Rediger WordPress HTTP-overskrifter, der kører på IIS for sikkerhedsforanstaltninger
Verifikationsmiljø
- WordPress
-
- 5.8.2
- ..PHP
-
- 7.1.29
- IIS
-
- 10.0
- Windows Server
-
- 2019
forudsætning
Denne artikel antager, at WordPress allerede kører på IIS.
Sikkerhedskontrol
Gå til følgende websted, indtast URL'en til dit WordPress-websted, og tryk på knappen Scan.
Den resulterende rang er "A +, A, B, C, D, E, F", hvilket betyder, at jo tættere på A +, jo mere sikker er den. Omvendt betyder tættere på F mindre sikker.
Du kan se, at det udføres mod et WordPress-websted installeret på IIS, men det vises som F, fordi der ikke er nogen modforanstaltninger som standard.
Sikkerhedsforanstaltninger
Hvis du slår det op på nettet, " . htaccess" fil, men . htaccess" bruges grundlæggende af Apaches webserver, så den kan ikke bruges i IIS.
For IIS, Apache's . htaccess" svarer til filen "web.config", så du skriver indstillingerne her.
Du kan skrive indstillingerne direkte i web.config, men i dette tilfælde vil jeg gerne bruge Internet Information Services (IIS) Manager til at tilføje indstillingerne og derefter kontrollere web.config efter indstilling af dem.
Indstillinger i IIS Manager
I menuen Start skal du vælge IIS Manager (Internet Information Services).
Vælg det websted, hvor "WordPress" kører fra træet til venstre, og dobbeltklik på "HTTP Response Headers" fra den midterste liste for at åbne den.
Her skal du indtaste et navn og en værdi, tilføje det og indstille svaroverskriften. Her er hvad vi tilføjer denne gang: De vigtigste er uddrag, men du er velkommen til at tilføje flere elementer eller ændre værdierne efter behov.
Navn | værdi |
---|---|
X-Indhold-Type-Indstillinger | Nosniff |
X-Frame-Indstillinger | SAMEORIGIN |
X-XSS-beskyttelse | 1; tilstand = blok |
Henvisningspolitik | ingen-henviser-når-nedgradering |
Politik for indhold-sikkerhed | opgradering-usikre-anmodninger |
Streng-transport-sikkerhed | max-alder=31536000 |
Tilladelsespolitik | fullscreen=(selv), accelerometer=(), kamera=(), geolocation=(), gyroskop=(), magnetometer=(), mikrofon=(), midi=(), betaling=() |
X-Content-Type-Options
Jeg vil gerne tilføje som et eksempel. Klik på Tilføj i menuen til højre.
Indtast for navnet, indtast X-Content-Type-Options
for værdien nosniff
, og klik på knappen OK.
Der er tilføjet én værdi.
Hvis du markerer "Sikkerhedsoverskrifter" i denne tilstand som en test, kan du se, at sikkerhedsrangeringen er steget.
Jeg fortsatte med at registrere og forsøgte at sætte alle værdierne i tabellen ovenfor.
Da jeg scannede det i denne tilstand, kunne jeg se, at det var den højeste rang A +.
Dette er fint for sikkerheden, men det er ret restriktivt, så åbn dit WordPress-websted og kontroller, om der er problemer med, at indholdet fungerer.
Permissions-Policy
Især har helt deaktiveret kamera- og placeringsoplysningerne, så juster værdierne i henhold til dit WordPress-websted.
Kontrol af web.config
Der skal være web.config i roden af den mappe, hvor WordPress er placeret, så åbn den i Notesblok osv. og tjek den.
Du skal kunne se, at det er indtastet som vist i nedenstående figur. I stedet for at bruge IIS Manager kan du indstille HTTP-svaroverskrifter i web.config på samme måde.