こちらの投稿でReally Simple SSLを導入した際に以下のコードを挿入してあったのだが、サイトヘルスの表示から、それらが定義されていないと警告されるようになった。それで、おかしいなと思いながら、.htaccess ファイルをローカルにダウンロードしてチェックすると、挿入したはずの以下の6行のコードがファイルから削除されていた。

Header always set Strict-Transport-Security: “max-age=31536000” env=HTTPS
Header always set Content-Security-Policy “upgrade-insecure-requests”
Header always set X-Content-Type-Options “nosniff”
Header always set X-XSS-Protection “1; mode=block”
Header always set Expect-CT “max-age=7776000, enforce”
Header always set Referrer-Policy: “no-referrer-when-downgrade”

どういうことよと思って、もしかしたら、更新されたプラグインに差し替えが必要かと思って、削除してインストールし直したが変わらない。上記コードを再度挿入して、.htaccessファイルを差し替えるとなんとerrerコード500でサイト自体が表示されない。SSL証明書はサーバーから取得済だからおかしいなあと思って、取り敢えず、他のSSLプラグイン(要はHTTPからHTTPSに転送するプラグイン)にしたら、このサイトそのものが表示されないトラブル。まあ、Wordpressのサポートサイトを見て、プラグインを無効化する方法で事なきを得たんだが・・・

で、結局、Really Simple SSLを始めとしてSSL関連プラグインは削除して、.htaccessも一番最初のファイルに戻してみたら無事に表示。また、「HTTPをHTTPSに変更しますか?」と言う表示がダッシュボードに出たので素直にYESで変更したところ・・・サイトヘルスの表示は以下の通りで警告が消えているww つまり、サイトヘルスの表示に会った警告はなんのことはない、Really Simple SSLが出力(?)していただけで、有料版へのアップグレードを促す細工じゃないかと。つまり、俺が最初に入れた4.0.5以降のバージョンでは(自動更新を有効化していたので)コードが挿入されていると、プラグイン側で勝手に削除し、アップグレードを促すべく警告が表示されるようにしてあるのではなかろうかと推測。

ちなみに、サイトの安全度をチェックする https://www.ssllabs.com/ssltest/  ではA評価。

 

先に使ったhttps://securityheaders.com/では相変わらずのF評価ww

これは、あくまでもセキュリティヘッダーについてのテストだから、それらを記載していないのでF判定ですな。んじゃ、セキュリティヘッダーを追記するかってことなんだよね。これについては、別途、投稿します。

 

追記:2022/10/25

このサイトを調べると、ちゃんと、https://にリダイレクトされていることがわかる。SSL化のプラグインをインストールしていないにも拘らず。これはどういうことかと思うに、Really Simple SSLってのはサイトのURLをhttp://からhttps://に書換をして、その上でリダイレクトするように設定しているんだけど、随時書換をするんじゃなくて実際に書換を行っているんじゃないかと。だから、アンインストールしてもSSLが有効になっているのではないかと。そうじゃないと、ダッシュボードでサイトヘルスが良好であることを維持していることやサイトの安全性がA評価を取れるはずがない。だけど、それがわかるとアンインストールされちゃうから、セキュリティヘッダーがダメだよってメッセージをダッシュボードに表示させてアップグレード版への移行を促そうとしているんじゃないかなと。本件について詳しい方がいらっしゃればコメントください。