Редактиране на WordPress HTTP заглавки, работещи на IIS за мерки за сигурност
Среда за проверка
- Почетна - WordPress
-
- 5.8.2
- ..PHP
-
- 7.1.29
- ИИС
-
- 10.0
- Сървър на Windows
-
- 2019
Предпоставката
Тази статия предполага, че WordPress вече работи на IIS.
Проверки за сигурност
Отидете на следния сайт, въведете URL адреса на вашия WordPress сайт и натиснете бутона Сканиране.
Полученият ранг е "A+, A, B, C, D, E, F", което означава, че колкото по-близо до A+, толкова по-сигурен е той. Обратно, по-близо до F означава по-малко сигурен.
Можете да видите, че тя се изпълнява срещу WordPress сайт, инсталиран на IIS, но се показва като F, защото няма мерки за противодействие по подразбиране.
Мерки за сигурност
Ако го погледнете в мрежата, " . htaccess" файл, но . htaccess" се използва основно от уеб сървъра на Apache, така че не може да се използва в IIS.
За IIS, Apache's . htaccess" съответства на файла "web.config", така че ще напишете настройките тук.
Можете да напишете настройките директно в web.config, но в този случай бих искал да използвам Internet Information Services (IIS) Manager, за да добавя настройките и след това да проверя web.config, след като ги настроя.
Настройки в IIS Manager
От менюто "Старт" изберете Диспечер на интернет информационни услуги (IIS).
Изберете сайта, където се изпълнява "WordPress" от дървото вляво и щракнете двукратно върху "HTTP Response Headers" от средния списък, за да го отворите.
Тук въведете име и стойност, добавете ги и задайте заглавката на отговора. Ето какво ще добавим този път: Основните от тях са извлечени, но не се колебайте да добавите още елементи или да промените стойностите, ако е необходимо.
| Стойност на | име |
|---|---|
| X-Съдържание-Тип-Опции | Носниф |
| X-Frame-Опции | SAMEORIGIN |
| X-XSS-защита | 1; режим = блок |
| Политика за препращане | не-препращащ-когато-понижаване-понижаване |
| Политика за сигурност на съдържанието | Заявки за надстройване-несигурни |
| Строга транспортна сигурност | Макс-възраст=31536000 |
| Правила за разрешения | цял екран=(самостоятелно), акселерометър=(), камера=(), геолокация=(), жироскоп=(), магнитометър=(), микрофон=(), midi=(), плащане=() |
X-Content-Type-Options Бих искал да добавя като пример. Щракнете върху Добавяне от менюто вдясно.
Въведете за името, въведете стойността X-Content-Type-Options nosniff и щракнете върху бутона OK.
Добавена е една стойност.
Ако проверите "Заглавия на защитата" в това състояние като тест, можете да видите, че рангът на защита се е увеличил.
Продължих да се регистрирам и се опитах да поставя всички стойности в таблицата по-горе.
Когато го сканирах в това състояние, успях да видя, че това е най-високият ранг A +.
Това е добре за сигурността, но е доста ограничаващо, така че отворете вашия WordPress сайт и проверете дали има някакви проблеми с работата на съдържанието.
Permissions-Policy По-специално, напълно е деактивирал информацията за камерата и местоположението, така че регулирайте стойностите според вашия WordPress сайт.
Проверка на web.config
Трябва да има web.config в корена на папката, където се намира WordPress, така че го отворете в Notepad и т.н. и го проверете.
Трябва да можете да видите, че тя е въведена, както е показано на фигурата по-долу. Вместо да използвате IIS Manager, можете да зададете заглавки на HTTP отговор в web.config по същия начин.