워드프레스 사이트 건강에서는 개선해야 할 사항이나 해결해야 할 사항들이 표시됩니다. 사이트 건강에 "모든 권장 보안 ㅎ더가 설치되지는 않았습니다" 경고가 표시되면서 비보안 요청 업그레이드(Upgrade Insecure Requests) 문구가 표시되는 경우가 있을 수 있습니다.
워드프레스 사이트 건강 "Upgrade Insecure Requests" 경고
워드프레스 알림판 » 도구 » 사이트 건강에서 아래 그림과 같이 보안 헤더 전송 관련 경고가 표시되는 경우가 있습니다.
경고 문구:
모든 권장 보안 헤더가 설치되지는 않았습니다.
귀하의 웹사이트는 모든 권장 보안 헤더를 전송하지 않습니다(Your website does not send all recommended security headers).
- Upgrade Insecure Requests
- X-XSS protection
- X-Content Type Options
- Referrer-Policy
- X-Frame-Options
- Permissions-Policy
- HTTP Strict Transport Security
이 문제는 Really Simple SSL 플러그인(한글 명칭 "정말 간단한 SSL")에서 제시하는 보안 헤더가 [**.htaccess**] 파일에 추가되지 않는 경우에 발생하는 것 같습니다.
이 문제가 발생하면 먼저 캐시를 삭제하여 경고 문구가 사라지는지 체크해보시기 바랍니다.
경고가 지속되는 경우 설정 » 고유주소의 설정이 "일반"으로 되어 있다면 "글 이름" 등으로 수정하고 저장하고, Really Simple SSL 플러그인에서 다시 저장하면 경고 문구가 사라질 것입니다.
그래도 해결이 안 되면 FTP에 접속하여 [**.htaccess**] 파일에 다음과 같은 보안 헤더 코드를 추가하여 문제가 해결되는지 살펴보세요.
# Really Simple SSL
Header always set Content-Security-Policy "upgrade-insecure-requests"
Header always set X-Content-Type-Options "nosniff"
Header always set X-XSS-Protection "1; mode=block"
Header always set Referrer-Policy: "no-referrer-when-downgrade"
Header always set Expect-CT "max-age=7776000, enforce"
Header always set X-Frame-Options: "SAMEORIGIN"
Header always set Permissions-Policy: ""
Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS
# End Really Simple SSL
위의 코드는 Really Simple SSL에서 제시하는 올바른 값이라고 하네요("Your website does not send all recommended security headers" 참고).
참고로 Really Simple SSL은 사이트 속도를 느리게 할 수 있으므로 이 플러그인 설치 전후의 사이트 속도를 비교하여 사용 여부를 결정하면 좋을 것 같습니다.
SSL 인증서 설치 후 조치
블루호스트나 클라우드웨이즈, 카페24의 매니지드 워드프레스 상품 등에서는 무료 SSL 인증서를 제공합니다. 만약 기존에 SSL 인증서가 설치되지 않은 사이트에 SSL 인증서를 설치한 후에는 다음과 같은 조치를 취해주어야 합니다.
- 설정 » 일반에서 워드프레스 주소와 사이트 주소(2개 항목)를 http:// 주소에서 https:// 주소로 변경합니다.
- 사이트 내의 모든 http:// 주소를 https:// 주소로 일괄 변경합니다(해당 사이트 주소에 대하여). 디비에서 직접 작업하거나 URL 일괄 변경 플러그인을 사용할 수 있습니다.
- 검색엔진이나 커뮤니티 등에서 http:// 주소로 유입되는 방문자들을 https:// 주소로 리디렉션되도록 설정합니다.
이러한 작업을 직접 해주어야 하지만, 쉽지 않은 경우 Really Simple SSL 인증서를 설정하면 쉽게 가능합니다. 다만, 이 플러그인으로 인해 사이트 속도가 영향을 받지 않는지 체크해 보세요.
참고
https://avada.tistory.com/3093
https://avada.tistory.com/3089