WordPress (en anglais)

Modifier les en-têtes HTTP WordPress exécutés sur IIS pour les mesures de sécurité

Page mise à jour :
Date de création de la page :

Environnement de vérification

WordPress (en anglais)
  • 5.8.2
..PHP
  • 7.1.29
IIS (en anglais)
  • 10.0
Serveur Windows
  • 2019

prémisse

Cet article suppose que WordPress est déjà en cours d’exécution sur IIS.

Contrôles de sécurité

Accédez au site suivant, entrez l’URL de votre site WordPress et appuyez sur le bouton Analyser.

Le rang résultant est « A +, A, B, C, D, E, F », ce qui signifie que plus il est proche de A+, plus il est sécurisé. Inversement, plus proche de F signifie moins sûr.

Vous pouvez voir qu’il est exécuté sur un site WordPress installé sur IIS, mais il est affiché comme F car il n’y a pas de contre-mesures par défaut.

Mesures de sécurité

Si vous le cherchez sur le net, « . htaccess », mais le fichier . htaccess » est essentiellement utilisé par le serveur Web d’Apache, il ne peut donc pas être utilisé dans IIS.

Pour IIS, Apache . htaccess » correspond au fichier « web.config », vous allez donc écrire les paramètres ici.

Vous pouvez écrire les paramètres directement dans web.config, mais dans ce cas, j’aimerais utiliser le Gestionnaire des services Internet (IIS) pour ajouter les paramètres, puis vérifier web.config après les avoir définis.

Paramètres dans le Gestionnaire des services Internet

Dans le menu Démarrer, sélectionnez Gestionnaire des services Internet (IIS).

Sélectionnez le site où « WordPress » s’exécute dans l’arborescence de gauche et double-cliquez sur « En-têtes de réponse HTTP » dans la liste du milieu pour l’ouvrir.

Ici, entrez un nom et une valeur, ajoutez-les et définissez l’en-tête de réponse. Voici ce que nous allons ajouter cette fois-ci : Les principaux sont extraits, mais n’hésitez pas à ajouter d’autres éléments ou à modifier les valeurs au besoin.

Valeur du nom
X-Content-Type-Options reniflement
X-Frame-Options SAMEORIGIN
Protection X-XSS 1; mode=bloc
Politique de référence no-referrer-when-downgrade
Contenu-Sécurité-Politique mises à niveau-demandes-non sécurisées
Strict-Transport-Sécurité max-age=31536000
Permissions-Policy fullscreen=(self), accelerometer=(), camera=(), geolocation=(), gyroscope=(), magnetometer=(), microphone=(), midi=(), payment=()

X-Content-Type-Options J’aimerais ajouter à titre d’exemple. Cliquez sur Ajouter dans le menu de droite.

Entrez le nom, entrez la X-Content-Type-Options nosniff valeur, puis cliquez sur le bouton OK.

Une valeur a été ajoutée.

Si vous cochez « En-têtes de sécurité » dans cet état en tant que test, vous pouvez voir que le rang de sécurité a augmenté.

J’ai continué à m’inscrire et j’ai essayé de mettre toutes les valeurs dans le tableau ci-dessus.

Lorsque je l’ai scanné dans cet état, j’ai pu voir que c’était le rang A + le plus élevé.

C’est bien pour la sécurité, mais c’est assez restrictif, alors ouvrez votre site WordPress et vérifiez s’il y a des problèmes avec le contenu qui fonctionne.

Permissions-Policy En particulier, a complètement désactivé la caméra et les informations de localisation, alors ajustez les valeurs en fonction de votre site WordPress.

Vérification de web.config

Il devrait y avoir web.config à la racine du dossier où se trouve WordPress, alors ouvrez-le dans le Bloc-notes, etc. et vérifiez-le.

Vous devriez être en mesure de voir qu’il est entré comme indiqué dans la figure ci-dessous. Au lieu d’utiliser le Gestionnaire des services Internet, vous pouvez définir des en-têtes de réponse HTTP dans web.config de la même manière.