セキュリティヘッダー設定
セキュリティヘッダー設定は、管理画面からHTTPセキュリティヘッダーを直接設定できる機能です。
なぜ管理画面からの設定が重要なのか
従来、セキュリティヘッダーの設定にはサーバーの設定ファイル(.htaccess や nginx.conf)を直接編集する必要がありました。これには以下の課題があります。
- サーバー管理の知識が必要
- 設定ミスがサイト全体のダウンにつながる
- CSP の設定は複雑で、1つのミスでサイトが正常に表示されなくなる
- 共用サーバーでは設定が制限される
設定可能なヘッダー(10種類)
主要ヘッダー
| ヘッダー | 機能 | 推奨レベル |
|---|---|---|
| Content-Security-Policy (CSP) | スクリプト/スタイル/画像等のリソース制御 | 必須 |
| Strict-Transport-Security (HSTS) | HTTPS強制 | 必須 |
| X-Content-Type-Options | MIMEスニッフィング防止 | 必須 |
| X-Frame-Options | クリックジャッキング防止 | 必須 |
| Referrer-Policy | リファラー制御 | 推奨 |
| Permissions-Policy | ブラウザAPI制限 | 推奨 |
| X-XSS-Protection | レガシーXSSフィルタ | 任意 |
WordPress 固有の削除設定
| 設定 | 対象 | 効果 |
|---|---|---|
| X-Powered-By 削除 | PHPバージョン情報 | サーバー情報隠蔽 |
| Server ヘッダー削除 | Webサーバー情報 | サーバータイプ隠蔽 |
セキュリティレベル(プリセット)
複雑なヘッダー設定を簡単に導入するために、3つのプリセットが用意されています。
| レベル | 内容 | 対象 |
|---|---|---|
| 基本 | 最小限のヘッダー(HSTS、X-Content-Type-Options、X-Frame-Options) | 初めて導入する方 |
| 標準 | 基本 + CSP(レポートモード)、Referrer-Policy | 多くのサイトに推奨 |
| 厳格 | 全ヘッダーをフルポリシーで適用 | セキュリティ重視のサイト |
サイト保護(CSP の推奨ワークフロー)
バージョン 1.7.0 以降、CSP の導入・運用は サイト保護 画面に統合され、既定で有効になっています。スマートスキャンと学習を個別に操作する代わりに、画面に表示される状態に沿って進めるだけで安全に CSP を適用できます。
状態の流れ
- 監視中 — サイトで使われている外部サービスを自動で収集します(スマートスキャン+実際のアクセスからの学習)。
- 要確認 — 新しく見つかったサービスを「許可」または「ブロック」で判断します。「全て許可」「全てブロック」でまとめて操作することもできます。
- 保護中 — 許可したサービスから CSP を生成して適用します。あとから判断を変更した場合は「保護を再適用」で反映します。
便利な機能
- サービスのまとめ表示: 多数のサブドメインを使う提供元(Google Fonts、Google APIs、Cloudflare など)は 1 つのサービス(ワイルドカード)にまとめて表示され、許可リストが短く見やすくなります。
- 呼び出し元の表示: 各サービスが、どのプラグイン・テーマから読み込まれているかを確認できます。
- 学習データのリセット: 収集した判断・履歴をすべて削除して、最初からやり直せます。不要なデータが溜まったときに便利です(リセット後は自動で再スキャンはせず、一覧は空の状態から始まります)。
以下のスマートスキャン・学習モード・CSP違反ログは、サイト保護の内部で使われている仕組みです。個別の画面を使いたい場合の参考として説明します。
スマートスキャン
スマートスキャンは、CSP ヘッダーを適用する前に、サイトで使用されているリソース(スクリプト、スタイルシート、画像、フォントなど)を自動的にスキャンし、適切な CSP ポリシーを生成する機能です。
使い方
- セキュリティヘッダー設定 → CSP セクション
- スマートスキャン ボタンをクリックします
- サイトの各ページがスキャンされ、リソースのオリジンが一覧表示されます
- 必要に応じてオリジンの許可/拒否を選択します
- ポリシーを生成 をクリックします
学習モード(CSP Report-Only)
CSP の学習モードは、実際にはリソースをブロックせず、ポリシーに違反するリソースをレポートのみ記録する モードです。
導入手順
- CSP Mode を Report-Only(学習) に設定します
- 1〜2週間ほど運用し、違反レポートを収集します
- CSP違反ログ で、ブロックされるはずだったリソースを確認します
- 正当なリソースはポリシーに追加、不正なリソースは除外します
- 違反が十分に減少したら、Enforce(適用) モードに切り替えます
CSP違反ログ
管理画面の CSP違反ログ では、以下の情報が確認できます。
- 違反したディレクティブ:
script-src、style-srcなど - ブロックされたURI: リソースのURL
- ページURL: 違反が発生したページ
- 発生回数: 同一違反の集約カウント
- 日時: 直近の発生日時
.htaccess セキュリティ
Apache環境では、.htaccess に直接セキュリティヘッダーを出力する機能も備えています。PHPレベルではなくサーバーレベルでヘッダーを設定するため、静的ファイル(画像、CSS、JS)にもヘッダーが適用されます。
テストモード/本番モード
| モード | 動作 |
|---|---|
| テストモード | .htaccess.test に出力してプレビュー。本番に影響なし |
| 本番モード | .htaccess に直接書き込み。即座に反映 |
.htaccess本番モードでのCSP運用ポイント
- 学習モード終了時は、違反ログで確認した許可ドメインを必ずCSPへ反映してください
- 設定保存時に
.htaccessが再生成されるため、変更後は必ず保存を実行してください .htaccessが書き込み不可だと反映されないため、権限を確認してください- 反映確認はブラウザ開発者ツールのネットワーク/コンソールで行うと確実です
注意事項
- CSP を誤って設定すると、サイトのスクリプトやスタイルが読み込めなくなります。必ず 学習モード から開始してください
- HSTS を有効にした後に SSL を無効にすると、ブラウザがサイトにアクセスできなくなります
- 設定変更前に
.htaccessのバックアップを取得することを推奨します