Redigera WordPress HTTP-rubriker som körs på IIS för säkerhetsåtgärder
Verifieringsmiljö
- Wordpress
-
- 5.8.2
- ..PHP
-
- 7.1.29
- IIS
-
- 10.0
- Windows Server
-
- 2019
premiss
Den här artikeln förutsätter att WordPress redan körs på IIS.
Säkerhetskontroller
Gå till följande webbplats, ange webbadressen till din WordPress-webbplats och tryck på knappen Skanna.
Den resulterande rangordningen är "A+, A, B, C, D, E, F", vilket innebär att ju närmare A+, desto säkrare är det. Omvänt betyder närmare F mindre säker.
Du kan se att den körs mot en WordPress-webbplats installerad på IIS, men den visas som F eftersom det inte finns några motåtgärder som standard.
Säkerhetsåtgärder
Om du slår upp det på nätet, " . htaccess" -filen, men . htaccess "används i grunden av Apaches webbserver, så den kan inte användas i IIS.
För IIS, Apaches . htaccess" motsvarar "web.config" -filen, så du skriver inställningarna här.
Du kan skriva inställningarna direkt i web.config, men i det här fallet vill jag använda Internet Information Services (IIS) Manager för att lägga till inställningarna och sedan kontrollera web.config efter att du har ställt in dem.
Inställningar i IIS-hanteraren
På Start-menyn väljer du Internet Information Services (IIS) Manager.
Välj den webbplats där "WordPress" körs från trädet till vänster och dubbelklicka på "HTTP-svarsrubriker" från mittlistan för att öppna den.
Här anger du ett namn och värde, lägger till det och anger svarshuvudet. Här är vad vi lägger till den här gången: De viktigaste är utdrag, men lägg gärna till fler objekt eller ändra värdena efter behov.
| Namn | värde |
|---|---|
| X-Content-Type-Alternativ | nosniff |
| X-Frame-Alternativ | SAMEORIGIN |
| X-XSS-skydd | 1; läge=blockera |
| Hänvisningspolicy | no-referrer-when-downgrade |
| Innehåll-Säkerhet-Policy | upgrade-insecure-requests |
| Strikt-transport-säkerhet | max-ålder=31536000 |
| Behörigheter-Policy | helskärm = (själv), accelerometer = (), kamera = (), geolokalisering = (), gyroskop = (), magnetometer = (), mikrofon = (), midi = (), betalning = () |
X-Content-Type-Options Jag skulle vilja lägga till som ett exempel. Klicka på Lägg till från menyn till höger.
Ange för namnet, ange för X-Content-Type-Options nosniff värdet och klicka på OK knapp.
Ett värde har tillkommit.
Om du markerar "Säkerhetsrubriker" i det här läget som ett test kan du se att säkerhetsrankningen har ökat.
Jag fortsatte att registrera mig och försökte sätta alla värden i tabellen ovan.
När jag skannade det i det här tillståndet kunde jag se att det var den högsta rankningen A +.
Det här är bra för säkerheten, men det är ganska restriktivt, så öppna din WordPress-webbplats och kontrollera om det finns några problem med att innehållet fungerar.
Permissions-Policy I synnerhet har helt inaktiverat kameran och platsinformationen, så justera värdena enligt din WordPress-webbplats.
Kontrollera web.config
Det ska finnas web.config i roten till mappen där WordPress finns, så öppna den i Anteckningar etc. och kontrollera den.
Du bör kunna se att det är inmatat som visas i figuren nedan. I stället för att använda IIS-hanteraren kan du ange HTTP-svarshuvuden i web.config på samma sätt.