ویرایش هدرهای وردپرس HTTP در حال اجرا بر روی IIS برای اقدامات امنیتی
محیط تأیید
- وردپرس
-
- 5.8.2
- ..PHP
-
- 7.1.29
- مؤسسه
-
- 10.0
- ویندوز سرور
-
- 2019
فرض
این مقاله فرض می کند که وردپرس در حال حاضر در حال اجرا در IIS.
چک های امنیتی
به سایت زیر بروید، URL سایت وردپرس خود را وارد کنید و دکمه Scan را فشار دهید.
رتبه حاصل "A+, A, B, C, D, E, F" است که به این معنی است که هر چه به A+نزدیک تر باشد، امن تر است. برعکس، نزدیک تر به F به معنای امنیت کمتر است.
شما می توانید ببینید که آن را در برابر یک سایت وردپرس نصب شده بر روی IIS اجرا می شود، اما آن را به عنوان F نمایش داده می شود چرا که هیچ اقدام متقابل به طور پیش فرض وجود دارد.
اقدامات امنیتی
اگر شما آن را در شبکه نگاه کنید ، " . htaccess" file, but the. htaccess" اساساً توسط وب سرور آپاچی استفاده می شود، بنابراین نمی توان از آن در IIS استفاده کرد.
براي IIS ، آپاچي . htaccess" مربوط به "web.config" فایل ، بنابراین شما تنظیمات را در اینجا بنویسید.
شما می توانید تنظیمات را به طور مستقیم در web.config بنویسید، اما در این مورد، من می خواهم از Internet Information Services (IIS) Manager برای اضافه کردن تنظیمات و سپس بررسی web.config پس از تنظیم آنها استفاده کنم.
تنظیمات در مدیر IIS
از منوی Start، مدیر سرویس های اطلاعات اینترنتی (IIS) را انتخاب کنید.
سایت که در آن "وردپرس" در حال اجرا از درخت در سمت چپ را انتخاب کنید و دو بار کلیک کنید "HTTP پاسخ سرصفحه" از لیست میانی آن را باز کنید.
در اینجا، یک نام و مقدار را وارد کنید، آن را اضافه کنید، و سرصفحه پاسخ را تنظیم کنید. در اینجا چیزی است که ما این بار اضافه کنید: آنهایی که اصلی گزیده, اما احساس رایگان برای اضافه کردن موارد بیشتر و یا تغییر ارزش ها به عنوان مورد نیاز.
ارزش| نام | |
|---|---|
| X-Content-Type-Options | nosniff |
| X-Frame-Options | SAMEORIGIN |
| X-XSS-Protection | 1; mode=block |
| ارجاع-سیاست | بدون ارجاع - هنگامی که جمع و جور کردن |
| محتوا-امنیت-سیاست | ارتقاء ناامن درخواست |
| سخت گیرانه حمل و نقل - امنیت | حداکثر سن=31536000 |
| مجوزها-سیاست | fullscreen=(self), accelerometer=(), camera=(), geolocation=(), gyroscope=(), magnetometer=(), microphone=(), midi=(), payment=() |
X-Content-Type-Options من می خواهم به عنوان مثال اضافه کنید. روی افزودن از منوی سمت راست کلیک کنید.
برای نام وارد کنید، مقدار را وارد کنید X-Content-Type-Options nosniff و روی دکمه OK کلیک کنید.
یک مقدار اضافه شده است.
اگر "سرصفحه های امنیتی" را در این حالت به عنوان یک آزمون بررسی کنید، می بینید که رتبه امنیتی افزایش یافته است.
به ثبت نام ادامه دادم و سعی کردم تمام ارزش ها را در جدول بالا قرار بدهم.
وقتی آن را در این حالت اسکن کردم توانستم ببینم بالاترین رتبه A+است.
این برای امنیت خوب است، اما آن را کاملا محدود کننده است، بنابراین باز کردن سایت وردپرس خود را و بررسی کنید که آیا هر گونه مشکل در کار محتوا وجود دارد.
Permissions-Policy به طور خاص، دوربین و اطلاعات مکان را به طور کامل غیرفعال کرده است، بنابراین مقادیر را با توجه به سایت وردپرس خود تنظیم کنید.
چک کردن web.config
باید وجود داشته باشد web.config در ریشه پوشه که در آن وردپرس واقع شده است ، بنابراین آن را در Notepad و غیره باز کنید و آن را بررسی کنید.
شما باید قادر به دیدن است که آن را وارد شده است که در شکل زیر نشان داده شده است. به جای استفاده از IIS Manager، می توانید سرصفحه های پاسخ HTTP را به همان شیوه در web.config تنظیم کنید.