编辑在 IIS 上运行的 WordPress 的 HTTP 标头以提供安全措施
验证环境
- WordPress
-
- 5.8.2
- .PHP
-
- 7.1.29
- IIS
-
- 10.0
- Windows Server
-
- 2019
前提
在本文中,WordPress 已在 IIS 上运行。
检查安全性
请尝试访问以下网站,输入 WordPress 网站的 URL,然后按“扫描”按钮。
结果排名为“A+、A、B、C、D、E、F”,这意味着越接近 A+,安全性就越高。 相反,它越接近 F,安全性就越弱。
在 IIS 上安装的 WordPress 站点上运行时,您将看到它显示为 F,因为默认情况下没有解决任何问题。
安全措施
在网上搜索时,我发现“。 使用 htaccess 文件的措施通常被写入,但“. htaccess“ 在 IIS 中不可用,因为它基本上与 Apache Web 服务器一起使用。
对于 IIS,请参阅 Apache 的” 由于 htaccess 是“web.config”文件,因此您需要在此处描述设置。
您可以直接在 Web.config 中编写设置,但这次我想使用 Internet 信息服务 (IIS) 管理器添加设置,并在配置后检查 Web.config。
在 IIS 管理器中设置
从“开始”菜单中选择“互联网信息服务 (IIS) 管理器”。
从左侧树中选择运行 WordPress 的站点,然后双击中心列表中的 HTTP 响应标头以将其打开。
在这里,我们输入名称和值,然后添加它并设置响应标头。 这次添加的内容如下。 摘录主要内容,但根据需要增加或更改值。
| 名称 | 值 |
|---|---|
| X-Content-Type-Options | nosniff |
| X-Frame-Options | SAMEORIGIN |
| X-XSS-Protection | 1; mode=block |
| Referrer-Policy | no-referrer-when-downgrade |
| Content-Security-Policy | upgrade-insecure-requests |
| Strict-Transport-Security | max-age=31536000 |
| Permissions-Policy | fullscreen=(self), accelerometer=(), camera=(), geolocation=(), gyroscope=(), magnetometer=(), microphone=(), midi=(), payment=() |
我想添加 一 X-Content-Type-Options 个 。 从右侧菜单中,单击“添加”。
在名称中 X-Content-Type-Options 键入 ,将 nosniff 值放入 ,然后单击“确定”按钮。
添加了一个值。
尝试查看“安全头”以查看此状态,以确保安全排名正在上升。
我继续注册,并尝试包括上表中的所有值。
当我尝试扫描它时,我能够确认它将成为最高等级的A+。
安全性很好,但 WordPress 网站非常严格,因此请确保内容工作正常。
特别是, Permissions-Policy 由于 完全禁用了相机和位置信息,因此请根据您运行的 WordPress 网站调整值。
检查 web.config
WordPress 所在的文件夹的根目录应具有 Web.config,因此请尝试在记事本中打开它并检查它。
您可以看到,它已输入如下图所示。 您可以设置 HTTP 响应标头,只需以相同的方式编写 Web.config,而无需使用 IIS 管理器。