查看“增加安全的他通过 web.config 文件下 Wordpress 的博客”的源代码

<span data-link_translate_pt_title="Aumentar a segurança do seu blog em Wordpress através do arquivo Web. config"  data-link_translate_pt_url="Aumentar+a+seguran%C3%A7a+do+seu+blog+em+Wordpress+atrav%C3%A9s+do+arquivo+Web.+config"></span>[[:pt:Aumentar a segurança do seu blog em Wordpress através do arquivo Web. config]][[pt:Aumentar a segurança do seu blog em Wordpress através do arquivo Web. config]]
<span data-link_translate_es_title="Aumentar la seguridad de su blog bajo Wordpress mediante el archivo web.config"  data-link_translate_es_url="Aumentar+la+seguridad+de+su+blog+bajo+Wordpress+mediante+el+archivo+web.config"></span>[[:es:Aumentar la seguridad de su blog bajo Wordpress mediante el archivo web.config]][[es:Aumentar la seguridad de su blog bajo Wordpress mediante el archivo web.config]]
<span data-link_translate_en_title="Increase the safety of his blog under Wordpress via the web.config file"  data-link_translate_en_url="Increase+the+safety+of+his+blog+under+Wordpress+via+the+web.config+file"></span>[[:en:Increase the safety of his blog under Wordpress via the web.config file]][[en:Increase the safety of his blog under Wordpress via the web.config file]]
<span data-link_translate_ar_title="زيادة سلامة مدونته تحت وورد عن طريق ملف web.config"  data-link_translate_ar_url="%D8%B2%D9%8A%D8%A7%D8%AF%D8%A9+%D8%B3%D9%84%D8%A7%D9%85%D8%A9+%D9%85%D8%AF%D9%88%D9%86%D8%AA%D9%87+%D8%AA%D8%AD%D8%AA+%D9%88%D9%88%D8%B1%D8%AF+%D8%B9%D9%86+%D8%B7%D8%B1%D9%8A%D9%82+%D9%85%D9%84%D9%81+web.config"></span>[[:ar:زيادة سلامة مدونته تحت وورد عن طريق ملف web.config]][[ar:زيادة سلامة مدونته تحت وورد عن طريق ملف web.config]]
<span data-link_translate_fr_title="Accroître la sécurité de son blog sous Wordpress via le fichier web.config"  data-link_translate_fr_url="Accro%C3%AEtre_la_s%C3%A9curit%C3%A9_de_son_blog_sous_Wordpress_via_le_fichier_web.config"></span>[[:fr:Accroître la sécurité de son blog sous Wordpress via le fichier web.config]][[fr:Accroître la sécurité de son blog sous Wordpress via le fichier web.config]]
<br />

这篇文章是从由软件进行自动翻译。你可以[[:fr:Accroître la sécurité de son blog sous Wordpress via le fichier web.config|看到这篇文章的源代码]]<br /><span data-translate="fr"></span>







== 介绍  ==
本教程的目的是博客的增加他由微软 iis 使用 web.config 文件的 Wordpress 提供动力的安全性。

本指南不是提交的完整的安全，但允许相对简单，不同的解决方案，以提高你的博客的安全性。


== 提醒  ==
前深入问题的核心，它可能有必要提醒一些重要的事情  :
* 选择你的 Wordpress 的自动更新 
* 尽可能保持插件可能和使用限制插件 
* 通过删除不使用的那些限制模板 /必要和喜欢的网站  "受信任 " 下载你的博客主题 
* 使用复杂的密码  (数字、 大写英文字母、 特殊字符等�) 和永远不会使用相同的密码 
* 定期检查不同的连接日志  (你会发现一篇文章中我们的 Wiki   : [[:fr:Comment exploiter rapidement et facilement les journaux de connexion Windows ?]])
* 执行备份并验证后者的完整性。


== 重要  ==
下面的 web.config 文件，当然是，适应按照你的 Wordpress 配置和参数的 IP 地址的访问您的 CMS 管理水平制约的是适应在后果。
另一方面，附加的配置文件已经过测试与 Windows  2008 服务器 R 2/IIS 7.5.可能需要根据您的操作系统版本更改 /IIS。

== Web.config ==
下面是博客的将允许您来提高你在 Wordpress 下安全的 web.config 文件。
解释是标记之间文件中的注释 <!-- et -->.

<code>
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <!--
            On supprime les documents par défaut configurés et on ne met que ceux qui sont nécessaires.
            Cela permet de gagner du temps pour trouver les defaultDocument.
            Informations complémentaires : https://www.iis.net/configreference/system.webserver/defaultdocument
        -->
        <defaultDocument>
            <files>
                <clear />
                <add value="index.htm" />
                <add value="index.html" />
                <add value="index.php" />
            </files>
        </defaultDocument>

