Редактирование HTTP-заголовков WordPress, работающих на IIS, для обеспечения безопасности
Среда верификации
- ВордПресс
-
- 5.8.2
- ..PHP
-
- 7.1.29
- Службы IIS
-
- 10.0
- Windows Server
-
- 2019
предпосылка
В этой статье предполагается, что WordPress уже работает на IIS.
Проверки безопасности
Перейдите на следующий сайт, введите URL-адрес вашего сайта WordPress и нажмите кнопку «Сканировать».
Результирующий ранг — «A+, A, B, C, D, E, F», что означает, что чем ближе к A+, тем безопаснее он. И наоборот, ближе к F означает менее безопасно.
Вы можете видеть, что он выполняется против сайта WordPress, установленного на IIS, но он отображается как F, потому что по умолчанию нет контрмер.
Меры безопасности
Если вы посмотрите на это в сети, " . htaccess", но файл . htaccess" в основном используется веб-сервером Apache, поэтому его нельзя использовать в IIS.
Для IIS , Apache's . htaccess" соответствует файлу "web.config", поэтому вы напишете настройки здесь.
Вы можете записать параметры непосредственно в файле web.config, но в этом случае я хотел бы использовать диспетчер служб IIS для добавления параметров, а затем проверить web.config после их установки.
Параметры в диспетчере IIS
В меню Пуск выберите Диспетчер служб IIS.
Выберите сайт, на котором работает «WordPress», из дерева слева и дважды щелкните «Заголовки ответов HTTP» из среднего списка, чтобы открыть его.
Здесь введите имя и значение, добавьте их и задайте заголовок ответа. Вот что мы добавим на этот раз: Основные из них извлечены, но не стесняйтесь добавлять больше элементов или изменять значения по мере необходимости.
| Значение | имени |
|---|---|
| X-Content-Type-Options | носнифф |
| X-Frame-Options | САМЕОРИГИН |
| Защита X-XSS | 1; режим=блок |
| Реферер-Политика | no-referrer-when-downgrade |
| Политика безопасности содержимого | небезопасные запросы на обновление |
| Строгая транспортная безопасность | макс-возраст=31536000 |
| Разрешения-Политика | fullscreen=(self), акселерометр=(), камера=(), геолокация=(), гироскоп=(), магнитометр=(), микрофон=(), midi=(), оплата=() |
X-Content-Type-Options Я хотел бы добавить в качестве примера. Нажмите Добавить в меню справа.
Введите имя, введите X-Content-Type-Options nosniff значение и нажмите кнопку ОК.
Добавлено одно значение.
Если вы проверите «Заголовки безопасности» в этом состоянии в качестве теста, вы увидите, что рейтинг безопасности увеличился.
Я продолжал регистрироваться и попытался поместить все значения в таблицу выше.
Когда я отсканировал его в этом состоянии, я смог увидеть, что это был самый высокий ранг A+.
Это хорошо для безопасности, но это довольно ограничительно, поэтому откройте свой сайт WordPress и проверьте, нет ли проблем с работой контента.
Permissions-Policy В частности, полностью отключена камера и информация о местоположении, поэтому настройте значения в соответствии с вашим сайтом WordPress.
Проверка файла web.config
В корне папки, где находится WordPress, должен быть web.config, поэтому откройте его в Блокноте и т. Д. И проверьте его.
Вы должны быть в состоянии увидеть, что он введен, как показано на рисунке ниже. Вместо использования диспетчера IIS можно задать заголовки HTTP-ответов в файле web.config таким же образом.