通信するようブラウザに指示(強制)する。「HTTP Strict Transport Security (HSTS)」。

「max-age」は秒で指定。「max-age=63072000」だと2年。「includeSubDomains」で全てのサブドメインに適用。「preload」はChromeのプリロードリストへの送信・登録。

Strict-Transport-Security - HTTP | MDN
HTTP の Strict-Transport-Security レスポンスヘッダー (しばしば HSTS と略されます) は、ウェブサイトがブラウザーに HTTP の代わりに HTTPS を用いて通信を行うよう指示するためのものです。
developer.mozilla.org
HSTS Preload List Submission
hstspreload.org

Content-Security-Policy

Header always set Content-Security-Policy "upgrade-insecure-requests"

読み込む対象を指定・制限などできる設定。指定可能な設定要素の種類が多く、組み合わせによってはサイトの表示に問題が生じることもある模様。難易度高め。「CSP」とも。

「upgrade-insecure-requests」では、HTTPとHTTPSのコンテンツが混在しているページで、強制的にHTTPSで読み込ませてセキュリティを強化する。

コンテンツセキュリティポリシー (CSP) - HTTP | MDN
コンテンツセキュリティポリシー (CSP) は、クロスサイトスクリプティング (Cross-site_scripting) やデータインジェクション攻撃などのような、特定の種類の攻撃を検知し、影響を軽減するために追加できるセキュリティレイヤーです。これらの攻撃はデータの窃取からサイトの改ざん、マルウェアの拡散に至るまで...
developer.mozilla.org
Content-Security-Policy - HTTP | MDN
HTTP の Content-Security-Policy レスポンスヘッダーは、ウェブサイト管理者が、あるページにユーザーエージェントが読み込みを許可されたリソースを管理できるようにします。いくつかの例外を除いて、大半のポリシーにはサーバーオリジンとスクリプトエンドポイントの指定を含んでいます。これはクロスサイトス...
developer.mozilla.org
“Content-Security-Policy: upgrade-insecure-requests”でHTTPSページの混在コンテンツを解消する方法
安全なHTTPSで通信するページで安全ではないHTTPで読み込ませるリソースが存在すると、「混在するコンテンツ (Mixed content)」 のエラーが発生する。Content-Security-Policy: upgrade-insecure-requests という仕組みを使うと、混在するコンテンツが存在してい...
www.suzukikenichi.com

X-Content-Type-Options

Header always set X-Content-Type-Options "nosniff"

ファイル形式を誤認する可能性のあるMIME Sniffingを使わず、Content-Typeで判定することを強制することで、不正なスクリプトの実行を防止する。

X-Content-Type-Options - HTTP | MDN
X-Content-Type-Options は HTTP のレスポンスヘッダーで、 Content-Type ヘッダーで示された MIME タイプを変更せずに従うべきであることを示すために、サーバーによって使用されるマーカーです。これにより、MIME タイプのスニッフィングを抑止することができます。言い替えれば、 M...
developer.mozilla.org
Content-TypeとX-Content-Type-Options: nosniff - Qiita
Content-Typeとは?HTTPレスポンスヘッダに付与する属性。 返却するファイル形式が何なのか?、を知らせる目的がある。# Content-Typeの例 text/plain → テキストファイル text...
qiita.com

X-XSS-Protection

Header always set X-XSS-Protection "1; mode=block"

クロスサイト・スクリプト攻撃(XSS攻撃)を防ぐためのXSS Filter機能。

[”1; mode=block”]で、機能を有効化、攻撃を検知したらブロックする。

X-XSS-Protection - HTTP | MDN
HTTP の X-XSS-Protection レスポンスヘッダーは Internet Explorer, Chrome, Safari の機能で、反射型クロスサイトスクリプティング (XSS) 攻撃を検出したときに、ページの読み込みを停止するためのものです。サイトが強力な Content-Security-Polic...
developer.mozilla.org

Expect-CT

Expect-CTは2021年6月に失効・廃止となり不要になりました。
Header always set Expect-CT "max-age=7776000, enforce"

