Upravte hlavičky HTTP aplikace WordPress běžící na IIS pro bezpečnostní opatření
Ověřovací prostředí
- WordPress
-
- 5.8.2
- ..PHP
-
- 7.1.29
- Služba IIS
-
- 10.0
- Windows Server
-
- 2019
předpoklad
Tento článek předpokládá, že WordPress je již spuštěn ve službě IIS.
Bezpečnostní kontroly
Přejděte na následující web, zadejte adresu URL svého webu WordPress a stiskněte tlačítko Skenovat.
Výsledná hodnost je "A+, A, B, C, D, E, F", což znamená, že čím blíže k A+, tím je bezpečnější. Naopak blíže k F znamená méně bezpečné.
Můžete vidět, že se provádí proti webu WordPress nainstalovanému ve službě IIS, ale zobrazuje se jako F, protože ve výchozím nastavení neexistují žádná protiopatření.
Bezpečnostní opatření
Pokud si to vyhledáte na netu, " . htaccess", ale . htaccess" je v podstatě používán webovým serverem Apache, takže nemůže být použit ve IIS.
Pro službu IIS, Apache je . htaccess" odpovídá souboru "web.config", takže zde napíšete nastavení.
Nastavení můžete zapsat přímo do web.config, ale v tomto případě bych chtěl použít Správce Internetové informační služby (IIS) k přidání nastavení a po jejich nastavení zkontrolovat web.config.
Nastavení ve Správci služby IIS
V nabídce Start vyberte Správce Internetové informační služby (IIS).
Vyberte web, kde běží "WordPress" ze stromu vlevo a poklepejte na "HTTP Response Headers" z prostředního seznamu, abyste jej otevřeli.
Zde zadejte název a hodnotu, přidejte ji a nastavte hlavičku odpovědi. Tentokrát přidáme toto: Hlavní jsou excerpovány, ale neváhejte přidat další položky nebo změnit hodnoty podle potřeby.
Hodnota názvu | |
---|---|
X-Content-Type-Options | nosniff |
X-Frame-Options | SAMEORIGIN |
Ochrana X-XSS | 1; mode=blok |
Zásady pro referrery | no-referrer-when-downgrade |
Zásady zabezpečení obsahu | upgrade-nezabezpečené-požadavky |
Přísná bezpečnost přepravy | Maximální věk = 31536000 |
Zásady oprávnění | celá obrazovka = (self), akcelerometr = (), kamera = (), geolokace = (), gyroskop = (), magnetometr = (), mikrofon = (), midi = (), platba = () |
X-Content-Type-Options
Rád bych přidal jako příklad. Klikněte na Přidat z nabídky vpravo.
Zadejte název, zadejte X-Content-Type-Options
nosniff
hodnotu a klikněte na tlačítko OK.
Byla přidána jedna hodnota.
Pokud zaškrtnete "Bezpečnostní hlavičky" v tomto stavu jako test, můžete vidět, že se hodnost zabezpečení zvýšila.
Pokračoval jsem v registraci a snažil se dát všechny hodnoty do výše uvedené tabulky.
Když jsem to naskenoval v tomto stavu, viděl jsem, že je to nejvyšší hodnost A+.
To je v pořádku pro bezpečnost, ale je to docela omezující, takže otevřete svůj web WordPress a zkontrolujte, zda existují nějaké problémy s fungováním obsahu.
Permissions-Policy
Zejména zcela zakázal informace o fotoaparátu a poloze, takže upravte hodnoty podle vašeho webu WordPress.
Kontrola souboru web.config
V kořenovém adresáři složky, kde je WordPress umístěn, by měl být web.config, takže jej otevřete v Poznámkovém bloku atd. A zkontrolujte jej.
Měli byste vidět, že je zadán, jak je znázorněno na obrázku níže. Místo použití Správce služby IIS můžete stejným způsobem nastavit hlavičky odpovědi HTTP v souboru web.config.