        <!--
            On met en place un filtrage sur les noms de fichiers étant connus comme étant des shells/backdoors PHP
            Les noms de ces fichiers peuvent varier, attention donc.
            Informations complémentaires : https://www.iis.net/configreference/system.webserver/security/requestfiltering/denyurlsequences
        -->
        <security>
            <requestFiltering>
                <denyUrlSequences>
                    <add sequence="ofc_upload_image.php" />
                    <add sequence="timthumb.php" />
                    <add sequence="img.php" />
                    <add sequence="img_x.php" />
                    <add sequence="thumb.php" />
                    <add sequence="phpthumb.php" />
                    <add sequence="kontol.php" />
                    <add sequence="magic.php.png" />
                    <add sequence="food.php" />
                    <add sequence="ph.php" />
                    <add sequence="fragile.php" />
                    <add sequence="3xp.php" />
                    <add sequence="explore.php" />
                    <add sequence="shell.php" />
                    <add sequence="petx.php" />
                    <add sequence="dl-skin.php" />
                    <add sequence="direct_download.php" />
                    <add sequence="getfile.php" />
                    <add sequence="vito.php" />
                    <add sequence="upload_settings_image.php" />
                    <add sequence="saint.php" />
                    <add sequence="lunar.php" />
                    <add sequence="c99.php" />
                    <add sequence="r57.php" />
                    <add sequence="ekin0x.php" />
                    <add sequence="cmd.php" />
                    <add sequence="dq.php" />
                    <add sequence="tryag.php" />
                </denyUrlSequences>

                <!--
                  On bloque également les mot-clefs du langage SQL si une faille par injection SQL peut être exploitée.
                  Informations complémentaires : http://www.iis.net/configreference/system.webserver/security/requestfiltering/filteringrules
                -->
                <filteringRules>
                    <filteringRule name="SQLi" scanUrl="true" scanQueryString="true">
                        <appliesTo>
                            <add fileExtension=".php" />
                        </appliesTo>
                        <denyStrings>
							<clear />
							<add string="--" />
							<add string=";" />
							<add string="/*" />
							<add string="@" />
							<add string="char" />
							<add string="alter" />
							<add string="begin" />
							<add string="cast" />
							<add string="create" />
							<add string="cursor" />
							<add string="declare" />
							<add string="delete" />
							<add string="drop" />
							<add string="end" />
							<add string="exec" />
							<add string="fetch" />
							<add string="insert" />
							<add string="kill" />
							<add string="open" />
							<add string="select" />
							<add string="sys" />
							<add string="table" />
							<add string="update" />
                        </denyStrings>
                    </filteringRule>
                </filteringRules>
            </requestFiltering>
        </security>

        <!--
            On désactive la possibilité de parcourir les répertoires si un fichier index.htm, index.html et index.php n'est pas présent
        -->
        <directoryBrowse enabled="false" />

        <!--
            On restreint les adresses IP autorisées à se connecter à l'interface d'administration via wp-login.php.
            Si ce n'est pas le cas, IIS retournera une erreur de type 403.
            /!\ Nécessite que le module de réécriture d'adresse soit installé (c'est le cas pour nos serveurs mutualisés Windows)
			    Vous pouvez télécharger le module en question à l'adresse http://www.iis.net/download/urlrewrite et des informations
				complémentaires à l'adresse suivante : http://www.iis.net/learn/extensions/url-rewrite-module/using-the-url-rewrite-module
            /!\ A adapter selon votre adresse IP (10.11.12.13 pour le cas présent) et le chemin pour lequel la page wp-login.php est accessible
        -->
        <rewrite>
            <rules>
                <clear />
                <rule name="AdminIPs" patternSyntax="ECMAScript">
                    <match url=".*" />
                    <conditions logicalGrouping="MatchAny" trackAllCaptures="false">
                        <add input="{REMOTE_ADDR}" pattern="10\.11\.12\.13" />
                    </conditions>
                    <serverVariables>
                        <set name="HTTP_X_AdminIPAllowed" value="yes" />
                    </serverVariables>
                </rule>
                <rule name="Restrict wp-login.php access" stopProcessing="true">
                    <match url=".*" />
                    <conditions logicalGrouping="MatchAll" trackAllCaptures="false">
                        <add input="{REQUEST_FILENAME}" pattern="wp-login.php" />
                        <add input="{HTTP_X_AdminIPAllowed}" pattern="yes" negate="true" />
                    </conditions>
                    <action type="CustomResponse" statusCode="403" statusReason="Forbidden: Access is denied." statusDescription="You do not have permission to view this directory or page using the credentials that you supplied." />
                </rule>
            </rules>

            <!--
                On rend IIS moins bavard concernant les en-têtes HTTP
            -->
            <outboundRules rewriteBeforeCache="true">
                <rule name="Remove Server header">
                    <match serverVariable="RESPONSE_Server" pattern=".+" />
                    <action type="Rewrite" value="" />
                </rule>
                <rule name="Remove ETag">
                    <match serverVariable="RESPONSE_ETag" pattern=".+" />
                    <action type="Rewrite" value="" />
                </rule>
            </outboundRules>
        </rewrite>
        <httpProtocol>
            <customHeaders>
				<remove name="X-AspNet-Version" />
				<remove name="X-AspNetMvc-Version" />
				<remove name="X-Powered-By" />

				<!-- 
				    Plesk rajoute un header qui lui est propre, le header "X-Powered-By" étant supprimé,
				   on en profite pour le masquer également
				 -->
				<remove name="X-Powered-By-Plesk" />
            </customHeaders>
        </httpProtocol>
    </system.webServer>
</configuration>
</code>
<br />
<comments />