Επεξεργασία κεφαλίδων HTTP WordPress που εκτελούνται στις υπηρεσίες IIS για μέτρα ασφαλείας

Σελίδα ενημέρωση :
Ημερομηνία δημιουργίας σελίδας :

Περιβάλλον επαλήθευσης

Τυπογραφείο
  • 5.8.2
..PHP
  • 7.1.29
ΔΟΛ.
  • 10.0
Διακομιστής παραθύρων
  • 2019

προϋπόθεση

Αυτό το άρθρο προϋποθέτει ότι το WordPress εκτελείται ήδη στις υπηρεσίες IIS.

Έλεγχοι ασφαλείας

Μεταβείτε στον ακόλουθο ιστότοπο, εισαγάγετε τη διεύθυνση URL του ιστότοπού σας στο WordPress και πατήστε το κουμπί Σάρωση.

Η προκύπτουσα κατάταξη είναι "A +, A, B, C, D, E, F", πράγμα που σημαίνει ότι όσο πιο κοντά στο A +, τόσο πιο ασφαλές είναι. Αντίθετα, πιο κοντά στο F σημαίνει λιγότερο ασφαλές.

Μπορείτε να δείτε ότι εκτελείται σε έναν ιστότοπο WordPress εγκατεστημένο στις υπηρεσίες IIS, αλλά εμφανίζεται ως F επειδή δεν υπάρχουν αντίμετρα από προεπιλογή.

Μέτρα ασφαλείας

Αν το ψάξετε στο διαδίκτυο, " . htaccess" αρχείο, αλλά το . Htaccess" χρησιμοποιείται βασικά από τον διακομιστή ιστού του Apache, επομένως δεν μπορεί να χρησιμοποιηθεί στις υπηρεσίες IIS.

Για τις υπηρεσίες IIS, του Απάτσι. htaccess" αντιστοιχεί στο αρχείο "web.config", οπότε θα γράψετε τις ρυθμίσεις εδώ.

Μπορείτε να γράψετε τις ρυθμίσεις απευθείας στο web.config, αλλά σε αυτήν την περίπτωση, θα ήθελα να χρησιμοποιήσω το Internet Information Services (IIS) Manager για να προσθέσω τις ρυθμίσεις και, στη συνέχεια, να ελέγξω το web.config μετά τη ρύθμισή τους.

Ρυθμίσεις στη Διαχείριση των υπηρεσιών IIS

Από το μενού Έναρξη, επιλέξτε Διαχείριση υπηρεσιών πληροφοριών Internet (IIS).

Επιλέξτε τον ιστότοπο όπου εκτελείται το "WordPress" από το δέντρο στα αριστερά και κάντε διπλό κλικ στο "Κεφαλίδες απόκρισης HTTP" από τη μεσαία λίστα για να το ανοίξετε.

Εδώ, εισαγάγετε ένα όνομα και μια τιμή, προσθέστε το και ορίστε την κεφαλίδα απόκρισης. Δείτε τι θα προσθέσουμε αυτή τη φορά: Τα κυριότερα είναι αποσπάσματα, αλλά μη διστάσετε να προσθέσετε περισσότερα στοιχεία ή να αλλάξετε τις τιμές ανάλογα με τις ανάγκες.

Τιμή ονόματος
Επιλογές τύπου περιεχομένου X νοσνίφ
X-Πλαίσιο-Επιλογές ΣΑΜΕΒΟΡΙΓΊΝΗ
Προστασία X-XSS 1; mode=μπλοκ
Πολιτική Παραπομπής χωρίς παραπομπή όταν υποβαθμίζεται
Περιεχόμενο-Ασφάλεια-Πολιτική αναβάθμιση-μη ασφαλείς-αιτήσεις
Αυστηρή-Μεταφορά-Ασφάλεια μέγιστη ηλικία=31536000
Δικαιώματα-Πολιτική πλήρης οθόνη=(εαυτός), επιταχυνσιόμετρο=(), κάμερα=(), γεωεντοπισμός=(), γυροσκόπιο=(), μαγνητόμετρο=(), μικρόφωνο=(), midi=(), πληρωμή=()

X-Content-Type-Options Θα ήθελα να προσθέσω ως παράδειγμα. Κάντε κλικ στην επιλογή Προσθήκη από το μενού στα δεξιά.

Εισαγάγετε για το όνομα, πληκτρολογήστε για X-Content-Type-Options την nosniff τιμή και κάντε κλικ στο Εντάξει κουμπί.

Προστέθηκε μία αξία.

Εάν επιλέξετε "Κεφαλίδες ασφαλείας" σε αυτήν την κατάσταση ως δοκιμή, μπορείτε να δείτε ότι η κατάταξη ασφαλείας έχει αυξηθεί.

Συνέχισα να εγγραφώ και προσπάθησα να βάλω όλες τις τιμές στον παραπάνω πίνακα.

Όταν το σάρωσα σε αυτήν την κατάσταση, μπόρεσα να δω ότι ήταν η υψηλότερη κατάταξη A +.

Αυτό είναι καλό για την ασφάλεια, αλλά είναι αρκετά περιοριστικό, οπότε ανοίξτε τον ιστότοπό σας στο WordPress και ελέγξτε αν υπάρχουν προβλήματα με το περιεχόμενο που λειτουργεί.

Permissions-Policy Συγκεκριμένα, έχει απενεργοποιήσει εντελώς τις πληροφορίες κάμερας και τοποθεσίας, οπότε προσαρμόστε τις τιμές σύμφωνα με τον ιστότοπό σας στο WordPress.

Έλεγχος διαμόρφωσης web.config

Θα πρέπει να υπάρχει web.config στη ρίζα του φακέλου όπου βρίσκεται το WordPress, οπότε ανοίξτε το στο Σημειωματάριο κ.λπ.

Θα πρέπει να μπορείτε να δείτε ότι έχει εισαχθεί όπως φαίνεται στο παρακάτω σχήμα. Αντί να χρησιμοποιήσετε τη Διαχείριση των υπηρεσιών IIS, μπορείτε να ορίσετε κεφαλίδες απόκρισης HTTP στο web.config με τον ίδιο τρόπο.