تحرير رؤوس HTTP ووردبريس التي تعمل على IIS لتدابير الأمان

تحديث الصفحة : الأحد، 30 أكتوبر 2022

تاريخ إنشاء الصفحة : الجمعة، 19 نوفمبر 2021

بيئة التحقق

ووردبريس

5.8.2

..PHP

7.1.29

معهد الدراسات الإسماعيلية

10.0

ويندوز سيرفر

2019

فرضيه

تفترض هذه المقالة أن WordPress يعمل بالفعل على IIS.

الفحوصات الأمنية

انتقل إلى الموقع التالي ، وأدخل عنوان URL لموقع WordPress الخاص بك ، واضغط على زر المسح الضوئي.

رؤوس الأمان

الرتبة الناتجة هي "A + ، A ، B ، C ، D ، E ، F" ، مما يعني أنه كلما اقتربت من A + ، كلما كانت أكثر أمانا. على العكس من ذلك ، فإن الأقرب إلى F يعني أقل أمانا.

يمكنك أن ترى أنه يتم تنفيذه ضد موقع WordPress مثبت على IIS ، ولكن يتم عرضه ك F لأنه لا توجد تدابير مضادة بشكل افتراضي.

التدابير الأمنية

إذا بحثت عنه على الشبكة ، " . htaccess" ملف، ولكن ملف . htaccess" يستخدم بشكل أساسي من قبل خادم الويب الخاص ب Apache ، لذلك لا يمكن استخدامه في IIS.

بالنسبة ل IIS ، Apache's . htaccess" يتوافق مع ملف "web.config" ، لذلك سوف تكتب الإعدادات هنا.

يمكنك كتابة الإعدادات مباشرة في web.config ، ولكن في هذه الحالة ، أرغب في استخدام إدارة خدمات معلومات الإنترنت (IIS) لإضافة الإعدادات ثم التحقق من web.config بعد تعيينها.

الإعدادات في إدارة IIS

من القائمة ابدأ، حدد إدارة خدمات معلومات إنترنت (IIS).

حدد الموقع الذي يتم فيه تشغيل "WordPress" من الشجرة الموجودة على اليسار وانقر نقرا مزدوجا فوق "رؤوس استجابة HTTP" من القائمة الوسطى لفتحه.

هنا ، أدخل اسما وقيمة ، وأضفهما ، وقم بتعيين رأس الاستجابة. إليك ما سنضيفه هذه المرة: يتم اقتباس أهمها ، ولكن لا تتردد في إضافة المزيد من العناصر أو تغيير القيم حسب الحاجة.

قيمة الاسم
X-المحتوى-نوع-خيارات	نوسنيف
X-الإطار-خيارات	ساميأوريجين
X-XSS-حماية	1; الوضع = كتلة
سياسة المحيل	لا يوجد محيل - متى - الرجوع إلى إصدار أقدم
سياسة أمن المحتوى	طلبات الترقية غير الآمنة
النقل الصارم والأمن	الحد الأقصى للعمر = 31536000
سياسة الأذونات	ملء الشاشة = (الذاتي) ، مقياس التسارع = () ، الكاميرا = () ، تحديد الموقع الجغرافي = () ، جيروسكوب = () ، مقياس المغناطيسية = () ، الميكروفون = () ، midi = () ، الدفع = ()

X-Content-Type-Options أود أن أضيف كمثال. انقر على إضافة من القائمة على اليسار.

أدخل للاسم، وأدخل للقيمة X-Content-Type-Options nosniff ، وانقر فوق الزر موافق ( OK) .

تمت إضافة قيمة واحدة.

إذا قمت بتحديد "رؤوس الأمان" في هذه الحالة كاختبار ، فيمكنك أن ترى أن رتبة الأمان قد زادت.

واصلت التسجيل وحاولت وضع جميع القيم في الجدول أعلاه.

عندما قمت بمسحها ضوئيا في هذه الحالة ، تمكنت من رؤية أنها كانت أعلى رتبة A +.

هذا جيد للأمان ، لكنه مقيد للغاية ، لذا افتح موقع WordPress الخاص بك وتحقق مما إذا كانت هناك أي مشاكل في عمل المحتوى.

Permissions-Policy على وجه الخصوص ، قام بتعطيل الكاميرا ومعلومات الموقع تماما ، لذا اضبط القيم وفقا لموقع WordPress الخاص بك.

التحقق من web.config

يجب أن يكون هناك web.config في جذر المجلد حيث يوجد WordPress ، لذا افتحه في المفكرة وما إلى ذلك وتحقق منه.

يجب أن تكون قادرا على رؤية أنه تم إدخاله كما هو موضح في الشكل أدناه. بدلا من استخدام إدارة IIS، يمكنك تعيين رؤوس استجابة HTTP في web.config بنفس الطريقة.