İçindekiler ✓
HTTP güvenlik başlıkları, WordPress web sitenize ekstra bir güvenlik katmanı eklemenizi sağlamaktadır. Kötü amaçlı yaygın etkinliklerin web sitenizin performansını etkilemesini engellemeye yardımcı olurlar.
Bu yazımızda, WordPress’te HTTP güvenlik başlıkları nasıl eklenir konusundan bahsedeceğiz.
HTTP Güvenlik Başlıkları Nedir ?
HTTP güvenlik başlıkları, web sitenizin sunucusunun bazı yaygın güvenlik tehditlerini web sitenizi etkilemeden önce önlemesine olanak tanıyan bir güvenlik önlemidir.
Herhangi bir kullanıcı web sitenizi ziyaret ettiği zaman, web sunucunuz tarayıcısına bir HTTP üstbilgisi yanıtı gönderir. Bu yanıt, tarayıcılara hata kodları, önbellek kontrolü ve diğer durumlar hakkında bilgi verir.
Normal üstbilgi yanıtı, HTTP 200 olarak adlandırılan bir durum verir. Web siteniz bundan sonra kullanıcının tarayıcısına yüklenir. Ancak, web siteniz zorluk yaşıyorsa, web sunucunuz farklı bir HTTP başlığı gönderebilir.
Örneğin, 500 dahili sunucu hatası veya 404 hata kodu gönderebilir.
HTTP güvenlik başlıkları, bu başlıkların bir alt kümesidir ve web sitelerini tıklama hırsızlığı, siteler arası komut dosyası çalıştırma, kötü saldırılar ve daha fazlası gibi yaygın tehditlerden korumak için kullanılır .
Şimdi WordPress’te HTTP güvenlik başlıklarının nasıl kolayca ekleneceğine bir göz atalım.
WordPress’te HTTP Güvenlik Başlıkları Ekleme
HTTP güvenlik başlıkları, WordPress barındırma hesabınız ayarlandığında en iyi şekilde çalışır. Bir HTTP isteği sırasında erkenden tetiklenmelerini sağlar ve maksimum fayda sağlar.
Sucuri ya da Cloudflare gibi DNS düzeyinde bir web sitesi uygulama güvenlik duvarı kullanıyorsanız daha da iyi çalışırlar. Size her yöntemi göstereceğiz ve sizin için en uygun olanı seçebilirsiniz.
1. Sucuri ile WordPress’e HTTP Güvenlik Başlıkları Ekleme
Sucuri , piyasadaki en iyi WordPress güvenlik eklentisidir. Web sitesi güvenlik duvarı hizmetini de kullanıyorsanız, herhangi bir kod yazmadan HTTP güvenlik başlıklarını ayarlayabilirsiniz.
İlk olarak, bir Sucuri hesabına kaydolmanız gerekiyor. Sunucu düzeyinde web sitesi güvenlik duvarı, güvenlik eklentisi, CDN ve kötü amaçlı yazılım temizleme garantisi ile birlikte gelen ücretli bir hizmettir.
Kayıt sırasında basit soruları yanıtlamanız gerekecektir.
Kaydolduktan sonra, ücretsiz Sucuri eklentisini kurmanız ve etkinleştirmeniz gerekiyor.
Etkinleştirdikten sonra Sucuri Güvenlik kısmından Güvenlik Duvarı (WAF) sayfasına gidin ve Güvenlik Duvarı API anahtarınızı girin. Bu bilgileri Sucuri web sitesinde hesabınızın altında bulabilirsiniz.
Değişikliklerinizi kaydetmek için Kaydet butonuna tıklayın.
Daha sonra, Sucuri hesap panonuza geçmeniz gerekiyor. Buradan üstte yer alan Ayarlar menüsüne tıklayın ve Güvenlik sekmesine geçin.
Buradan üç grup kural seçmeniz mümkündür. Varsayılan koruma, HSTS ve HSTS Full’dür. Her bir kural kümesi için hangi HTTP güvenlik başlıklarının uygulanacağını görebilirsiniz.
Değişikliklerinizi uygulamak için ‘Ek Başlıklardaki Değişiklikleri Kaydet’ butonuna tıklayın.
Hepsi bu kadar, Sucuri şimdi seçtiğiniz HTTP güvenlik başlıklarını WordPress’e ekleyecektir. DNS seviyesinde bir WAF olduğundan, web sitenizin trafiği, web sitenize ulaşmadan önce bilgisayar korsanlarından korunacaktır.
2. Cloudflare ile WordPress’e HTTP Güvenlik Başlıkları Ekleme
Cloudflare, ücretsiz web sitesi güvenlik duvarı ve CDN hizmeti sunmaktadır. Ücretsiz planlarında gelişmiş güvenlik özelliklerinden yoksundur, bundan dolayı ücreti daha yüksek olan Pro planlarına yükseltmeniz gerekecektir.
Cloudflare web sitenizde aktif hale geldiğinde, Cloudflare hesap panonuzun altında yer alan SSL / TLS sayfasına gidin daha sonra Edge Sertifikaları sekmesine geçin.
Şimdi, HTTP Katı Taşıma Güvenliği (HSTS) bölümüne gidin ve ‘HSTS’yi Etkinleştir’ butonuna tıklayın.
Yapacağınız işlem bu özelliği kullanmadan önce WordPress blogunuzda HTTPS’yi etkinleştirmeniz gerektiğini söyleyen talimatları içeren bir açılır pencere açılmasını sağlar. Devam etmek için İleri butonuna tıkladıktan sonra HTTP güvenlik başlıkları ekleme seçeneklerini göreceksiniz.