サイトのSSL証明書に間違いや不正がないかをパブリックCTログで確認するようブラウザに指示する。不正な発行を検知・防止することで信頼性・透明性を高める仕組み。

「max-age」で期間を秒指定。「enforce」でユーザーエージェント(ブラウザ)に認証透過性ポリシーに違反する接続を報告、拒否するよう指示する。

Expect-CT - HTTP | MDN
Expect-CT ヘッダーは、サイトが証明書の透明性の要件の報告や強制に参加して、サイトの不正な認証情報の使用が通知されない状態を防ぐことができます。
developer.mozilla.org

Referrer-Policy

Header always set Referrer-Policy: "no-referrer-when-downgrade"

リファラに含まれる情報を制御する。

「no-referrer-when-downgrade」だと、セキュリティ水準が低下する場合(HTTPS→HTTPなど)にリファラの送信をブロックする。

Referrer-Policy - HTTP | MDN
Referrer-Policy は HTTP ヘッダーで、 (Referer ヘッダーで送られる) リファラー情報をリクエストにどれだけ含めるかを制御します。 HTTP ヘッダーのほかに、 HTML でこのポリシーを設定することもできます。
developer.mozilla.org

X-Frame-Options

Header always append X-Frame-Options SAMEORIGIN

Webブラウザがサイトをframe、iframe、embed、objectの中に表示する許可設定。「SAMEORIGIN」で同一ドメインのみに限定することでクリックジャッキングを防ぐ。

埋め込みが制限されるため、サイトを読み込む必要がある一部のウェブツールを利用できなくなる等のデメリットがある。

柔軟に対応する必要があるなら、埋め込みを許可するホストやIPなどを指定できるCSPでの「frame-ancestors」を使うことが推奨されている。

X-Frame-Options - HTTP | MDN
X-Frame-Options は HTTP のレスポンスヘッダーで、ブラウザーがページを 、、、 の中に表示することを許可するかどうかを示すために使用します。サイトはコンテンツが他のサイトに埋め込まれないよう保証することで、クリックジャッキング攻撃を防ぐために使用することができます。
developer.mozilla.org
Content Security Policy Level 2
www.w3.org
CSP: frame-ancestors - HTTP | MDN
HTTP の Content-Security-Policy (CSP) である frame-ancestors ディレクティブは 、 、 、 、 などを使ってページを埋め込むことのできる親を指定します。
developer.mozilla.org

Permissions-Policy

Header always set Permissions-Policy: "camera=(),geolocation=(),gyroscope=(),magnetometer=(),microphone=(),midi=()"

サイトが使用できるブラウザの機能、APIを制御する。サイトがカメラやマイクを使えないようにしてセキュリティやプライバシーを強化する、など。

「camera=(),geolocation=(),gyroscope=(),magnetometer=(),microphone=(),midi=()」だと、カメラ、位置情報、ジャイロセンサー、磁気センサー、マイク、MIDIを無効にする。

制御できる機能は他にも多数あるので参考サイトで要確認。明らかに必要のない機能は無効にしておくといいかも。

Feature Policy - HTTP | MDN
機能ポリシーで、ウェブ開発者はブラウザーの特定の機能や API を有効化、無効化したり、動作を変更したりすることができます。これはコンテンツセキュリティポリシーに似ていますが、セキュリティの動作ではなく機能の制御を行うものです。
developer.mozilla.org
Permissions Policy
www.w3.org
webappsec-permissions-policy/features.md at main · w3c/webappsec-permissions-policy
A mechanism to selectively enable and disable browser features and APIs - webappsec-permissions-policy/features.md at main · w3c/webappsec-permissions-policy
github.com

