แก้ไขส่วนหัว HTTP ของ WordPress ที่ทํางานบน IIS สําหรับมาตรการรักษาความปลอดภัย

ปรับปรุงหน้า : วันอาทิตย์ที่ 30 ตุลาคม พ.ศ. 2565

วันที่สร้างเพจ : วันศุกร์ที่ 19 พฤศจิกายน พ.ศ. 2564

สภาพแวดล้อมการตรวจสอบ

เวิร์ดเพรส

5.8.2

.PHP

7.1.29

ไอเอส

10.0

วินโดวส์เซิร์ฟเวอร์

2019

สถานที่ตั้ง

บทความนี้อนุมานว่า WordPress กําลังทํางานอยู่บน IIS แล้ว

การตรวจสอบความปลอดภัย

ไปที่ไซต์ต่อไปนี้ป้อน URL ของไซต์ WordPress ของคุณแล้วกดปุ่มสแกน

ส่วนหัวความปลอดภัย

อันดับที่ได้คือ "A+, A, B, C, D,, F" ซึ่งหมายความว่ายิ่งใกล้กับ A+ มากเท่าไหร่ก็ยิ่งปลอดภัยมากขึ้นเท่านั้น ในทางกลับกัน การเข้าใกล้ F มากขึ้นหมายถึงความปลอดภัยที่น้อยลง

คุณจะเห็นว่ามันถูกดําเนินการกับไซต์ WordPress ที่ติดตั้งบน IIS แต่จะแสดงเป็น F เนื่องจากไม่มีมาตรการตอบโต้ตามค่าเริ่มต้น

มาตรการรักษาความปลอดภัย

ถ้าคุณมองมันขึ้นในสุทธิ, ". htaccess"ไฟล์ แต่ . htaccess" โดยทั่วไปจะใช้โดยเว็บเซิร์ฟเวอร์ของ Apache ดังนั้นจึงไม่สามารถใช้ใน IIS ได้

สําหรับ IIS, อาปาเช่ . htaccess" สอดคล้องกับไฟล์ "web.config" ดังนั้นคุณจะเขียนการตั้งค่าที่นี่

คุณสามารถเขียนการตั้งค่าได้โดยตรงใน web.config แต่ในกรณีนี้ฉันต้องการใช้โปรแกรมจัดการบริการข้อมูลทางอินเทอร์เน็ต (IIS) เพื่อเพิ่มการตั้งค่าและตรวจสอบ web.config หลังจากตั้งค่าแล้ว

การตั้งค่าในตัวจัดการ IIS

จากเมนูเริ่มเลือกโปรแกรมจัดการบริการข้อมูลทางอินเทอร์เน็ต (IIS)

เลือกไซต์ที่ "WordPress" กําลังทํางานจากต้นไม้ทางด้านซ้ายและดับเบิลคลิกที่ "ส่วนหัวการตอบสนอง HTTP" จากรายการตรงกลางเพื่อเปิด

ที่นี่ป้อนชื่อและค่าเพิ่มและตั้งค่าส่วนหัวของการตอบกลับ นี่คือสิ่งที่เราจะเพิ่มในครั้งนี้: รายการหลักถูกตัดตอนมา แต่อย่าลังเลที่จะเพิ่มรายการเพิ่มเติมหรือเปลี่ยนค่าตามต้องการ

	ค่าชื่อ
X-ประเภทเนื้อหา-ตัวเลือก	นอสนิฟฟ์
X-เฟรม-ออปชั่น	ซาเมอริจิน
การป้องกัน X-XSS	1; โหมด = บล็อก
นโยบายผู้อ้างอิง	ไม่มีผู้อ้างอิงเมื่อปรับลดรุ่น
เนื้อหา-นโยบายความปลอดภัย-	อัพเกรดไม่ปลอดภัยคําขอ
เข้มงวด-ขนส่ง-การรักษาความปลอดภัย	อายุสูงสุด = 31536000
สิทธิ์-นโยบาย	เต็มหน้าจอ =(self), accelerometer = (), กล้อง = (), ตําแหน่งทางภูมิศาสตร์ = (), ไจโรสโคป = (), magnetometer = (), ไมโครโฟน = (), midi = (), การชําระเงิน = ()

X-Content-Type-Optionsฉันต้องการเพิ่มเป็นตัวอย่าง คลิกเพิ่มจากเมนูทางด้านขวา

ป้อนชื่อป้อนค่าX-Content-Type-Optionsnosniffแล้วคลิก OK ปุ่ม

มีการเพิ่มค่าหนึ่งค่า

หากคุณตรวจสอบ "ส่วนหัวความปลอดภัย" ในสถานะนี้เป็นการทดสอบ คุณจะเห็นว่าอันดับความปลอดภัยเพิ่มขึ้น

ฉันยังคงลงทะเบียนและพยายามใส่ค่าทั้งหมดในตารางด้านบน

เมื่อฉันสแกนมันในสถานะนี้ฉันสามารถเห็นได้ว่ามันเป็นอันดับสูงสุด A +

สิ่งนี้ใช้ได้เพื่อความปลอดภัย แต่ค่อนข้าง จํากัด ดังนั้นให้เปิดไซต์ WordPress ของคุณและตรวจสอบว่ามีปัญหาใด ๆ กับเนื้อหาที่ใช้งานได้หรือไม่

Permissions-Policyโดยเฉพาะอย่างยิ่งได้ปิดการใช้งานกล้องและข้อมูลตําแหน่งอย่างสมบูรณ์ดังนั้นให้ปรับค่าตามไซต์ WordPress ของคุณ

การตรวจสอบ web.config

ควรมี web.config ในรูทของโฟลเดอร์ที่ WordPress ตั้งอยู่ดังนั้นให้เปิดใน Notepad ฯลฯ และตรวจสอบ

คุณควรจะสามารถเห็นได้ว่ามีการป้อนข้อมูลดังแสดงในรูปด้านล่าง แทนที่จะใช้ตัวจัดการ IIS คุณสามารถตั้งค่าส่วนหัวการตอบสนอง HTTP ใน web.config ในลักษณะเดียวกัน