보안 조치를 위해 IIS에서 실행되는 워드프레스 HTTP 헤더 편집
검증 환경
- 워드 프레스
-
- 5.8.2
- ..PHP
-
- 7.1.29
- IIS
-
- 10.0
- 윈도우 서버
-
- 2019
전제
이 문서에서는 워드프레스가 이미 IIS에서 실행되고 있다고 가정합니다.
보안 검사
다음 사이트로 이동하여 워드프레스 사이트의 URL을 입력하고 스캔 버튼을 누릅니다.
결과 순위는 "A+, A, B, C, D, E, F"이며, 이는 A+에 가까울수록 더 안전하다는 것을 의미합니다. 반대로 F에 가까울수록 보안이 떨어집니다.
IIS에 설치된 워드프레스 사이트에 대해 실행되는 것을 볼 수 있지만, 기본적으로 대책이 없기 때문에 F로 표시됩니다.
보안 대책
인터넷에서 찾아보면 " . htaccess" 파일을 사용하지만 . htaccess"는 기본적으로 아파치의 웹 서버에서 사용되므로 IIS에서는 사용할 수 없습니다.
IIS의 경우 아파치의 . htaccess"는 "web.config"파일에 해당하므로 여기에 설정을 작성합니다.
web.config에서 직접 설정을 작성할 수 있지만이 경우 IIS(인터넷 정보 서비스) 관리자를 사용하여 설정을 추가한 다음 설정 후 web.config를 확인하고 싶습니다.
IIS 관리자의 설정
시작 메뉴에서 IIS(인터넷 정보 서비스) 관리자를 선택합니다.
왼쪽 트리에서 "WordPress"가 실행중인 사이트를 선택하고 중간 목록에서 "HTTP 응답 헤더"를 두 번 클릭하여 엽니 다.
여기에 이름과 값을 입력하고 추가하고 응답 헤더를 설정합니다. 이번에 추가할 내용은 다음과 같습니다. 주요 항목은 발췌 한 것이지만 필요에 따라 더 많은 항목을 추가하거나 값을 변경할 수 있습니다.
| 이름 | 값 |
|---|---|
| X-콘텐츠 유형 옵션 | 노스니프 |
| X-프레임 옵션 | 동일 원산지 |
| X-XSS 보호 | 1; 모드=차단 |
| 레퍼러 정책 | 다운그레이드 시 리퍼러 없음 |
| 콘텐츠 보안 정책 | 업그레이드 안전하지 않은 요청 |
| 엄격한 전송 보안 | 최대 연령=31536000 |
| 권한 정책 | 전체 화면 = (셀프), 가속도계 = (), 카메라 = (), 지리적 위치 = (), 자이로 스코프 = (), 자력계 = (), 마이크 = (), 미디 = (), 지불 = () |
X-Content-Type-Options 예를 들어 추가하고 싶습니다. 오른쪽 메뉴에서 추가를 클릭합니다.
이름을 입력하고 값을 입력 X-Content-Type-Options nosniff 한 다음 OK 버튼을 클릭합니다.
하나의 값이 추가되었습니다.
이 상태에서 테스트로 "보안 헤더"를 선택하면 보안 순위가 상승한 것을 확인할 수 있습니다.
나는 등록을 계속하고 위의 표에 모든 값을 넣으려고했습니다.
이 상태에서 스캔했을 때 가장 높은 랭크 A +임을 알 수있었습니다.
이것은 보안에는 문제가 없지만 매우 제한적이므로 WordPress 사이트를 열고 작동하는 콘텐츠에 문제가 있는지 확인하십시오.
Permissions-Policy 특히, 카메라 및 위치 정보를 완전히 비활성화 했으므로 WordPress 사이트에 따라 값을 조정하십시오.
웹.구성 확인
워드 프레스가있는 폴더의 루트에 web.config가 있어야하므로 메모장 등에서 열고 확인하십시오.
아래 그림과 같이 입력된 것을 볼 수 있을 것입니다. IIS 관리자를 사용하는 대신 web.config에서 동일한 방식으로 HTTP 응답 헤더를 설정할 수 있습니다.