新增CSP及刪除Cron

紀錄試圖新增內容安全策略 (Content Security Policy)以及於phpMyAdmin刪除Cron。

Content Security Policy

為了Sucuri SiteCheck的警示，補強CSP設定。

結論：失敗

原因在於若要不使用unsafe-inline的話，那些內聯CSS都要全部改掉，不論是改成獨立文件，或是Hash、隨機數，都一樣浩大。

而如果使用unsafe-inline，明顯與添加內容安全策略的目的相牴觸。（內容安全策略就是為了避免執行被植入的惡意程式碼，而unsafe-inline則是允許CSS、JS以內聯方式執行。）

在仔細閱讀Content Security Policy – An Introduction之後，發現這位專家也是以妥協的態度加上unsafe-inline，那……既然如此，我也沒必要執著。

只是將CSP附上unsafe-inline的設定後，安全分數反而下降，與其如此，不如保持僅添加upgrade-insecure-requests的狀態就好。

而且這次發現考評項目增添了COEP、CORP、COOP……

另外又想到還有DNS CAA…暫時算了，這沒完沒了。

Cron

刪除外掛後遺留的排程。

於phpMyAdmin搜尋「cron」，或輸入：

SELECT * FROM `wp_options` WHERE option_name = 'cron'