Upravte hlavičky WordPress HTTP bežiace na IIS pre bezpečnostné opatrenia
Overovacie prostredie
- WordPress
-
- 5.8.2
- ..PHP
-
- 7.1.29
- IIS
-
- 10.0
- Windows Server
-
- 2019
predpoklad
Tento článok predpokladá, že WordPress už beží na IIS.
Bezpečnostné kontroly
Prejdite na nasledujúcu stránku, zadajte adresu URL svojho webu WordPress a stlačte tlačidlo Skenovať.
Výsledná hodnosť je "A+, A, B, C, D, E, F", čo znamená, že čím bližšie k A+, tým je bezpečnejšia. Naopak, bližšie k F znamená menej bezpečné.
Môžete vidieť, že je spustený proti stránke WordPress nainštalovanej v službe IIS, ale zobrazuje sa ako F, pretože v predvolenom nastavení neexistujú žiadne protiopatrenia.
Bezpečnostné opatrenia
Ak si to vyhľadáte na internete, " . htaccess" súbor, ale . htaccess" je v podstate používaný webovým serverom Apache, takže ho nemožno použiť v IIS.
Pre IIS, Apache's . htaccess" zodpovedá súboru "web.config", takže tu napíšete nastavenia.
Nastavenia môžete napísať priamo do web.config, ale v tomto prípade by som chcel použiť Správcu internetových informačných služieb (IIS) na pridanie nastavení a potom po ich nastavení skontrolovať web.config.
Nastavenia v správcovi služby IIS
V ponuke Štart vyberte položku Správca internetových informačných služieb (IIS).
Vyberte web, kde "WordPress" beží zo stromu vľavo a dvojitým kliknutím na "HTTP Response Headers" zo stredného zoznamu ho otvorte.
Tu zadajte názov a hodnotu, pridajte ju a nastavte hlavičku odpovede. Tentoraz pridáme toto: Hlavné sú úryvky, ale pokojne pridajte ďalšie položky alebo podľa potreby zmeňte hodnoty.
| Hodnota | názvu |
|---|---|
| X-Content-Type-Options | Nosniff |
| X-Frame-Options | SAMEORIGIN |
| Ochrana X-XSS | 1; mode=blok |
| Politika sprostredkovateľa | no-referrer-when-downgrade |
| Obsah-bezpečnosť-politika | upgrade-insecure-requests |
| Prísna bezpečnosť prepravy | max-vek=31536000 |
| Pravidlá povolení | fullscreen=(self), akcelerometer=(), camera=(), geolokácia=(), gyroskop=(), magnetometer=(), mikrofón=(), midi=(), platba=() |
X-Content-Type-Options Rád by som dodal ako príklad. Kliknite na Pridať v ponuke vpravo.
Zadajte názov, zadajte X-Content-Type-Options nosniff hodnotu a kliknite na tlačidlo OK.
Pridala sa jedna hodnota.
Ak v tomto stave začiarknete políčko "Hlavičky zabezpečenia" ako test, môžete vidieť, že sa zvýšila hodnosť zabezpečenia.
Pokračoval som v registrácii a pokúsil som sa vložiť všetky hodnoty do tabuľky vyššie.
Keď som ho naskenoval v tomto stave, videl som, že je to najvyššia hodnosť A+.
To je v poriadku pre bezpečnosť, ale je to dosť obmedzujúce, takže otvorte svoje stránky WordPress a skontrolujte, či nie sú nejaké problémy s fungovaním obsahu.
Permissions-Policy Najmä úplne zakázal kameru a informácie o polohe, takže upravte hodnoty podľa svojej stránky WordPress.
Kontrola web.config
V koreňovom adresári priečinka, kde sa nachádza WordPress, by mal byť web.config, preto ho otvorte v programe Poznámkový blok atď. a skontrolujte ho.
Mali by ste vidieť, že je zadaný tak, ako je to znázornené na obrázku nižšie. Namiesto použitia nástroja IIS Manager môžete rovnakým spôsobom nastaviť hlavičky odpovedí HTTP vo web.config.