OWASP ZAPの簡易スキャンをしてみた

  • 投稿者:
  • 投稿カテゴリー:security

OWASP ZAPの診断結果

本サイトについてOWASP ZAPの簡易スキャンを実施した。

SQL Injection 対策

WordPressでコメント受付できないようにする設定を参考に、コメント欄を無効にした。
6年間運用してほぼコメントなく、本当に何か言いたいことあればTwitterにくると思ったため無効に。
この設定で新しい記事はコメント無効になるが、既存の記事はコメント可能であるため[1日以上前の投稿のコメントフォームを自動的に閉じる]とした。

Application Error Disclosure 対策

エラーメッセージを記事に貼っていたことが原因だったため、可能な限り書き換えた。(エラーメッセージを本当のエラーと誤認識されていた。)

X-Frame-Options Header Not Set などのHeader対策

HTTP headers to improve web site securityというプラグインをインストールして制御した。
Security Headersというサイトでチェックすると対応しやすかった。