編輯在 IIS 上運行的 WordPress 的 HTTP 標頭以提供安全措施
驗證環境
- WordPress
-
- 5.8.2
- 。.PHP
-
- 7.1.29
- IIS
-
- 10.0
- Windows Server
-
- 2019
前提
在本文中,WordPress 已在 IIS 上運行。
檢查安全性
請嘗試訪問以下網站,輸入 WordPress 網站的 URL,然後按「掃描」 按鈕。
結果排名為“A+、A、B、C、D、E、F”,這意味著越接近 A+,安全性就越高。 相反,它越接近 F,安全性就越弱。
在 IIS 上安裝的 WordPress 網站上運行時,您將看到它顯示為 F,因為預設情況下沒有解決任何問題。
安全措施
在網上搜索時,我發現“。 使用 htaccess 檔的措施通常被寫入,但“. htaccess“ 在 IIS 中不可用,因為它基本上與 Apache Web 伺服器一起使用。
對於 IIS,請參閱 Apache 的” 由於 htaccess 是“web.config”檔,因此您需要在此處描述設置。
您可以直接在 Web.config 中編寫設置,但這次我想使用 Internet 資訊服務 (IIS) 管理器添加設置,並在配置后檢查 Web.config。
在 IIS 管理器中設置
從「開始」功能表中選擇「互聯網資訊服務 (IIS) 管理器」。
從左側樹中選擇運行 WordPress 的網站,然後按兩下中心清單中的 HTTP 回應標頭以將其打開。
在這裡,我們輸入名稱和值,然後添加它並設置響應標頭。 這次添加的內容如下。 摘錄主要內容,但根據需要增加或更改值。
| 名稱 | 值 |
|---|---|
| X-Content-Type-Options | nosniff |
| X-Frame-Options | SAMEORIGIN |
| X-XSS-Protection | 1; mode=block |
| Referrer-Policy | no-referrer-when-downgrade |
| Content-Security-Policy | upgrade-insecure-requests |
| Strict-Transport-Security | max-age=31536000 |
| Permissions-Policy | fullscreen=(self), accelerometer=(), camera=(), geolocation=(), gyroscope=(), magnetometer=(), microphone=(), midi=(), payment=() |
我想新增 一 X-Content-Type-Options 個 。 從右側功能表中,按兩下添加”
在名稱中 X-Content-Type-Options 鍵入 ,將 nosniff 值放入 ,然後按下「確定」 按鈕。
添加了一個值。
嘗試查看「安全頭」以查看此狀態,以確保安全排名正在上升。
我繼續註冊,並嘗試包括上表中的所有值。
當我嘗試掃描它時,我能夠確認它將成為最高等級的A+。
安全性很好,但 WordPress 網站非常嚴格,因此請確保內容工作正常。
特別是, Permissions-Policy 由於 完全禁用了相機和位置資訊,因此請根據您運行的 WordPress 網站調整值。
檢查 web.config
WordPress 所在的資料夾的根目錄應具有 Web.config,因此請嘗試在記事本中打開它並檢查它。
您可以看到,它已輸入如下圖所示。 您可以設置 HTTP 回應標頭,只需以相同的方式編寫 Web.config,而無需使用 IIS 管理器。