Editarea anteturilor HTTP WordPress care rulează pe IIS pentru măsuri de securitate
Mediul de verificare
- WordPress
-
- 5.8.2
- ..PHP
-
- 7.1.29
- IIS
-
- 10.0
- Windows Server
-
- 2019
premisă
Acest articol presupune că WordPress rulează deja pe IIS.
Controale de securitate
Accesați următorul site, introduceți adresa URL a site-ului WordPress și apăsați butonul Scanare.
Rangul rezultat este "A +, A, B, C, D, E, F", ceea ce înseamnă că cu cât este mai aproape de A +, cu atât este mai sigur. În schimb, mai aproape de F înseamnă mai puțin sigur.
Puteți vedea că este executat împotriva unui site WordPress instalat pe IIS, dar este afișat ca F, deoarece nu există contramăsuri în mod implicit.
Măsuri de securitate
Dacă îl cauți pe net, " . htaccess" fișier, dar . htaccess" este practic folosit de serverul web Apache, deci nu poate fi utilizat în IIS.
Pentru IIS, Apache lui . htaccess" corespunde fișierului "web.config", astfel încât veți scrie setările aici.
Puteți scrie setările direct în web.config, dar în acest caz, aș dori să utilizați Internet Information Services (IIS) Manager pentru a adăuga setările și apoi verificați web.config după setarea lor.
Setări în IIS Manager
Din meniul Start, selectați Internet Information Services (IIS) Manager.
Selectați site-ul unde rulează "WordPress" din arborele din stânga și faceți dublu clic pe "Anteturi de răspuns HTTP" din lista de mijloc pentru a-l deschide.
Aici, introduceți un nume și o valoare, adăugați-l și setați antetul de răspuns. Iată ce vom adăuga de data aceasta: Cele mai importante sunt extrase, dar nu ezitați să adăugați mai multe elemente sau să modificați valorile după cum este necesar.
Valoare nume | |
---|---|
X-Content-Type-Options | nosniff |
X-Frame-Opțiuni | SAMEORIGIN |
Protecție X-XSS | 1; mode=block |
Referrer-Politica | no-referrer-when-downgrade |
Politica de securitate a conținutului | upgrade-nesigure-cereri |
Strict-Transport-Securitate | max-age = 31536000 |
Permisiuni-Politică | fullscreen =(auto), accelerometru=(), camera=(), geolocalizare=(), giroscop=(), magnetometru=(), microfon=(), midi=(), payment=() |
X-Content-Type-Options
Aș dori să adaug ca un exemplu. Apasă pe Adaugă din meniul din dreapta.
Introduceți numele, introduceți valoarea X-Content-Type-Options
nosniff
și faceți clic pe OK butonul OK.
S-a adăugat o valoare.
Dacă verificați "Anteturi de securitate" în această stare ca test, puteți vedea că rangul de securitate a crescut.
Am continuat să mă înregistrez și am încercat să pun toate valorile în tabelul de mai sus.
Când l-am scanat în această stare, am putut vedea că era cel mai înalt rang A +.
Acest lucru este bine pentru securitate, dar este destul de restrictiv, așa că deschideți site-ul WordPress și verificați dacă există probleme cu conținutul de lucru.
Permissions-Policy
În special, a dezactivat complet camera și informațiile despre locație, deci ajustați valorile în funcție de site-ul dvs.
Verificarea web.config
Ar trebui să existe web.config în rădăcina folderului în care se află WordPress, așa că deschideți-l în Notepad etc. și verificați-l.
Ar trebui să puteți vedea că este introdus așa cum se arată în figura de mai jos. În loc să utilizați IIS Manager, puteți seta anteturile de răspuns HTTP în web.config în același mod.