Really Simple SSL Proは、Really Simple SSLの上位プラグインとして、より高いセキュリティ機能を提供します。
本プラグインの利用には、事前にReally Simple SSLのインストール・有効化が必要です。
Really Simple SSL Proを利用することで、管理画面やサイト内のコンテンツをすべてSSL化し、サイト内の通信をHTTPSを利用した安全な通信だけにできます。
発見が難しいバックエンドや外部リソースのHTTPのリンクも発見できるため、複数のオリジン間の連携も安全に行うことができるため、開発や運用でのセキュリティ対策に便利です。
混合コンテンツのスキャン及び修正
Really Simple SSL Proでは、通常版よりも強力なスキャン機能によって、サイト内の要素に「http://」で始まるリンクをすべて「https://」で始まるように修正します。
通常版のReally Simple SSLでもボタンひとつで自動的に混合コンテンツを修正できますが、サイト内に混合コンテンツが残る場合があります。
Really Simple SSL Proではより強力なスキャン機能により、バックエンドや外部リソースにおいてHTTPS化されていないリンクも発見・修正可能です。
HSTSでよりセキュリティを強化
「HSTS」とは、”HTTP Strict Transport Security” の略で、HTTPSによる通信を行うようにHTTPヘッダの中で指定する項目です。
この項目がHTTPヘッダ内にある場合、次回以降の通信時には、たとえリンクのURLが「http://」から始まる場合でも、必ずHTTPSによる通信が行われるよう指定します。
情報の窃取や改ざんといったサイバー攻撃への防御として有効で、Googleでも設定を推奨している項目です。
Googleでは「HSTSプリロード」と呼ばれるデータベースを保有し、ブラウザにその情報を提供しています。
HSTSプリロードリストに登録されたサイトへの接続では、初回でもHTTPS接続に関する確認が不要です。これにより、サイトの初回接続時に非SSL通信が行われるリスクを回避できます。
管理画面も完全に HTTPS化
Really Simple SSL Proでは、管理画面の混合コンテンツについても修正が可能です。
そのため、サイトの利用者だけでなく、サイト運営者のセキュリティも強化されます。
デバイスとサイトとの間で暗号化通信を徹底できるため、カフェやコワーキングスペースなど公共の場でのリモートワークや、運営に外部の人が参画している場合のセキュリティ対策に効果的です。
Really Simple SSL Proを利用することで、Webサイトにおける通信を簡単にHTTPSに統一することができます。
WebサービスやWebアプリでは、SSL化によってHTTPSで通信を行うことは必須となっていますが、古いコンテンツや管理画面などにはHTTPによるコンテンツが残っているケースも多いものです。
また、外部のプラグインやオープンソースを利用して構築したサービスの場合、ソースコードの中に「http://」のリンクが使われている場合もありますが、目視でのチェックや修正は現実的ではありません。
Really Simple SSL Proは簡単な操作でサイト全体のセキュリティを高めることができるので、古いサービスのセキュリティ強化や新サービスのリーンスタートアップなどに役立つでしょう。
Really Simple SSL Pro の使い方
HSTS 設定
「HSTS」とは、HTTPSによる通信を行うようにHTTPヘッダの中で指定する項目です。
HTTPヘッダ内でHSTSを設定しますが、HSTSの設定時にはサイト内で必ずHTTPS通信が行われるようになります。
Googleが設定を推奨している項目でもあり、検索エンジンからの評価にも影響する可能性もあります。
HSTSの設定は次のとおりです。
-
- WordPressの管理画面から、 [設定] > [SSL] のページを開き、「プレミアム」タブを選択します。
- 「セキュリティヘッダー」の設定で、「Strict Transport Security (HSTS)」のボタンをONにします。
必要に応じて、「HSTS プリロードリスト用にサイトを設定する」のボタンもONにして [保存] してください。
HSTSプリロードリストに登録する場合、サブドメインも含め、すべての通信でHTTPSが使われますので注意が必要です。
また、プリロードリストからの削除手続きには時間がかかり、リストからの削除後もしばらくはブラウザでリストを保持されます。そのため、SSL化を解除した後も続けてHTTPSで通信が行われ、接続できなくなる場合もあるのでご注意ください。
セキュリティヘッダーのカスタマイズ
Really Simple SSL Proを有効化すると、WordPressサイトのセキュリティヘッダーのカスタマイズが可能になります。
セキュリティヘッダーには、次の種類があります。
- 安全でないリクエストのアップグレード:安全でない接続を安全な接続に置き換えるよう処理します。
- クロスサイトスクリプティングの保護:ブラウザがクロスサイトスクリプティング攻撃を検知した際に、読み込みを停止します。
- Xコンテンツタイプオプション:指定されたファイルの種類(MIMEタイプ)以外のリクエストをブロックします。
- リファラーポリシー:「HTTPS→HTTP」のように、セキュリティ水準が下がる場合にリファラーの送信を防ぎます。
- CTの要求:Expect-CTにより、不正な証明書を検知します。
- Xフレームオプション:<frame> <iframe>、<object>などを使ったページの読み込みの可否を指定します。
- 権限ポリシー:Webサイトで使用できる機能を制限します。
- Strict Transcport Security(HSTS):設定すると、すべての通信がHTTPSで行われます。
- HSTSプリロードリスト用にサイトを設定する:HSTSプリロード用のヘッダを追加します。
- コンテンツセキュリティポリシー:Webサイトが読み込むコンテンツを指定し、無関係な第三者による悪用を防ぎます。
セキュリティヘッダーの設定は次のように行います。
- WordPressの管理画面から、 [設定] > [SSL] のページを開き、「一般」タブの「プレミアム設定」フィールドで「セキュリティヘッダーを設定する方法」を選択します。
このとき、「.htaccess」「PHP」「nginx.conf」から設定方法を選べますので、環境に合わせて選択してください。
- WordPressの管理画面から、 [設定] > [SSL] のページを開き、「プレミアム」タブを選択し、「セキュリティヘッダー」で対象のボタンをONにしてください。
Really Simple SSL Proを使うと、HSTSの設定をはじめとする複雑なセキュリティヘッダの設定が簡単に行えます。
古いサイトや、複数のオリジンからコンテンツを読み込むWebサイトでもセキュリティレベルを高く保つことが可能です。
開発から運用に至るまで、Webのさまざまな現場で役立つでしょう。
