Edit header HTTP WordPress yang berjalan di IIS untuk langkah-langkah keamanan

Halaman Diperbarui :
Tanggal pembuatan halaman :

Lingkungan verifikasi

WordPress
  • 5.8.2
..PHP
  • 7.1.29
IIS
  • 10.0
Windows Server
  • 2019

Premis

Artikel ini mengasumsikan bahwa WordPress sudah berjalan di IIS.

Pemeriksaan keamanan

Buka situs berikut, masukkan URL situs WordPress Anda, dan tekan tombol Pindai.

Peringkat yang dihasilkan adalah "A+, A, B, C, D, E, F", yang berarti semakin dekat ke A+, semakin aman. Sebaliknya, lebih dekat ke F berarti kurang aman.

Anda dapat melihat bahwa itu dijalankan terhadap situs WordPress yang diinstal pada IIS, tetapi ditampilkan sebagai F karena tidak ada tindakan pencegahan secara default.

Langkah-langkah keamanan

Jika Anda mencarinya di internet, " . htaccess" file, tetapi file . htaccess" pada dasarnya digunakan oleh server web Apache, sehingga tidak dapat digunakan di IIS.

Untuk IIS, Apache . htaccess" sesuai dengan file "web.config", jadi Anda akan menulis pengaturan di sini.

Anda dapat menulis pengaturan langsung di web.config, tetapi dalam kasus ini, saya ingin menggunakan Internet Information Services (IIS) Manager untuk menambahkan pengaturan dan kemudian memeriksa web.config setelah mengaturnya.

Pengaturan di Manajer IIS

Dari menu Mulai, pilih Manajer Layanan Informasi Internet (IIS).

Pilih situs tempat "WordPress" berjalan dari pohon di sebelah kiri dan klik dua kali "HTTP Response Headers" dari daftar tengah untuk membukanya.

Di sini, masukkan nama dan nilai, tambahkan, dan atur header respons. Inilah yang akan kami tambahkan kali ini: Yang utama dikutip, tetapi jangan ragu untuk menambahkan lebih banyak item atau mengubah nilai sesuai kebutuhan.

Nilai Nama
X-content-type-options nosniff
Opsi X-Frame SAMEORIGIN
Perlindungan X-XSS 1; mode=blokir
Kebijakan Perujuk no-referrer-ketika-downgrade
Konten-Keamanan-Kebijakan upgrade-insecure-requests
Ketat-Transportasi-Keamanan usia maks = 31536000
Izin-Kebijakan layar penuh =(diri), akselerometer=(), kamera=(), geolokasi=(), giroskop=(), magnetometer=(), mikrofon=(), midi=(), pembayaran=()

X-Content-Type-Options Saya ingin menambahkan sebagai contoh. Klik Tambahkan dari menu di sebelah kanan.

Masukkan untuk nama, masukkan X-Content-Type-Options nilainya nosniff , dan klik tombol OK.

Satu nilai telah ditambahkan.

Jika Anda memeriksa "Header Keamanan" dalam status ini sebagai pengujian, Anda dapat melihat bahwa peringkat keamanan telah meningkat.

Saya terus mendaftar dan mencoba memasukkan semua nilai dalam tabel di atas.

Ketika saya memindainya dalam keadaan ini, saya dapat melihat bahwa itu adalah peringkat tertinggi A +.

Ini bagus untuk keamanan, tetapi cukup membatasi, jadi buka situs WordPress Anda dan periksa apakah ada masalah dengan konten yang berfungsi.

Permissions-Policy Secara khusus, telah sepenuhnya menonaktifkan kamera dan informasi lokasi, jadi sesuaikan nilainya sesuai dengan situs WordPress Anda.

Memeriksa web.config

Harus ada web.config di root folder tempat WordPress berada, jadi buka di Notepad dll. dan periksa.

Anda harus dapat melihat bahwa itu dimasukkan seperti yang ditunjukkan pada gambar di bawah ini. Alih-alih menggunakan IIS Manager, Anda dapat mengatur header respons HTTP di web.config dengan cara yang sama.