Szerkessze az IIS-en futó WordPress HTTP fejléceket a biztonsági intézkedésekhez

Oldal frissítve : 2022. október 30., vasárnap

Oldal létrehozásának dátuma : 2021. november 19., péntek

Ellenőrzési környezet

WordPress

5.8.2

..PHP

7.1.29

IIS

10.0

Windows kiszolgáló

2019

előtétel

Ez a cikk feltételezi, hogy a WordPress már fut az IIS-en.

Biztonsági ellenőrzések

Lépjen a következő webhelyre, írja be a WordPress webhelyének URL-jét, és nyomja meg a Szkennelés gombot.

Biztonsági fejlécek

A kapott rangsor "A+, A, B, C, D, E, F", ami azt jelenti, hogy minél közelebb van az A+-hoz, annál biztonságosabb. Ezzel szemben az F-hez való közelebb kevésbé biztonságos.

Láthatja, hogy az IIS-re telepített WordPress webhelyen van végrehajtva, de F-ként jelenik meg, mert alapértelmezés szerint nincsenek ellenintézkedések.

Biztonsági intézkedések

Ha utánanézel a neten, " . htaccess" fájlt, de a . htaccess" alapvetően az Apache webszervere használja, így nem használható IIS-ben.

Az IIS esetében az Apache . htaccess" megfelel a "web.config" fájlnak, így ide írja a beállításokat.

A beállításokat közvetlenül a web.config fájlba írhatja, de ebben az esetben az Internet Information Services (IIS) kezelőjével szeretném hozzáadni a beállításokat, majd a beállítás után ellenőrizni a web.config fájlt.

Beállítások az IIS-kezelőben

A Start menüben válassza az Internet Information Services (IIS) kezelője lehetőséget.

Válassza ki azt a webhelyet, ahol a "WordPress" fut a bal oldali fáról, és kattintson duplán a "HTTP válaszfejlécek" elemre a középső listából a megnyitásához.

Itt adjon meg egy nevet és egy értéket, adja hozzá, és állítsa be a válasz fejlécét. Ezúttal a következőket adjuk hozzá: A főbbek kivonatoltak, de nyugodtan adjon hozzá további elemeket, vagy szükség szerint módosítsa az értékeket.

Név	értéke
X-Content-Type-Options	nosztalgikus
X-Frame opciók	UGYANEZ A SZÁRMAZÁS
X-XSS-védelem	1; mode =blokk
Hivatkozó házirend	"nincs hivatkozó-mikor-visszaminősítés"
Tartalom-biztonsági házirend	upgrade-insecure-requests
Szigorú közlekedésbiztonság	max-kor=31536000
Engedélyek – Szabályzat	teljes képernyő=(ön), gyorsulásmérő=(), kamera=(), földrajzi hely=(), giroszkóp=(), magnetométer=(), mikrofon=(), midi=(), fizetés=()

X-Content-Type-Options Példaként említeném. Kattints a Hozzáadás gombra a jobb oldali menüből.

Írja be a nevet, írja be X-Content-Type-Options az nosniff értéket, majd kattintson a OK gombot.

Egy hozzáadott érték került hozzáadásra.

Ha tesztként ellenőrzi a "Biztonsági fejlécek" elemet ebben az állapotban, láthatja, hogy a biztonsági rangsor nőtt.

Folytattam a regisztrációt, és megpróbáltam az összes értéket a fenti táblázatba helyezni.

Amikor ebben az állapotban beszkenneltem, láttam, hogy ez a legmagasabb rangú A+.

Ez rendben van a biztonság szempontjából, de meglehetősen korlátozó, ezért nyissa meg a WordPress webhelyét, és ellenőrizze, hogy vannak-e problémák a tartalom működésével.

Permissions-Policy Különösen teljesen letiltotta a kamerát és a helyadatokat, ezért állítsa be az értékeket a WordPress webhelyének megfelelően.

A web.config ellenőrzése

A web.config-nak kell lennie annak a mappának a gyökerében, ahol a WordPress található, ezért nyissa meg a Jegyzettömbben stb., És ellenőrizze.

Látnia kell, hogy az alábbi ábrán látható módon van megadva. Az IIS-kezelő használata helyett ugyanígy állíthatja be a HTTP-válaszfejléceket a web.config fájlban.