Editar encabezados HTTP de WordPress que se ejecutan en IIS para medidas de seguridad
Entorno de verificación
- WordPress (en inglés)
-
- 5.8.2
- ..PHP
-
- 7.1.29
- IIS
-
- 10.0
- Servidor Windows
-
- 2019
premisa
En este artículo se supone que WordPress ya se está ejecutando en IIS.
Controles de seguridad
Vaya al siguiente sitio, ingrese la URL de su sitio de WordPress y presione el botón Escanear.
El rango resultante es "A +, A, B, C, D, E, F", lo que significa que cuanto más cerca de A +, más seguro es. Por el contrario, más cerca de F significa menos seguro.
Puede ver que se ejecuta en un sitio de WordPress instalado en IIS, pero se muestra como F porque no hay contramedidas de forma predeterminada.
Medidas de seguridad
Si lo buscas en la red, " . htaccess", pero el archivo . htaccess" es básicamente utilizado por el servidor web de Apache, por lo que no se puede utilizar en IIS.
Para IIS, Apache's . htaccess" corresponde al archivo "web.config", por lo que escribirá la configuración aquí.
Puede escribir la configuración directamente en web.config, pero en este caso, me gustaría usar el Administrador de Internet Information Services (IIS) para agregar la configuración y, a continuación, comprobar web.config después de establecerla.
Configuración en el Administrador de IIS
En el menú Inicio, seleccione Administrador de Internet Information Services (IIS).
Seleccione el sitio donde se ejecuta "WordPress" desde el árbol de la izquierda y haga doble clic en "Encabezados de respuesta HTTP" de la lista central para abrirlo.
Aquí, ingrese un nombre y un valor, agréguelo y establezca el encabezado de respuesta. Esto es lo que agregaremos esta vez: Los principales son extractos, pero siéntase libre de agregar más elementos o cambiar los valores según sea necesario.
| Valor de nombre | |
|---|---|
| X-Content-Type-Options | nosniff |
| Opciones de X-Frame | SAMEORIGIN |
| Protección X-XSS | 1; mode=block |
| Política de referencia | no-referrer-when-downgrade |
| Política de seguridad de contenido | upgrade-insecure-requests |
| Estricta-Transporte-Seguridad | max-age=31536000 |
| Permisos-Política | pantalla completa=(propio), acelerómetro=(), cámara=(), geolocalización=(), giroscopio=(), magnetómetro=(), micrófono=(), midi=(), pago=() |
X-Content-Type-Options Me gustaría agregar como ejemplo. Haga clic en Agregar en el menú de la derecha.
Escriba el nombre, escriba X-Content-Type-Options el valor y haga clic en el nosniff botón Aceptar.
Se ha añadido un valor.
Si marca "Encabezados de seguridad" en este estado como prueba, puede ver que el rango de seguridad ha aumentado.
Continué registrándome y traté de poner todos los valores en la tabla anterior.
Cuando lo escaneé en este estado, pude ver que era el rango más alto A +.
Esto está bien por seguridad, pero es bastante restrictivo, así que abra su sitio de WordPress y verifique si hay algún problema con el funcionamiento del contenido.
Permissions-Policy En particular, ha deshabilitado completamente la cámara y la información de ubicación, así que ajuste los valores de acuerdo con su sitio de WordPress.
Comprobación de web.config
Debe haber web.config en la raíz de la carpeta donde se encuentra WordPress, así que ábralo en el Bloc de notas, etc. y verifíquelo.
Debería poder ver que se ingresa como se muestra en la figura a continuación. En lugar de usar el Administrador de IIS, puede establecer encabezados de respuesta HTTP en web.config de la misma manera.