「HSTS」とは、HTTPSによる通信を行うようにHTTPヘッダの中で指定する項目です。
HTTPヘッダ内でHSTSを設定しますが、HSTSの設定時にはサイト内で必ずHTTPS通信が行われるようになります。
Googleが設定を推奨している項目でもあり、検索エンジンからの評価にも影響する可能性もあります。
HSTSの設定は次のとおりです。
-
- WordPressの管理画面から、 [設定] > [SSL] のページを開き、「プレミアム」タブを選択します。
- 「セキュリティヘッダー」の設定で、「Strict Transport Security (HSTS)」のボタンをONにします。
必要に応じて、「HSTS プリロードリスト用にサイトを設定する」のボタンもONにして [保存] してください。
- WordPressの管理画面から、 [設定] > [SSL] のページを開き、「プレミアム」タブを選択します。
HSTSプリロードリストに登録する場合、サブドメインも含め、すべての通信でHTTPSが使われますので注意が必要です。
また、プリロードリストからの削除手続きには時間がかかり、リストからの削除後もしばらくはブラウザでリストを保持されます。そのため、SSL化を解除した後も続けてHTTPSで通信が行われ、接続できなくなる場合もあるのでご注意ください。
Really Simple SSL Proを有効化すると、WordPressサイトのセキュリティヘッダーのカスタマイズが可能になります。
セキュリティヘッダーには、次の種類があります。
- 安全でないリクエストのアップグレード:安全でない接続を安全な接続に置き換えるよう処理します。
- クロスサイトスクリプティングの保護:ブラウザがクロスサイトスクリプティング攻撃を検知した際に、読み込みを停止します。
- Xコンテンツタイプオプション:指定されたファイルの種類(MIMEタイプ)以外のリクエストをブロックします。
- リファラーポリシー:「HTTPS→HTTP」のように、セキュリティ水準が下がる場合にリファラーの送信を防ぎます。
- CTの要求:Expect-CTにより、不正な証明書を検知します。
- Xフレームオプション:<frame> <iframe>、<object>などを使ったページの読み込みの可否を指定します。
- 権限ポリシー:Webサイトで使用できる機能を制限します。
- Strict Transcport Security(HSTS):設定すると、すべての通信がHTTPSで行われます。
- HSTSプリロードリスト用にサイトを設定する:HSTSプリロード用のヘッダを追加します。
- コンテンツセキュリティポリシー:Webサイトが読み込むコンテンツを指定し、無関係な第三者による悪用を防ぎます。
セキュリティヘッダーの設定は次のように行います。
- WordPressの管理画面から、 [設定] > [SSL] のページを開き、「一般」タブの「プレミアム設定」フィールドで「セキュリティヘッダーを設定する方法」を選択します。
このとき、「.htaccess」「PHP」「nginx.conf」から設定方法を選べますので、環境に合わせて選択してください。 - WordPressの管理画面から、 [設定] > [SSL] のページを開き、「プレミアム」タブを選択し、「セキュリティヘッダー」で対象のボタンをONにしてください。
Really Simple SSL Proを使うと、HSTSの設定をはじめとする複雑なセキュリティヘッダの設定が簡単に行えます。
古いサイトや、複数のオリジンからコンテンツを読み込むWebサイトでもセキュリティレベルを高く保つことが可能です。
開発から運用に至るまで、Webのさまざまな現場で役立つでしょう。
