Muokkaa IIS: ssä käynnissä olevia WordPress HTTP -otsikoita turvatoimia varten
Todentamisen ympäristö
- WordPress
-
- 5.8.2
- ..PHP
-
- 7.1.29
- IIS
-
- 10.0
- Windows-palvelin
-
- 2019
premissi
Tässä artikkelissa oletetaan, että WordPress toimii jo IIS: ssä.
Turvatarkastukset
Siirry seuraavalle sivustolle, kirjoita WordPress-sivustosi URL-osoite ja paina Skannaa-painiketta.
Tuloksena oleva sijoitus on "A +, A, B, C, D, E, F", mikä tarkoittaa, että mitä lähempänä A +: ta, sitä turvallisempi se on. Sitä vastoin lähempänä F: tä tarkoittaa vähemmän turvallista.
Voit nähdä, että se suoritetaan IIS: ään asennettua WordPress-sivustoa vastaan, mutta se näkyy F: nä, koska oletusarvoisesti ei ole vastatoimia.
Turvatoimet
Jos etsit sitä verkosta, " . htaccess" -tiedosto, mutta . htaccess" on periaatteessa Apachen verkkopalvelimen käytössä, joten sitä ei voida käyttää IIS: ssä.
IIS: lle Apachen . htaccess" vastaa "web.config" -tiedostoa, joten kirjoitat asetukset tähän.
Voit kirjoittaa asetukset suoraan web.config-tiedostoon, mutta tässä tapauksessa haluaisin lisätä asetukset IIS (Internet Information Services) Managerin avulla ja tarkistaa sitten web.config niiden asettamisen jälkeen.
IIS-palveluiden hallinnan asetukset
Valitse Käynnistä-valikosta IIS (Internet Information Services) Manager.
Valitse sivusto, jossa "WordPress" toimii, vasemmalla olevasta puusta ja kaksoisnapsauta "HTTP Response Headers" keskimmäisestä luettelosta avataksesi sen.
Kirjoita tähän nimi ja arvo, lisää se ja aseta vastauksen otsikko. Tässä on mitä lisäämme tällä kertaa: Tärkeimmät ovat otteita, mutta voit lisätä lisää kohteita tai muuttaa arvoja tarpeen mukaan.
| Nimen | arvo |
|---|---|
| X-content-type-asetukset | nosniff |
| X-Frame-asetukset | SAMEORIGINAALI |
| X-XSS-suojaus | 1; mode=block |
| Referrer-Policy | no-referrer-when-downgrade |
| Sisältö-turvallisuus-käytäntö | päivitys-epävarmat-pyynnöt |
| Tiukka liikenteen turvaaminen | enimmäisikä=31536000 |
| Käyttöoikeudet-käytäntö | fullscreen=(itse), kiihtyvyysanturi=(), kamera=(), geolocation=(), gyroskooppi=(), magnetometri=(), mikrofoni=(), midi=(), payment=() |
X-Content-Type-Options Haluaisin lisätä esimerkkinä. Napsauta Lisää oikealla olevasta valikosta.
Kirjoita nimi, kirjoita X-Content-Type-Options nosniff arvo ja napsauta OK-painiketta.
Yksi arvo on lisätty.
Jos tarkistat "Suojausotsikot" tässä tilassa testinä, näet, että suojausluokka on kasvanut.
Jatkoin rekisteröitymistä ja yritin laittaa kaikki arvot yllä olevaan taulukkoon.
Kun skannasin sen tässä tilassa, pystyin näkemään, että se oli korkein sijoitus A +.
Tämä on hienoa turvallisuuden kannalta, mutta se on melko rajoittavaa, joten avaa WordPress-sivustosi ja tarkista, onko sisällön toiminnassa ongelmia.
Permissions-Policy Erityisesti on poistanut kameran ja sijaintitiedot kokonaan käytöstä, joten säädä arvoja WordPress-sivustosi mukaan.
Web.config-tiedoston tarkistaminen
Sen kansion juuressa, jossa WordPress sijaitsee, pitäisi olla web.config, joten avaa se Notepadissa jne.
Sinun pitäisi pystyä näkemään, että se on syötetty alla olevan kuvan mukaisesti. IIS-hallinnan käyttämisen sijaan voit määrittää HTTP-vastausotsikot web.config-tiedostossa samalla tavalla.