Chỉnh sửa tiêu đề HTTP WordPress chạy trên IIS để biết các biện pháp bảo mật

Trang Cập Nhật : Chủ Nhật, 30 tháng 10, 2022

Ngày tạo trang : Thứ Sáu, 19 tháng 11, 2021

Môi trường xác minh

WordPress

5.8.2

..PHP

7.1.29

IIS ·

10.0

Máy chủ Windows

2019

tiền đề

Bài viết này giả định rằng WordPress đã chạy trên IIS.

Kiểm tra bảo mật

Truy cập trang web sau, nhập URL của trang web WordPress của bạn và nhấn nút Quét.

Tiêu đề bảo mật

Xếp hạng kết quả là "A +, A, B, C, D, E, F", có nghĩa là càng gần A + thì càng an toàn. Ngược lại, gần F hơn có nghĩa là kém an toàn hơn.

Bạn có thể thấy rằng nó được thực thi đối với một WordPress trang web được cài đặt trên IIS, nhưng nó được hiển thị dưới dạng F vì không có biện pháp đối phó nào theo mặc định.

Biện pháp an ninh

Nếu bạn tra cứu nó trên mạng, " . htaccess" tập tin, nhưng tệp . htaccess" về cơ bản được sử dụng bởi máy chủ web của Apache, vì vậy nó không thể được sử dụng trong IIS.

Đối với IIS, Apache's . htaccess" tương ứng với tệp "web.config", vì vậy bạn sẽ viết cài đặt tại đây.

Bạn có thể viết cài đặt trực tiếp trong web.config, nhưng trong trường hợp này, tôi muốn sử dụng Trình quản lý Dịch vụ Thông tin Internet (IIS) để thêm cài đặt và sau đó kiểm tra web.config sau khi đặt chúng.

Cài đặt trong trình quản lý IIS

Từ menu bắt đầu , chọn trình quản lý dịch vụ thông tin Internet (IIS).

Chọn trang web nơi "WordPress" đang chạy từ cây bên trái và nhấp đúp vào "Tiêu đề phản hồi HTTP" từ danh sách giữa để mở nó.

Tại đây, nhập tên và giá trị, thêm tên và giá trị đó và đặt tiêu đề phản hồi. Dưới đây là những gì chúng tôi sẽ thêm lần này: Những cái chính được trích dẫn, nhưng hãy thoải mái thêm nhiều mục hơn hoặc thay đổi các giá trị khi cần thiết.

Giá trị	Name
X-Content-Type-Tùy chọn	nosniff
Tùy chọn X-Frame	GIỐNG NHAU
X-XSS-Bảo vệ	1; chế độ = khối
Liên kết giới thiệu-Chính sách	không có liên kết giới thiệu-khi-hạ cấp
Nội dung-Bảo mật-Chính sách	nâng cấp-không an toàn-yêu cầu
Nghiêm ngặt-Vận chuyển-An ninh	tuổi tối đa = 31536000
Quyền-Chính sách	fullscreen=(self), gia tốc kế=(), camera=(), geolocation=(), con quay hồi chuyển=(), magnetometer=(), micro=(), midi=(), payment=()

X-Content-Type-Options Tôi muốn thêm làm ví dụ. Nhấp vào Thêm từ menu bên phải.

Nhập tên, nhập giá X-Content-Type-Options nosniff trị và nhấp vào đồng ý cái nút.

Một giá trị đã được thêm vào.

Nếu bạn kiểm tra "Tiêu đề bảo mật" ở trạng thái này như một bài kiểm tra, bạn có thể thấy rằng thứ hạng bảo mật đã tăng lên.

Tôi tiếp tục đăng ký và cố gắng đặt tất cả các giá trị vào bảng trên.

Khi tôi quét nó ở trạng thái này, tôi có thể thấy rằng đó là thứ hạng cao nhất A +.

Điều này tốt cho bảo mật, nhưng nó khá hạn chế, vì vậy hãy mở trang web WordPress của bạn và kiểm tra xem có bất kỳ vấn đề nào với nội dung hoạt động không.

Permissions-Policy Đặc biệt, đã vô hiệu hóa hoàn toàn camera và thông tin vị trí, vì vậy hãy điều chỉnh các giá trị theo trang web WordPress của bạn.

Kiểm tra web.config

Cần có web.config trong thư mục gốc của thư mục chứa WordPress, vì vậy hãy mở nó trong Notepad, v.v. và kiểm tra nó.

Bạn sẽ có thể thấy rằng nó được nhập như thể hiện trong hình dưới đây. Thay vì sử dụng trình quản lý IIS, bạn có thể đặt tiêu đề phản hồi HTTP trong web.config theo cách tương tự.