OWASP ZAPの診断結果
本サイトについてOWASP ZAPの簡易スキャンを実施した。
SQL Injection 対策
WordPressでコメント受付できないようにする設定を参考に、コメント欄を無効にした。
6年間運用してほぼコメントなく、本当に何か言いたいことあればTwitterにくると思ったため無効に。
この設定で新しい記事はコメント無効になるが、既存の記事はコメント可能であるため[1日以上前の投稿のコメントフォームを自動的に閉じる]とした。
Application Error Disclosure 対策
エラーメッセージを記事に貼っていたことが原因だったため、可能な限り書き換えた。(エラーメッセージを本当のエラーと誤認識されていた。)
X-Frame-Options Header Not Set などのHeader対策
HTTP headers to improve web site securityというプラグインをインストールして制御した。
Security Headersというサイトでチェックすると対応しやすかった。