HTTPヘッダの追加でウェブのセキュリティ強化

ウェブサイトのセキュリティをHTTPのヘッダを追加するだけで簡単にアップできるのでやってみよう。
下記のf5社のサイトでも詳しく紹介されているので、ヘッダの意味や詳細は下記を参照いただきたい。
https://devcentral.f5.com/articles/7http

今回はAWSのLightsail上のWordPressを前提に設定を進めますが、基本的には.htaccessファイルに設定するだけなので、ほかの環境でも問題なく設定できます。

Lightsailでは/apps/wordpress/conf/htaccess.confに以下の設定を追加するだけです。以下の例では下記の4個のヘッダを追加しています。

X-XSS-Protection
X-Content-Type-Options
X-Frame-Options / Frame-Options
Strict-Transport-Security
※「Strict-Transport-Security」ヘッダはサイトがHTTPS化していないと意味がないので、していない人は設定しないように気を付けよう。

<Directory /opt/bitnami/apps/wordpress/htdocs/>
<IfModule mod_rewrite.c>
Header always set X-Frame-Options "deny"
Header always set X-Content-Type-Options "nosniff"
Header always set X-XSS-Protection "1; mode=block"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
</IfModule>
</Directory>

設定後はLightsailの管理画面でサーバを再起動して、下記のサイトで設定が有効にあったか確認しよう。

Observatory by Mozilla
https://observatory.mozilla.org/?

当サイトの評価は以下の通り。上記で設定した4個のヘッダが有効になったことが確認できます。