新增CSP及刪除Cron

紀錄試圖新增內容安全策略 (Content Security Policy)以及於phpMyAdmin刪除Cron。

Content Security Policy

為了Sucuri SiteCheck的警示,補強CSP設定。

結論:失敗

原因在於若要不使用unsafe-inline的話,那些內聯CSS都要全部改掉,不論是改成獨立文件,或是Hash、隨機數,都一樣浩大。

而如果使用unsafe-inline,明顯與添加內容安全策略的目的相牴觸。(內容安全策略就是為了避免執行被植入的惡意程式碼,而unsafe-inline則是允許CSS、JS以內聯方式執行。)

在仔細閱讀Content Security Policy – An Introduction之後,發現這位專家也是以妥協的態度加上unsafe-inline,那……既然如此,我也沒必要執著。

只是將CSP附上unsafe-inline的設定後,安全分數反而下降,與其如此,不如保持僅添加upgrade-insecure-requests的狀態就好。

而且這次發現考評項目增添了COEP、CORP、COOP……

另外又想到還有DNS CAA……暫時算了,這沒完沒了。

Cron

刪除外掛後遺留的排程。

於phpMyAdmin搜尋「cron」,或輸入:

SELECT * FROM `wp_options` WHERE option_name = 'cron'