Editeu les capçaleres HTTP de WordPress que s'executen a IIS per obtenir mesures de seguretat
Entorn de verificació
- WordPress
-
- 5.8.2
- ..PHP
-
- 7.1.29
- IIS
-
- 10.0
- Servidor Windows
-
- 2019
premissa
Aquest article suposa que WordPress ja s'està executant a IIS.
Controls de seguretat
Aneu al lloc següent, introduïu l'URL del vostre lloc de WordPress i premeu el botó Escaneja.
El rang resultant és "A+, A, B, C, D, E, F", el que significa que com més a prop d'A+, més segur és. Per contra, més a prop de F significa menys segur.
Podeu veure que s'executa contra un lloc de WordPress instal·lat a IIS, però es mostra com a F perquè no hi ha contramesures per defecte.
Mesures de seguretat
Si el busques a la xarxa", . htaccess" fitxer, però el fitxer . htaccess" és utilitzat bàsicament pel servidor web d'Apache, de manera que no es pot utilitzar en IIS.
Per a IIS, Apache's . htaccess" correspon al fitxer "web.config", de manera que escriureu la configuració aquí.
Podeu escriure la configuració directament a web.config, però en aquest cas, m'agradaria utilitzar El gestor de serveis d'informació d'Internet (IIS) per afegir la configuració i comprovar web.config després de configurar-los.
Configuració al Gestor d'IIS
Al menú Inici, seleccioneu Gestor de serveis d'informació d'Internet (IIS).
Seleccioneu el lloc on "WordPress" s'executa des de l'arbre de l'esquerra i feu doble clic a "Capçaleres de resposta HTTP" a la llista central per obrir-lo.
Aquí, introduïu un nom i un valor, afegiu-lo i configureu la capçalera de resposta. Això és el que afegirem aquesta vegada: Els principals estan fragmentats, però no dubteu a afegir més elements o canviar els valors segons sigui necessari.
| Valor | del nom |
|---|---|
| X-Contingut-Tipus-Opcions | nosniff |
| X-Frame-Options | SAMEORIGIN |
| X-XSS-Protecció | 1; mode=bloc |
| Política de referència | no-referer-quan-rebaixar |
| Contingut-Seguretat-Política | upgrade-insegur-requests |
| Estricte-Transport-Seguretat | max-age=31536000 |
| Permisos-Política | fullscreen=(self), acceleròmetre=(), camera=(), geolocalització=(), giroscopi=(), magnetòmetre=(), micròfon=(), midi=(), pagament=() |
X-Content-Type-Options M'agradaria afegir com a exemple. Feu clic a Afegeix al menú de la dreta.
Introduïu el nom, introduïu X-Content-Type-Options el nosniff valor i feu clic al botó D'acord.
S'hi ha afegit un valor.
Si marqueu "Capçaleres de seguretat" en aquest estat com a prova, podeu veure que el rang de seguretat ha augmentat.
Vaig continuar registrant-me i vaig intentar posar tots els valors a la taula anterior.
Quan el vaig escanejar en aquest estat, vaig poder veure que era el més alt rang A+.
Això està bé per a la seguretat, però és bastant restrictiu, així que obriu el vostre lloc de WordPress i comproveu si hi ha problemes amb el contingut que funciona.
Permissions-Policy En particular, ha desactivat completament la càmera i la informació d'ubicació, de manera que ajusteu els valors segons el vostre lloc de WordPress.
Comprovació de web.config
Hi hauria d'haver web.config a l'arrel de la carpeta on es troba WordPress, així que obriu-lo al Bloc de notes, etc. i comproveu-ho.
Hauríeu de poder veure que s'introdueix tal com es mostra a la figura següent. En lloc d'utilitzar iIS Manager, podeu establir capçaleres de resposta HTTP a web.config de la mateixa manera.