Edite os cabeçalhos DO WordPress HTTP em execução no IIS para medidas de segurança
Ambiente de verificação
- WordPress
-
- 5.8.2
- ..PHP
-
- 7.1.29
- IIS
-
- 10.0
- Servidor Windows
-
- 2019
premissa
Este artigo pressupõe que o WordPress já está sendo executado no IIS.
Verificações de segurança
Vá para o seguinte site, insira a URL do seu site WordPress e pressione o botão Digitalizar.
A classificação resultante é "A+, A, B, C, D, E, F", o que significa que quanto mais perto de A+, mais segura ela é. Por outro lado, mais perto de F significa menos seguro.
Você pode ver que ele é executado contra um site do WordPress instalado no IIS, mas é exibido como F porque não há contramedidas por padrão.
Medidas de segurança
Se você olhar para cima na rede ", . htaccess " arquivo, mas o . htaccess" é basicamente usado pelo servidor web do Apache, por isso não pode ser usado no IIS.
Para o IIS, apache. htaccess" corresponde ao arquivo "web.config", então você escreverá as configurações aqui.
Você pode escrever as configurações diretamente em web.config, mas neste caso, eu gostaria de usar o Gerenciador de Serviços de Informações da Internet (IIS) para adicionar as configurações e, em seguida, verificar web.config depois de defini-las.
Configurações no IIS Manager
No menu Iniciar, selecione IIS (Internet Information Services, serviços de informações da Internet).
Selecione o site onde "WordPress" está correndo da árvore à esquerda e clique duas vezes em "Headers de resposta HTTP" da lista do meio para abri-lo.
Aqui, digite um nome e valor, adicione-o e defina o cabeçalho de resposta. Eis o que adicionaremos desta vez: Os principais são extraídos, mas sinta-se livre para adicionar mais itens ou alterar os valores conforme necessário.
| Valor do nome | |
|---|---|
| Opções de tipo x-conteúdo | nosniff |
| Opções de quadro x | SAMEORIGIN |
| X-XSS-Proteção | 1; mode=bloco |
| Política de Referrer | no-referrer-quando-downgrade |
| Política de segurança de conteúdo | upgrade-solicitações inseguras |
| Segurança de transporte rigoroso | max-age=31536000 |
| Permissões-Política | fullscreen=(self), acelerômetro=(), câmera=(), geolocalização=(), giroscópio=(), magnetômetro=(), microfone=(), midi=(), pagamento=() |
X-Content-Type-Options Eu gostaria de acrescentar como exemplo. Clique em Adicionar no menu à direita.
Digite para o nome, digite para X-Content-Type-Options o nosniff valor e clique no botão OK.
Um valor foi adicionado.
Se você verificar "Cabeçalhos de Segurança" neste estado como um teste, você pode ver que a classificação de segurança aumentou.
Continuei me registrando e tentei colocar todos os valores na tabela acima.
Quando eu escaneei neste estado, pude ver que era o mais alto posto A+.
Isso é bom para a segurança, mas é bastante restritivo, então abra o site do WordPress e verifique se há algum problema com o conteúdo funcionando.
Permissions-Policy Em particular, desativou completamente as informações de câmera e localização, então ajuste os valores de acordo com o site wordpress.
Verificando web.config
Deve haver web.config na raiz da pasta onde o WordPress está localizado, então abra-o no Bloco de Notas etc. e verifique-o.
Você deve ser capaz de ver que ele é inserido como mostrado na figura abaixo. Em vez de usar o IIS Manager, você pode definir cabeçalhos de resposta HTTP no web.config da mesma forma.