עריכת כותרות HTTP של WordPress הפועלות ב- IIS לצורך אמצעי אבטחה

עודכן דף : יום ראשון, 30 באוקטובר 2022

תאריך יצירת דף : יום שישי, 19 בנובמבר 2021

סביבת אימות

וורדפרס

5.8.2

..PHP

7.1.29

IIS

10.0

שרת חלונות

2019

הנחת יסוד

מאמר זה מניח שוורדפרס כבר פועלת ב-IIS.

בדיקות ביטחוניות

עבור אל האתר הבא, הזן את כתובת ה-URL של אתר ה-WordPress שלך ולחץ על לחצן הסריקה.

כותרות אבטחה

הדרגה המתקבלת היא "A+, A, B, C, D, E, F", כלומר ככל שהיא קרובה יותר ל-A+, כך היא מאובטחת יותר. לעומת זאת, קרוב יותר ל-F פירושו פחות בטוח.

אתה יכול לראות שהוא מבוצע מול אתר וורדפרס המותקן ב- IIS, אך הוא מוצג כ- F מכיוון שאין אמצעי נגד כברירת מחדל.

אמצעי אבטחה

אם אתה מחפש את זה ברשת, " . htaccess" קובץ, אבל את . htaccess" משמש בעצם את שרת האינטרנט של אפאצ'י, ולכן לא ניתן להשתמש בו ב- IIS.

עבור IIS, של אפאצ'י . htaccess" מתאים לקובץ "web.config", אז אתה תכתוב את ההגדרות כאן.

באפשרותך לכתוב את ההגדרות ישירות ב- web.config, אך במקרה זה, ברצוני להשתמש במנהל שירותי מידע באינטרנט (IIS) כדי להוסיף את ההגדרות ולאחר מכן לבדוק את web.config לאחר הגדרתן.

הגדרות ב- IIS Manager

מתפריט התחלה, בחר מנהל שירותי מידע באינטרנט (IIS).

בחר את האתר שבו "WordPress" פועל מהעץ בצד שמאל ולחץ פעמיים על "כותרות תגובה HTTP" מהרשימה האמצעית כדי לפתוח אותו.

כאן, הזן שם וערך, הוסף אותם והגדר את כותרת התגובה. הנה מה שנוסיף הפעם: העיקריים שבהם מובאים, אך אל תהסס להוסיף פריטים נוספים או לשנות את הערכים לפי הצורך.

ערך	שם
אפשרויות X-סוג תוכן	nosniff
אפשרויות מסגרת X	סאמריג'ין
הגנת X-XSS	1; מצב = בלוק
מדיניות מפנה	ללא מפנה-מתי-שדרוג לאחור
מדיניות-אבטחת תוכן	שדרוג-לא מאובטח-בקשות
אבטחת תחבורה קפדנית	גיל מקסימלי=31536000
הרשאות-מדיניות	מסך מלא=(עצמי), מד תאוצה=(), מצלמה=(), מיקום גיאוגרפי=(), ג'ירוסקופ=(), מגנטומטר=(), מיקרופון=(), midi=(), תשלום=()

X-Content-Type-Options אני רוצה להוסיף כדוגמה. לחץ על הוסף מהתפריט משמאל.

הזן את השם, הזן את X-Content-Type-Options הערך nosniff ולחץ על הלחצן OK.

ערך אחד נוסף.

אם תסמן "כותרות אבטחה" במצב זה כמבחן, תוכל לראות שדירוג האבטחה עלה.

המשכתי להירשם וניסיתי לשים את כל הערכים בטבלה למעלה.

כשסרקתי אותו במצב הזה, יכולתי לראות שהוא בדרגה הגבוהה ביותר A+.

זה בסדר גמור לאבטחה, אבל זה די מגביל, אז פתחו את אתר הוורדפרס שלכם ובדקו אם יש בעיות עם התוכן שעובד.

Permissions-Policy בפרט, השבית לחלוטין את המצלמה ואת פרטי המיקום, לכן התאם את הערכים בהתאם לאתר הוורדפרס שלך.

בדיקת web.config

צריך להיות web.config בשורש של התיקייה שבה וורדפרס ממוקם, אז לפתוח אותו בפנקס רשימות וכו 'ולבדוק את זה.

אתה אמור להיות מסוגל לראות שהוא מוזן כפי שמוצג באיור שלהלן. במקום להשתמש ב- IIS Manager, באפשרותך להגדיר כותרות תגובת HTTP ב- web.config באותו אופן.