Modifica le intestazioni HTTP di WordPress in esecuzione su IIS per le misure di sicurezza

Pagina aggiornata : domenica 30 ottobre 2022

Data di creazione della pagina : venerdì 19 novembre 2021

Ambiente di verifica

WordPress (Wordpress)

5.8.2

..PHP

7.1.29

IIS

10.0

Windows Server

2019

premessa

In questo articolo si presuppone che WordPress sia già in esecuzione su IIS.

Controlli di sicurezza

Vai al seguente sito, inserisci l'URL del tuo sito WordPress e premi il pulsante Scansione.

Intestazioni di sicurezza

Il rango risultante è "A+, A, B, C, D, E, F", il che significa che più vicino ad A+, più è sicuro. Al contrario, più vicino a F significa meno sicuro.

Puoi vedere che viene eseguito su un sito WordPress installato su IIS, ma viene visualizzato come F perché non ci sono contromisure per impostazione predefinita.

Misure di sicurezza

Se lo cerchi in rete, " . htaccess", ma il file . htaccess" è fondamentalmente utilizzato dal server web di Apache, quindi non può essere utilizzato in IIS.

Per IIS, Apache . htaccess" corrisponde al file "web.config", quindi scriverai le impostazioni qui.

È possibile scrivere le impostazioni direttamente in web.config, ma in questo caso si desidera utilizzare Gestione Internet Information Services (IIS) per aggiungere le impostazioni e quindi controllare web.config dopo averle impostate.

Impostazioni in Gestione IIS

Dal menu Start, selezionare Gestione Internet Information Services (IIS).

Seleziona il sito in cui è in esecuzione "WordPress" dall'albero a sinistra e fai doppio clic su "Intestazioni di risposta HTTP" dall'elenco centrale per aprirlo.

Qui, inserisci un nome e un valore, aggiungili e imposta l'intestazione della risposta. Ecco cosa aggiungeremo questa volta: I principali sono estratti, ma sentiti libero di aggiungere altri elementi o modificare i valori secondo necessità.

Valore Nome
X-Content-Type-Options	annusa
Opzioni X-Frame	SAMEORIGIN
Protezione X-XSS	1; mode=blocco
Politica di riferimento	no-referrer-when-downgrade
Criteri di sicurezza dei contenuti	upgrade-insecure-requests
Rigoroso trasporto	età massima=31536000
Politica delle autorizzazioni	fullscreen=(self), accelerometro=(), fotocamera=(), geolocalizzazione=(), giroscopio=(), magnetometro=(), microfono=(), midi=(), pagamento=()

X-Content-Type-Options Vorrei aggiungere come esempio. Fai clic su Aggiungi dal menu a destra.

Immettere il nome, immettere X-Content-Type-Options il nosniff valore e fare clic sul pulsante OK.

È stato aggiunto un valore.

Se si seleziona "Intestazioni di sicurezza" in questo stato come test, è possibile vedere che il grado di sicurezza è aumentato.

Ho continuato a registrarmi e ho provato a mettere tutti i valori nella tabella sopra.

Quando l'ho scansionato in questo stato, sono stato in grado di vedere che era il grado più alto A +.

Questo va bene per la sicurezza, ma è piuttosto restrittivo, quindi apri il tuo sito WordPress e controlla se ci sono problemi con il funzionamento del contenuto.

Permissions-Policy In particolare, ha completamente disabilitato la fotocamera e le informazioni sulla posizione, quindi regola i valori in base al tuo sito WordPress.

Controllo di web.config

Dovrebbe esserci web.config nella radice della cartella in cui si trova WordPress, quindi aprilo nel Blocco note ecc. E controllalo.

Dovresti essere in grado di vedere che è immesso come mostrato nella figura seguente. Anziché utilizzare Gestione IIS, è possibile impostare le intestazioni di risposta HTTP in web.config nello stesso modo.