Buradan, HSTS’Yİ etkinleştirebilir, no-sniff üstbilgisini etkinleştirebilir, HSTS’yi alt alanlara uygulayabilir (HTTPS kullanıyorsa) ve HSTS’yi önceden yükleyebilirsiniz.
Bu yöntem, HTTP güvenlik başlıklarını kullanarak temel koruma sağlar. Ancak, X-Frame-Options eklemenize izin vermez ayrıca Cloudflare bunu yapmak için bir kullanıcı arayüzüne sahip değildir.
Çalışanlar özelliğini kullanarak bir komut dosyası oluşturarak bunu yine de yapabilirsiniz. Ancak, bir HTTPS güvenlik başlığı komut dosyası oluşturmak, yeni başlayanlar için beklenmedik sorunlara neden olabilir, bu yüzden bunu önerilmemektedir.
3. .htaccess ile WordPress’e HTTP Güvenlik Başlıkları Ekleme
Bu yöntem, WordPress’teki HTTP güvenlik başlıklarını sunucu düzeyinde ayarlamanıza olanak tanır.
Web sitenizdeki .htaccess dosyasını düzenlemenizi gerektirir . En sık kullanılan Apache web sunucusu yazılımı tarafından kullanılan bir sunucu yapılandırma dosyasıdır.
Web sitenize bir FTP istemcisi ya da barındırma kontrol panelinizde bulunan dosya yöneticisi uygulamasını kullanarak bağlanmanız yeterlidir. Web sitenizin kök klasöründe .htaccess dosyasını bulmanız ve düzenlemeniz gerekiyor.
Bu işlem, dosyayı bir düz metin düzenleyicide açacaktır. Dosyanın altına, WordPress web sitenize HTTPS güvenlik başlıkları eklemek için kodu ekleyebilirsiniz.
Aşağıdaki örnek kodu bir başlangıç noktası olarak kullanabilirsiniz, en sık kullanılan HTTPS güvenlik üstbilgilerini optimum şekilde ayarlar:
1 2 3 4 5 6 7 | <ifModule mod_headers.c> Header set Strict-Transport-Security "max-age=31536000" env=HTTPS Header set X-XSS-Protection "1; mode=block" Header set X-Content-Type-Options nosniff Header set X-Frame-Options DENY Header set Referrer-Policy: no-referrer-when-downgrade </ifModule> |
Her şeyin beklendiği gibi çalıştığından emin olmak için değişikliklerinizi kaydetmeyi ve web sitenizi ziyaret etmeyi unutmayın.
Not: .htaccess dosyasındaki yanlış başlıklar ya da çakışmalar çoğu web barındırıcısında 500 Dahili sunucu hatasının görülmesine neden olabilir.
4. Eklenti ile WordPress’e HTTP Güvenlik Başlıkları Ekleme
Bu yöntem, WordPress web sitenize HTTP güvenlik başlıkları eklemenin en kolay yoludur.
İlk olarak, Redirection eklentisini kurmanız ve etkinleştirmeniz gerekiyor.
Etkinleştirmenin ardından eklenti, eklentiyi kurmak için takip edebileceğiniz bir kurulum sihirbazı gösterecektir. Bundan sonra, Araçlar kısmından Yönlendirme sayfasına gidin ve ‘Site’ sekmesine geçin.
Ardından, sayfanın en altına, HTTP Üstbilgileri bölümüne inerek ‘Üstbilgi Ekle’ butonuna tıklamanız gerekiyor. Açılır menüden, ‘Güvenlik Ön Ayarları Ekle’ seçeneğini seçmeniz gerekiyor.
Bu seçenekleri eklemek için tekrar tıklamanız gerekecektir. Şimdi, tabloda önceden belirlenmiş bir HTTP güvenlik başlıkları listesi göreceksiniz.
Bu başlıklar güvenlik için optimize edilmiştir, bunları gözden geçirebilir ve gerekirse değiştirebilirsiniz. İşiniz bittiği zaman, değişikliklerinizi kaydetmek için Güncelle butonuna tıklamayı unutmayın.
Artık her şeyin yolunda gittiğinden emin olmak için web sitenizi ziyaret edebilirsiniz.
Web Sitesi HTTP Güvenlik Başlıkları Nasıl Kontrol Edilir ?
Artık web sitenize HTTP Güvenliği başlıkları eklediniz. Yapılandırmanızı ücretsiz Security Hearders aracını kullanarak test edebilirsiniz. Web sitenizin URL’sini girin daha sonra Tara butonuna tıklayın.
Daha sonra web siteniz için HTTP güvenlik başlıklarını kontrol edecek ve size bir rapor gösterecektir. Araç, çoğu web sitesi kullanıcı deneyimini etkilemeden en iyi ihtimalle B veya C puanı alacağı için göz ardı edebileceğiniz sözde bir not etiketi oluşturacaktır.
Web siteniz tarafından hangi HTTP güvenlik başlıklarının gönderildiğini ve hangi güvenlik başlıklarının dahil edilmediğini size gösterecektir. Ayarlamak istediğiniz güvenlik başlıkları burada listeleniyorsa eğer işlem tamamlanmış demektir.
Dilerseniz daha önce yazmış olduğumuz WordPress’te Çalınan İçeriği Bulma ve Kaldırma yazımızı okuyabilirsiniz.