Edytuj nagłówki HTTP WordPress działające w usługach IIS w celu zapewnienia środków bezpieczeństwa
Środowisko weryfikacji
- WordPress
-
- 5.8.2
- ..PHP
-
- 7.1.29
- Usługi IIS
-
- 10.0
- Windows Server
-
- 2019
przesłanka
W tym artykule założono, że WordPress jest już uruchomiony na IIS.
Kontrole bezpieczeństwa
Przejdź do następującej witryny, wprowadź adres URL swojej witryny WordPress i naciśnij przycisk Skanuj.
Wynikowa ranga to "A+, A, B, C, D, E, F", co oznacza, że im bliżej A+, tym bezpieczniej. I odwrotnie, bliżej F oznacza mniej bezpieczne.
Widać, że jest on wykonywany w witrynie WordPress zainstalowanej na IIS, ale jest wyświetlany jako F, ponieważ domyślnie nie ma środków zaradczych.
Środki bezpieczeństwa
Jeśli sprawdzisz to w sieci, " . htaccess", ale plik . htaccess" jest zasadniczo używany przez serwer WWW Apache, więc nie może być używany w IIS.
W przypadku usług IIS, Apache . htaccess" odpowiada plikowi "web.config", więc zapiszesz ustawienia tutaj.
Możesz zapisać ustawienia bezpośrednio w pliku web.config, ale w tym przypadku chciałbym użyć Menedżera internetowych usług informacyjnych (IIS), aby dodać ustawienia, a następnie sprawdzić plik web.config po ich ustawieniu.
Ustawienia w Menedżerze usług IIS
Z menu Start wybierz polecenie Menedżer internetowych usług informacyjnych (IIS).
Wybierz witrynę, na której działa "WordPress" z drzewa po lewej stronie i kliknij dwukrotnie "Nagłówki odpowiedzi HTTP" ze środkowej listy, aby ją otworzyć.
Tutaj wprowadź nazwę i wartość, dodaj ją i ustaw nagłówek odpowiedzi. Oto, co dodamy tym razem: Główne z nich są fragmentowane, ale możesz dodać więcej elementów lub zmienić wartości w razie potrzeby.
| Wartość nazwy | |
|---|---|
| X-Content-Type-Options; | nosniff |
| X-Frame-Options; | SAMEORIGIN |
| X-XSS-Protection | 1; mode=blok |
| Polityka odsyłająca | no-referrer-when-downgrade |
| Content-Security-Policy | upgrade-insecure-requests |
| Ścisłe bezpieczeństwo transportu | max-age = 31536000 |
| Polityka uprawnień | pełny ekran=(self), accelerometer=(), camera=(), geolocation=(), gyroscope=(), magnetometer=(), microphone=(), midi=(), payment=() |
X-Content-Type-Options Chciałbym dodać jako przykład. Kliknij Dodaj w menu po prawej stronie.
Wprowadź nazwę, wprowadź X-Content-Type-Options nosniff wartość i kliknij przycisk OK.
Dodano jedną wartość.
Jeśli zaznaczysz "Nagłówki zabezpieczeń" w tym stanie jako test, zobaczysz, że ranga zabezpieczeń wzrosła.
Kontynuowałem rejestrację i próbowałem umieścić wszystkie wartości w powyższej tabeli.
Kiedy zeskanowałem go w tym stanie, byłem w stanie zobaczyć, że jest to najwyższa ranga A +.
Jest to dobre dla bezpieczeństwa, ale jest dość restrykcyjne, więc otwórz swoją witrynę WordPress i sprawdź, czy są jakieś problemy z działaniem treści.
Permissions-Policy W szczególności całkowicie wyłączył informacje o aparacie i lokalizacji, więc dostosuj wartości zgodnie z witryną WordPress.
Sprawdzanie pliku web.config
W katalogu głównym folderu, w którym znajduje się WordPress, powinien znajdować się web.config, więc otwórz go w Notatniku itp. i sprawdź go.
Powinieneś być w stanie zobaczyć, że jest on wprowadzany, jak pokazano na poniższym rysunku. Zamiast używać Menedżera usług IIS, można ustawić nagłówki odpowiedzi HTTP w pliku web.config w ten sam sposób.