セキュリティヘッダー設定

24のヘッダーを設定する。
サイトを壊さずに安全に導入。

CSP・HSTSなど24種類のセキュリティヘッダーをGUIで簡単設定。スマートスキャンが最適設定を自動生成するので、サイトを壊す心配なく安心して導入できます。

今すぐ始める SentinelSecurityの概要
セキュリティヘッダー設定 画面

なぜセキュリティヘッダーが必要なのか?

95%のサイトが、
Content-Security-Policyなしで稼働している。

セキュリティヘッダーは、XSS・クリックジャッキング・データ注入からサイトを守るブラウザレベルの防壁です。しかし大多数のWordPressサイトは何も設定せず稼働しており、ブラウザに適用するポリシーが存在しない状態です。

95%+
のウェブサイトが有効なContent-Security-Policyを持たない(securityheaders.comデータ)
24ヘッダー
SentinelSecurity GUIで設定できるセキュリティディレクティブ数
自動CSP生成
スマートスキャナーがライブページのリソースから最適なCSPポリシーを自動生成
スマートスキャン

プラグインとテーマを自動スキャンして、CSPの許可リストを自動作成します。

Google Fonts・Stripe・GTMなどを読み込むプラグインは、CSPに明示的に列挙する必要があります。スマートスキャンはプラグインとテーマのソースファイルを解析して、使用している外部ドメインをすべて検出します。気づかないうちに漏れることがなくなります。

1

有効なプラグインとテーマをスキャン

ボタン一つでスキャンを開始。有効なプラグインとテーマのソースファイルを読み込み、外部ドメインをすべて検出します。Google Fonts・Stripe・GTM・アナリティクスサービスなど、すべて対象です。

2

用途別に自動分類

検出された外部ドメインを、スクリプト・フォント・画像など用途別に自動整理します。どのプラグインがどのドメインを必要としているかが一目で分かります。

3

一覧を確認して適用

身に覚えのないドメインはオフにして保存するだけ。SentinelSecurityが即座にサイト全ページにCSPポリシーを適用します。

6カテゴリ・24項目

すべてのヘッダーを一画面で設定。

サーバーへのアクセス不要。24の設定はすべてGUIから操作できます。オン・オフの切り替え、プリセット選択、カスタム値の入力まで対応。各設定は対象とする脆威ごとにグループ化されています。

Content-Security-Policy — 最も難しく、最も重要なヘッダー

CSPは読み込むすべてのリソースを許可制にします。

CSPはブラウザに、どのスクリプト・フォント・サードパーティウィジェットの読み込みを許可するかを伝えます。利用するすべてのプラグイン — Google Fonts・GTM・Stripe・reCAPTCHA — を明示的にリストアップしなければなりません。

一つ漏れれば、その部分のサイトが動かなくなります。SentinelSecurityは2つの専用ツールで、この推測作業をなくします。

スマートスキャン

プラグインとテーマのソースファイルを読み取り、許可リストを自動的に構築します。

学習モード

CSPがブロックを開始する前に、スマートスキャンが見逃したものを検出します。

Content-Security-Policy設定画面
必須ヘッダー
Content-Security-Policy スマートスキャン Strict-Transport-Security X-Frame-Options X-Content-Type-Options Referrer-Policy Permissions-Policy

セキュリティの基本セット。スクリプトインジェクション・強制HTTPS・クリックジャッキング・MIMEスニッフィング・リファラー漏洩・デバイスAPI悪用をカバーします。

クロスオリジン分離
Cross-Origin-Embedder-Policy Cross-Origin-Opener-Policy Cross-Origin-Resource-Policy X-Permitted-Cross-Domain-Policies Clear-Site-Data

OSメモリレベルでページを分離します。Spectre型攻撃・クロスオリジンウィンドウアクセス・リソースの不正利用から保護します。

Cookieセキュリティ
Cookie · Secure Cookie · HttpOnly Cookie · SameSite

セッションCookieがネットワーク盗聴・XSS窃取・クロスサイトリクエスト偽造に耐えられるかを決める3つのフラグです。

CORS設定
Access-Control-Allow-Origin Access-Control-Allow-Methods Access-Control-Allow-Headers

外部ドメインがAPIレスポンスを読み取れる範囲を定義します。ワイルドカード(*)設定はAPIデータ漏洩の最も一般的な原因の一つです。

WordPress情報の秘寿
X-Pingback Link (REST API) X-Powered-By Server

WordPressはデフォルトでスタック情報を公開します。これらを削除することで、攻撃者が頼りにするエンドポイントとバージョン番号の無償インベントリを断ち切れます。

削除推奨(非推奨)
X-XSS-Protection Expect-CT Public-Key-Pins

現代のブラウザが無視する(またはX-XSS-Protectionのように悪用される可能性がある)3つのレガシーヘッダーです。SentinelSecurityは3件すべてを削除対象としてフラグを立てます。

学習モード

サイトを止めずに安全に調査できます。

学習モードはCSPをReport-Only モードで起動します。まだ何もブロックされず、サイトは普通に動き続けます。

訪問者が閲覧する中、ブラウザはブロックされるはずだったリソースをすべて収集し、SentinelSecurityが確認用の一覧にまとめます。必要なものは許可し、不要なものはスキップするだけです。

準備ができたら、CSPによるブロックを有効化するだけ。ページの崩れも、予期せぬ不具合も起きません。

  • Report-Only モードで動作します。監視中は何もブロックされません。
  • ブラウザからのリアルタイム違反レポートを収集
  • 見落としたドメインをワンクリックで許可リストに追加
  • 強制後も継続して動作 — 新しいプラグインを自動検出
Learning Mode — CSP違反レポート画面

関連機能

「HTTPヘッダー診断」と組み合わせてより安全に

セキュリティヘッダー設定でヘッダーを適用し、HTTPヘッダー診断で正しく設定されているか確認。設定と検証の両輪でセキュリティを確保します。

HTTPヘッダー診断を見る

その他の機能

SentinelSecurityの他の機能も確認

SentinelSecurityは、脆弱性スキャンからファイル監視、メール通知まで、WordPressサイトのあらゆるセキュリティをカバーします。

ログインセキュリティ

WordPressログインを多層で守る。IPロックアウト・2FA・CAPTCHAで攻撃者を入口で阻止。

詳しく見る

HTTPヘッダー診断

セキュリティヘッダーの設定を診断し、不足・誤設定を修正するための具体的な提案を提供します。

詳しく見る

REST API診断

WordPress REST APIのセキュリティを18項目でチェック。攻撃者に発見される前に情報漏洩リスクを特定します。

詳しく見る

API保護

REST APIのレート制限とユーザー列挙対策で、API経由の情報漏洩と不正利用をブロック。

詳しく見る

脆弱性診断

WordPressの設定・バージョン・ファイルパーミッションをセキュリティリスクの角度でチェック。 ワンクリックでリスクスコアを表示します。

詳しく見る

ファイル変更監視

WordPressの各ディレクトリにおけるファイルの追加・変更・削除を検知。不正な改ざんをすぐにアラートでお知らせします。

詳しく見る

メール通知設定

ログイン・ファイル変更・脆弱性検知など、7種類のセキュリティ通知を完全カスタマイズ。ホワイトラベル対応。

詳しく見る
SentinelSecurityの全機能を見る

セキュリティヘッダーで
サイトを強化しましょう。

SentinelSecurityの包括的なセキュリティ機能でWordPressサイトを守りましょう。

プランを見る