보안 조치를 위해 IIS에서 실행되는 워드프레스 HTTP 헤더 편집

페이지 업데이트 :
페이지 생성 날짜 :

검증 환경

워드 프레스
  • 5.8.2
..PHP
  • 7.1.29
IIS
  • 10.0
윈도우 서버
  • 2019

전제

이 문서에서는 워드프레스가 이미 IIS에서 실행되고 있다고 가정합니다.

보안 검사

다음 사이트로 이동하여 워드프레스 사이트의 URL을 입력하고 스캔 버튼을 누릅니다.

결과 순위는 "A+, A, B, C, D, E, F"이며, 이는 A+에 가까울수록 더 안전하다는 것을 의미합니다. 반대로 F에 가까울수록 보안이 떨어집니다.

IIS에 설치된 워드프레스 사이트에 대해 실행되는 것을 볼 수 있지만, 기본적으로 대책이 없기 때문에 F로 표시됩니다.

보안 대책

인터넷에서 찾아보면 " . htaccess" 파일을 사용하지만 . htaccess"는 기본적으로 아파치의 웹 서버에서 사용되므로 IIS에서는 사용할 수 없습니다.

IIS의 경우 아파치의 . htaccess"는 "web.config"파일에 해당하므로 여기에 설정을 작성합니다.

web.config에서 직접 설정을 작성할 수 있지만이 경우 IIS(인터넷 정보 서비스) 관리자를 사용하여 설정을 추가한 다음 설정 후 web.config를 확인하고 싶습니다.

IIS 관리자의 설정

시작 메뉴에서 IIS(인터넷 정보 서비스) 관리자를 선택합니다.

왼쪽 트리에서 "WordPress"가 실행중인 사이트를 선택하고 중간 목록에서 "HTTP 응답 헤더"를 두 번 클릭하여 엽니 다.

여기에 이름과 값을 입력하고 추가하고 응답 헤더를 설정합니다. 이번에 추가할 내용은 다음과 같습니다. 주요 항목은 발췌 한 것이지만 필요에 따라 더 많은 항목을 추가하거나 값을 변경할 수 있습니다.

이름
X-콘텐츠 유형 옵션 노스니프
X-프레임 옵션 동일 원산지
X-XSS 보호 1; 모드=차단
레퍼러 정책 다운그레이드 시 리퍼러 없음
콘텐츠 보안 정책 업그레이드 안전하지 않은 요청
엄격한 전송 보안 최대 연령=31536000
권한 정책 전체 화면 = (셀프), 가속도계 = (), 카메라 = (), 지리적 위치 = (), 자이로 스코프 = (), 자력계 = (), 마이크 = (), 미디 = (), 지불 = ()

X-Content-Type-Options 예를 들어 추가하고 싶습니다. 오른쪽 메뉴에서 추가를 클릭합니다.

이름을 입력하고 값을 입력 X-Content-Type-Options nosniff 한 다음 OK 버튼을 클릭합니다.

하나의 값이 추가되었습니다.

이 상태에서 테스트로 "보안 헤더"를 선택하면 보안 순위가 상승한 것을 확인할 수 있습니다.

나는 등록을 계속하고 위의 표에 모든 값을 넣으려고했습니다.

이 상태에서 스캔했을 때 가장 높은 랭크 A +임을 알 수있었습니다.

이것은 보안에는 문제가 없지만 매우 제한적이므로 WordPress 사이트를 열고 작동하는 콘텐츠에 문제가 있는지 확인하십시오.

Permissions-Policy 특히, 카메라 및 위치 정보를 완전히 비활성화 했으므로 WordPress 사이트에 따라 값을 조정하십시오.

웹.구성 확인

워드 프레스가있는 폴더의 루트에 web.config가 있어야하므로 메모장 등에서 열고 확인하십시오.

아래 그림과 같이 입력된 것을 볼 수 있을 것입니다. IIS 관리자를 사용하는 대신 web.config에서 동일한 방식으로 HTTP 응답 헤더를 설정할 수 있습니다.