記述例

.htaccessの編集について】
  • .htaccessの末尾に追記
    • (一部を除いて)本当はどこでも良いけど分かりやすいため
  • .htaccessの最後の行には「改行(空行)」が1行以上必要
  • 文字コードは「UTF-8」「BOMなし」、改行コードは「LF」で保存
# Security Headers
Header always set Strict-Transport-Security: "max-age=63072000; includeSubDomains; preload"
Header always set Content-Security-Policy "upgrade-insecure-requests"
Header always set X-Content-Type-Options "nosniff"
Header always set X-XSS-Protection "1; mode=block"
Header always set Referrer-Policy: "no-referrer-when-downgrade"
Header always append X-Frame-Options SAMEORIGIN
Header always set Permissions-Policy: "camera=(),geolocation=(),gyroscope=(),magnetometer=(),microphone=(),midi=()"
# End Security Headers
「#」が先頭に付いている行はコメントアウト。省略・変更可。

上記コードを.htaccessファイルに追記して保存、サーバーの元の場所にアップロードすれば完了。

「Content Security Policy」と「Expect CT」は、設定をミスした場合のダメージが大きそうだったので、最初の設定時は除外していました。高難易度!
「Permissions-Policy」はひとまず「カメラ、位置情報、ジャイロセンサー、磁気センサー、マイク、MIDI」を無効にしておきました。

サイトの状態を再確認

.htaccessファイルをアップロードしたら分析サイトでHTTPセキュリティヘッダーの設定が適用されているか再確認!

Security HeadersでA+評価

『Security Headers』『HTTPヘッダーセキュリティチェッカー』で確認したところ、設定は正常に反映されているようだった。

ちなみに、設定を変更・無効にしたい場合は、.htaccessファイルに書き込んだ内容を修正・削除すればいい。

設定おつかれさまでした!

参考サイト

コード関連

Manually adding recommended security headers on WordPress - Really Simple SSL
This article will explain how to manually add the recommended security headers to your website. For more advanced security headers or automatically add the secu...
really-simple-ssl.com
WordPressにHTTPセキュリティヘッダーを追加する方法
もしあなたがWordPressのサイトを所有しているなら、Webサイトのセキュリティに注意すべきです。ブログやビジネス、オンラインストアの運営に成功するには、あなたのWebサイトが絶対に安全であることを確認する必要があります。その方法を教えます。
blog.tripwire.co.jp
ワードプレスのセキュリティ対策としてHTTPレスポンスヘッダ 設定方法「securityheaders」のA評価の手順
WEBページやワードプレスのセキュリティ対策に必要な「HTTPレスポンスヘッダ 設定方法」を紹介します。 基本…
morifuji.me
WordPressで例えるHTTPセキュリティヘッダーまとめ | Otogeworks
2013年頃にはContent-Security-Policy(CSP)が使えるようになり、2019年頃までにはCOEP, COOP, CORP, CORSが使えるようになりました。 これらのヘッダーは度々アップデートされており、新しい値が
otogeworks.com

情報関連

HTTPレスポンスヘッダによるセキュリティ対策 - Qiita
HTTPレスポンスヘッダにつけることで セキュリティレベルが向上するヘッダフィールドについてまとめです。HTTPヘッダとは?参考サー...
qiita.com
HTTP ヘッダー - HTTP | MDN
HTTP ヘッダーにより、 HTTP リクエストやレスポンスでクライアントやサーバーが追加情報を渡すことができます。 HTTP ヘッダーは、大文字小文字を区別しないヘッダー名とそれに続くコロン (:)、 値で構成されます。値の前にあるホワイトスペースは無視されます。
developer.mozilla.org
Nginx設定の肝
「がとらぼ」は INTAA.NET管理者の がと の研究室(本当は只の備忘録)です。
intaa.net

Google Transparency Report
transparencyreport.google.com
スポンサーリンク
スポンサーリンク
この記事をシェアする
どんぱっぱをフォローする
サイト支援
当サイトでは読者の方からの寄付・支援を募っています。 記事が「おもしろかった」「役に立った」という方は、よろしければ支援をお願いします。
支援する
スポンサーリンク
となはざな
となはざな

サイト内検索

コメントの通知/購読設定
受け取る通知
guest
0 Comments
Inline Feedbacks
View all comments
タイトルとURLをコピーしました