WordPressにセキュリティ応答ヘッダーを追加することは複雑ではなく、サーバー構成、セキュリティプラグイン、またはCDNを介して実裝できます。 1. X-Content-Type-Options、X-Frame-Optionsなどのヘッダー情報を追加して、ApacheまたはNginx構成ファイルを介して追加します。 2。WordFenceやIthemesセキュリティなどのプラグインを使用して、設定を簡素化します。 3. CloudFlareなどのCDNプラットフォームの組み込み関數を使用して、グローバルヘッダー情報を構成します。構成後、SecurityHeaders.comまたはChrome Devtoolsを使用してテストと検証を行い、正確さを確保し、少なくともAレベルのスコアを取得する必要があります。

WordPressでセキュリティヘッダーを適用することになると、ほとんどの人はそれが複雑であるか、上級ユーザーのみであると考えています。真実は、それらを設定するために開発者である必要はありませんが、そうすることで、あなたのサイトが一般的なWebの脅威に対して大幅に安全になる可能性があります。

技術的すぎずにそれを行う方法は次のとおりです。

セキュリティヘッダーとは何か、そしてそれらが重要な理由

セキュリティヘッダーは、Webサイトのロード時にブラウザが受信するHTTP応答の一部です。これらのヘッダーは、サイトのコンテンツを処理する際の動作方法をブラウザに伝えます。たとえば、クロスサイトスクリプト（XSS）、クリックジャック、およびMIMEタイプのスニッフィングの防止に役立ちます。

適切なヘッダーがなければ、他のすべてがロックダウンされていても、WordPressサイトは攻撃に対してより脆弱になる可能性があります。

あなたが考慮すべき一般的なヘッダー：

• Content-Security-Policy
• X-Content-Type-Options: nosniff
• X-Frame-Options: DENYまたはSAMEORIGIN
• X-XSS-Protection: 1; mode=block
• Strict-Transport-Security （HSTS）

これらはプラグインではなく、サーバーレベルの設定です。つまり、WordPressダッシュボードの外側で構成する必要があります。

WordPressにセキュリティヘッダーを追加する方法

セットアップに応じて、これらのヘッダーを適用する方法はいくつかあります。

1. Webサーバーの構成を使用します

サーバー構成ファイル（Apacheの.htaccessやnginx configなど）にアクセスできる場合、これは最も信頼できる方法です。

Apacheの場合：

 <ifmodule mod_headers.c>
    ヘッダーセットX-Content-Type-Options "nosniff"
    ヘッダーセットxフレームオプション「拒否」
    ヘッダーセットx-xss-pertection "1; mode = block"
    ヘッダーは常に厳密な輸送セキュリテ?！窶ax-Age = 31536000; includeubdomains; Preload」を設定します。
</ifmodule>

nginxの場合：

 add_header X-Content-Type-Options "nosniff";
add_header x-frame-options "deny";
add_header x-xss-protection "1; mode = block";
add_header strict-transport-security "max-age = 31536000; includeubdomains; preload";

Apacheでmod_headersが有効になっていることを確認し、変更後にサーバー構成をリロードしてください。

2。セキュリティプラグインを使用します

サーバーファイルの編集に慣れていない場合は、 WordFence 、 Ithemesセキュリティ、またはWordPress內からこれらのヘッダーの一部を構成できるHTTPヘッダーなどのプラグインがあります。

留意してください：

• すべてのプラグインがすべてのヘッダーをサポートするわけではありません
• 必要に応じて動的にヘッダーを更新しない場合があります
• サイトを壊さないようにしてから常にテストしてください

3。CDNを介して

CloudFlare、Sucuri、または別のCDNを使用する場合、多くの人がセキュリティヘッダーを設定するための組み込みオプションを提供します。サーバーファイルに接觸せずにグローバルにヘッダーを管理したい場合、これは多くの場合最も簡単な方法です。

たとえば、CloudFlare：

• SSL/TLS> HTTP Strict Transport Securityに移動します
• サブドメインとプリロードオプションを備えたHSTSを有効にします
• ルール>応答ヘッダーの下で、他のヘッダーのカスタムルールを作成します

ヘッダーをテストして監(jiān)視します

適用したら、ヘッダーが正しく機能していることを確認することが重要です。

次のようなツールを使用できます。

• SecurityHeaders.com
• ChromeDevtools（ネットワークタブ>ヘッダー）
• 硬化します

これらはサイトをスキャンし、実裝を評価します。少なくともAの評価を目指していますが、完全なHST、CSP、およびその他の保護を実施している場合はAを取得することが可能です。

また、覚えておいてください：

• 理解していないヘッダーを有効にしないでください
• Content-Security-Policy適切に構成されていないとサイトを破ることができます
• 変更を加える前に常にバックアップしてください

最終的な考え

WordPressにセキュリティヘッダーを適用することは困難ではありませんが、少し注意が必要です。サーバーの構成、プラグイン、またはCDNを使用するかどうかにかかわらず、その後すべてをテストしてください。それは時間がかからないが、保護のしっかりした層を追加するものの1つです。

そして正直なところ、それが正しく行われたら、あなたはそれを忘れることができます - 次回のサイトのセキュリティ姿勢を確認するまで。

基本的にそれだけです。

以上がWordPressにセキュリティヘッダーを適用する方法の詳細內容です。詳細については、PHP 中國語 Web サイトの他の関連記事を參照してください。