新增CSP及刪除Cron
紀錄試圖新增內容安全策略 (Content Security Policy)以及於phpMyAdmin刪除Cron。
Content Security Policy
為了Sucuri SiteCheck的警示,補強CSP設定。
結論:失敗
原因在於若要不使用unsafe-inline
的話,那些內聯CSS都要全部改掉,不論是改成獨立文件,或是Hash、隨機數,都一樣浩大。
而如果使用unsafe-inline
,明顯與添加內容安全策略的目的相牴觸。(內容安全策略就是為了避免執行被植入的惡意程式碼,而unsafe-inline
則是允許CSS、JS以內聯方式執行。)
在仔細閱讀Content Security Policy – An Introduction之後,發現這位專家也是以妥協的態度加上unsafe-inline
,那……既然如此,我也沒必要執著。
只是將CSP附上unsafe-inline
的設定後,安全分數反而下降,與其如此,不如保持僅添加upgrade-insecure-requests
的狀態就好。
而且這次發現考評項目增添了COEP、CORP、COOP……
另外又想到還有DNS CAA……暫時算了,這沒完沒了。
Cron
刪除外掛後遺留的排程。
於phpMyAdmin搜尋「cron」,或輸入:
SELECT * FROM `wp_options` WHERE option_name = 'cron'