Відредагуйте заголовки WordPress HTTP, що працюють на службах IIS, для забезпечення заходів безпеки
Середовище перевірки
- Вордпресс
-
- 5.8.2
- ..PHP
-
- 7.1.29
- Засоби IIS
-
- 10.0
- Сервер Windows
-
- 2019
Передумови
У цій статті припускається, що WordPress вже працює на службах IIS.
Перевірки безпеки
Перейдіть на наступний сайт, введіть URL-адресу свого сайту WordPress і натисніть кнопку Сканувати.
Отриманий ранг - "A+, A, B, C, D, E, F", що означає, що чим ближче до A+, тим він безпечніший. І навпаки, ближче до F означає менш безпечний.
Ви можете побачити, що він виконується проти сайту WordPress, встановленого на IIS, але він відображається як F, оскільки за замовчуванням немає контрзаходів.
Заходи безпеки
Якщо ви подивитеся на це в мережі, " . htaccess" файл, але . htaccess" в основному використовується веб-сервером Apache, тому його не можна використовувати в IIS.
Для IIS, Apache's . htaccess" відповідає файлу "web.config", тому налаштування ви напишете тут.
Ви можете написати налаштування безпосередньо в web.config, але в цьому випадку я хотів би скористатися менеджером інформаційних служб Інтернету (IIS), щоб додати налаштування, а потім перевірити web.config після їх налаштування.
Настройки в диспетчері служб IIS
У меню «Пуск» виберіть «Диспетчер інформаційних служб Інтернету» (IIS).
Виберіть сайт, де працює "WordPress", з дерева ліворуч і двічі клацніть "Заголовки відповідей HTTP" із середнього списку, щоб відкрити його.
Тут введіть ім'я та значення, додайте їх і встановіть заголовок відповіді. Ось що ми додамо цього разу: Основні з них - витяги, але сміливо додавайте більше пунктів або міняйте значення в міру необхідності.
| Значення імені | |
|---|---|
| X-Content-Type-Options | Носіфф |
| X-Frame-Параметри | ТЕ САМЕ ПОХОДЖЕННЯ |
| X-XSS-захист | 1; режим=блок |
| Реферер-політика | no-referrer-when-downgrade |
| Контент-Безпека-Політика | апгрейд-незахищені-запити |
| Сувора транспортна безпека | максимальний вік=31536000 |
| Політика дозволів | fullscreen=(self), accelerometer=(), camera=(), geolocation=(), gyroscope=(), magnetometer=(), мікрофон=(), midi=(), payment=() |
X-Content-Type-Options Хотілося б навести як приклад. Натисніть кнопку Додати в меню праворуч.
Введіть ім'я, введіть значення X-Content-Type-Options nosniff та натисніть кнопку OK.
Додана одна вартість.
Якщо в якості тесту поставити "Заголовки безпеки" в цьому штаті, то можна побачити, що ранг безпеки підвищився.
Я продовжував реєструватися і намагався помістити всі значення в таблицю вище.
Коли я відсканував його в такому стані, я зміг побачити, що це найвищий ранг A+.
Це добре для безпеки, але це досить обмежувально, тому відкрийте свій сайт WordPress і перевірте, чи немає проблем із роботою вмісту.
Permissions-Policy Зокрема, повністю вимкнув камеру та інформацію про місцезнаходження, тому налаштуйте значення відповідно до вашого сайту WordPress.
Перевірка web.config
У корені папки, де знаходиться WordPress, має бути web.config, тому відкрийте його в Блокноті тощо та перевірте.
Ви повинні мати можливість побачити, що він введений так, як показано на малюнку нижче. Замість того, щоб використовувати диспетчер IIS, ви можете встановити заголовки відповідей HTTP у web.config таким же чином.