Bearbeiten von WordPress-HTTP-Headern, die auf IIS ausgeführt werden, für Sicherheitsmaßnahmen
Verifizierungsumgebung
- WordPress
-
- 5.8.2
- ..PHP
-
- 7.1.29
- IIS
-
- 10.0
- Windows Server
-
- 2019
Prämisse
In diesem Artikel wird davon ausgegangen, dass WordPress bereits auf IIS ausgeführt wird.
Sicherheitskontrollen
Gehen Sie zur folgenden Website, geben Sie die URL Ihrer WordPress-Site ein und klicken Sie auf die Schaltfläche Scannen.
Der resultierende Rang ist "A+, A, B, C, D, E, F", was bedeutet, dass je näher an A + liegt, desto sicherer ist es. Umgekehrt bedeutet näher an F weniger sicher.
Sie können sehen, dass es für eine WordPress-Site ausgeführt wird, die auf IIS installiert ist, aber es wird als F angezeigt, da es standardmäßig keine Gegenmaßnahmen gibt.
Sicherheitsmaßnahmen
Wenn Sie es im Netz nachschlagen, " . htaccess" -Datei, sondern die . htaccess" wird grundsätzlich vom Apache-Webserver verwendet und kann daher nicht in IIS verwendet werden.
Für IIS ist Apache . htaccess" entspricht der Datei "web.config", so dass Sie die Einstellungen hier schreiben.
Sie können die Einstellungen direkt in web.config schreiben, aber in diesem Fall möchte ich den Internetinformationsdienste-Manager (IIS) verwenden, um die Einstellungen hinzuzufügen und dann web.config nach dem Festlegen zu überprüfen.
Einstellungen im IIS-Manager
Wählen Sie im Startmenü Internetinformationsdienste-Manager aus.
Wählen Sie die Website, auf der "WordPress" aus dem Baum auf der linken Seite ausgeführt wird, und doppelklicken Sie in der mittleren Liste auf "HTTP Response Headers", um sie zu öffnen.
Geben Sie hier einen Namen und einen Wert ein, fügen Sie ihn hinzu, und legen Sie den Antwortheader fest. Folgendes fügen wir dieses Mal hinzu: Die wichtigsten sind Auszüge, aber Sie können gerne weitere Elemente hinzufügen oder die Werte nach Bedarf ändern.
| Name-Wert | |
|---|---|
| X-Content-Type-Optionen | nosniff |
| X-Frame-Optionen | SAMEORIGIN |
| X-XSS-Schutz | 1; mode=block |
| Referrer-Richtlinie | No-Referrer-When-Downgrade |
| Content-Security-Policy | upgrade-insecure-requests |
| Strenge-Transport-Sicherheit | max-age=31536000 |
| Berechtigungs-Richtlinie | fullscreen=(self), accelerometer=(), camera=(), geolocation=(), gyroscope=(), magnetometer=(), microphone=(), midi=(), payment=() |
X-Content-Type-Options Ich möchte als Beispiel hinzufügen. Klicken Sie im Menü auf der rechten Seite auf Hinzufügen.
Geben Sie den Namen X-Content-Type-Options nosniff und den Wert ein, und klicken Sie auf die Schaltfläche OK.
Ein Mehrwert wurde hinzugefügt.
Wenn Sie testweise "Security Headers" in diesem Status ankreuzen, können Sie sehen, dass sich der Sicherheitsrang erhöht hat.
Ich habe mich weiter registriert und versucht, alle Werte in die obige Tabelle einzufügen.
Als ich es in diesem Zustand scannte, konnte ich sehen, dass es der höchste Rang A + war.
Dies ist in Ordnung für die Sicherheit, aber es ist ziemlich restriktiv, also öffnen Sie Ihre WordPress-Site und überprüfen Sie, ob es Probleme mit dem Inhalt gibt.
Permissions-Policy Insbesondere hat die Kamera und Standortinformationen vollständig deaktiviert, also passen Sie die Werte entsprechend Ihrer WordPress-Site an.
Überprüfen der Datei web.config
Es sollte web.config im Stammverzeichnis des Ordners sein, in dem sich WordPress befindet, also öffnen Sie es in Notepad usw. und überprüfen Sie es.
Sie sollten sehen können, dass es eingegeben wird, wie in der folgenden Abbildung gezeigt. Anstatt den IIS-Manager zu verwenden, können Sie HTTP-Antwortheader in web.config auf die gleiche Weise festlegen.