Bewerk WordPress HTTP-headers die op IIS worden uitgevoerd voor beveiligingsmaatregelen
Verificatie omgeving
- WordPress
-
- 5.8.2
- ..PHP
-
- 7.1.29
- IIS
-
- 10.0
- Windows Server
-
- 2019
premisse
In dit artikel wordt ervan uitgegaan dat WordPress al op IIS wordt uitgevoerd.
Veiligheidscontroles
Ga naar de volgende site, voer de URL van uw WordPress-site in en druk op de knop Scannen.
De resulterende rang is "A +, A, B, C, D, E, F", wat betekent dat hoe dichter bij A +, hoe veiliger het is. Omgekeerd betekent dichter bij F minder veilig.
U kunt zien dat het wordt uitgevoerd tegen een WordPress-site die op IIS is geïnstalleerd, maar het wordt weergegeven als F omdat er standaard geen tegenmaatregelen zijn.
Veiligheidsmaatregelen
Als je het op het net opzoekt, " . htaccess" bestand, maar de . htaccess" wordt in principe gebruikt door de webserver van Apache, dus het kan niet worden gebruikt in IIS.
Voor IIS, Apache's . htaccess" komt overeen met het bestand "web.config", dus u schrijft de instellingen hier.
U kunt de instellingen rechtstreeks in web.config schrijven, maar in dit geval wil ik Internet Information Services (IIS) Manager gebruiken om de instellingen toe te voegen en vervolgens web.config te controleren nadat ik ze heb ingesteld.
Instellingen in IIS-beheer
Selecteer in het menu Start de optie Beheer van Internet Information Services (IIS).
Selecteer de site waar "WordPress" wordt uitgevoerd vanuit de boom aan de linkerkant en dubbelklik op "HTTP Response Headers" in de middelste lijst om deze te openen.
Voer hier een naam en waarde in, voeg deze toe en stel de antwoordkop in. Dit is wat we deze keer zullen toevoegen: De belangrijkste zijn uittreksels, maar voel je vrij om meer items toe te voegen of de waarden indien nodig te wijzigen.
| Naamwaarde | |
|---|---|
| X-Content-Type-Opties | nosniff |
| X-Frame-Opties | SAMEORIGIN |
| X-XSS-bescherming | 1; mode=blok |
| Referrer-Beleid | no-referrer-bij-downgrade |
| Content-Security-Beleid | upgrade-onveilige-verzoeken |
| Strikte transportbeveiliging | max-leeftijd=31536000 |
| Machtigingen-Beleid | fullscreen=(self), accelerometer=(), camera=(), geolocation=(), gyroscoop=(), magnetometer=(), microfoon=(), midi=(), payment=() |
X-Content-Type-Options Ik wil er graag als voorbeeld aan toevoegen. Klik op Toevoegen in het menu aan de rechterkant.
Voer in voor de naam, voer de nosniff waarde in X-Content-Type-Options en klik op de knop OK.
Er is één waarde toegevoegd.
Als u 'Security Headers' in deze status als test aanvinkt, kunt u zien dat de beveiligingsrang is toegenomen.
Ik bleef me registreren en probeerde alle waarden in de bovenstaande tabel te zetten.
Toen ik het in deze staat scande, kon ik zien dat het de hoogste rang A + was.
Dit is prima voor de veiligheid, maar het is vrij beperkend, dus open uw WordPress-site en controleer of er problemen zijn met de inhoud die werkt.
Permissions-Policy In het bijzonder, heeft de camera en locatie-informatie volledig uitgeschakeld, dus pas de waarden aan volgens uw WordPress-site.
Web.config controleren
Er moet web.config zijn in de hoofdmap van de map waarin WordPress zich bevindt, dus open het in Kladblok enz. en controleer het.
U zou moeten kunnen zien dat het is ingevoerd zoals weergegeven in de onderstaande afbeelding. In plaats van IIS-beheer te gebruiken, kunt u HTTP-antwoordheaders in web.config op dezelfde manier instellen.