WordPress’e HTTP güvenlik başlıkları eklemek ister misiniz?
HTTP güvenlik başlıkları, WordPress web sitenize ekstra bir güvenlik katmanı eklemenizi sağlar. Yaygın olarak görülen kötü amaçlı etkinliklerin sitenizin performansını etkilemesini engellemeye yardımcı olabilirler.
Bu başlangıç kılavuzunda, size WordPress’te HTTP güvenlik başlıklarını nasıl ekleyeceğinizi göstereceğiz.
HTTP Güvenlik Başlıkları Nedir?
HTTP güvenlik başlıkları, web sitenizin sunucusunun bazı yaygın güvenlik tehditlerini web sitenizi etkilemeden önce önlemesine olanak tanıyan bir güvenlik önlemidir.
Bir kullanıcı WordPress web sitenizi ziyaret ettiğinde , web sunucunuz tarayıcılarına bir HTTP başlık yanıtı gönderir. Bu yanıt, tarayıcılara hata kodları, önbellek denetimi ve diğer durumlar hakkında bilgi verir.
Normal başlık yanıtı, HTTP 200 adlı bir durum verir. Bundan sonra, web siteniz kullanıcının tarayıcısına yüklenir. Ancak, web siteniz sorun yaşıyorsa, web sunucunuz farklı bir HTTP başlığı gönderebilir.
Örneğin, 500 dahili sunucu hatası veya bulunamadı 404 hata kodu gönderebilir .
HTTP güvenlik başlıkları, bu başlıkların bir alt kümesidir. Web sitelerini tıklama hırsızlığı, siteler arası komut dosyası çalıştırma, kaba kuvvet saldırıları ve daha fazlası gibi yaygın tehditlerden korumak için kullanılırlar .
Bazı HTTP güvenlik başlıklarına ve web sitenizi nasıl koruduklarına hızlıca bir göz atalım:
- HTTP Katı Aktarım Güvenliği (HSTS), web tarayıcılarına web sitenizin HTTPS kullandığını ve HTTP gibi güvenli olmayan bir protokol kullanılarak yüklenmemesi gerektiğini söyler.
- X-XSS Koruması, siteler arası komut dizisinin yüklenmesini engellemenizi sağlar.
- X-Frame-Options, etki alanları arası iframe’leri veya tıklama hırsızlığını önler.
- X-Content-Type-Options X-Content-Type-Options, içerik mime tipi koklamayı engeller.
HTTP güvenlik başlıkları, web sunucusu düzeyinde, yani WordPress barındırma hesabınızda ayarlandıklarında en iyi şekilde çalışır . Bu, tipik bir HTTP isteği sırasında erken tetiklenmelerine ve maksimum fayda sağlamalarına olanak tanır.
Sucuri veya Cloudflare gibi DNS düzeyinde bir web sitesi uygulama güvenlik duvarı kullanıyorsanız daha da iyi çalışırlar .
Bununla birlikte, WordPress’te HTTP güvenlik başlıklarının kolayca nasıl ekleneceğine bir göz atalım. İşte size uygun olana atlayabilmeniz için farklı yöntemlere hızlı bağlantılar:
- Sucuri Kullanarak WordPress’te HTTP Güvenlik Başlıkları Ekleme
- Cloudflare Kullanarak WordPress’te HTTP Güvenlik Başlıkları Ekleme
- .htaccess Kullanarak WordPress’te HTTP Güvenlik Başlıkları Ekleme
- AIOSEO Kullanarak WordPress’te HTTP Güvenlik Başlıkları Ekleme
- Bir Web Sitesi İçin HTTP Güvenlik Başlıklarını Kontrol Etme
1. Sucuri Kullanarak WordPress’e HTTP Güvenlik Başlıkları Ekleme
Sucuri , piyasadaki en iyi WordPress güvenlik eklentilerinden biridir . Web sitesi güvenlik duvarı hizmetini kullanıyorsanız, herhangi bir kod yazmadan HTTP güvenlik başlıklarını ayarlayabilirsiniz.
Öncelikle, bir Sucuri hesabına kaydolmanız gerekecek . Sunucu düzeyinde bir web sitesi güvenlik duvarı, güvenlik eklentisi, CDN ve kötü amaçlı yazılım temizleme garantisi ile birlikte gelen ücretli bir hizmettir.
Kayıt sırasında basit soruları yanıtlamanız gerekecek ve Sucuri belgeleri, web sitenizde web sitesi uygulama güvenlik duvarını kurmanıza yardımcı olacaktır.
Kaydolduktan sonra, ücretsiz Sucuri eklentisini kurmalı ve etkinleştirmelisiniz . Daha fazla ayrıntı için, bir WordPress eklentisinin nasıl kurulacağına ilişkin adım adım kılavuzumuza bakın .
Aktivasyon üzerine, Sucuri Security »Güvenlik Duvarı (WAF) bölümüne gitmeniz ve Güvenlik Duvarı API anahtarınızı girmeniz gerekir. Bu bilgiyi Sucuri web sitesindeki hesabınızın altında bulabilirsiniz.
Bundan sonra, değişikliklerinizi saklamak için yeşil ‘Kaydet’ düğmesine tıklamanız gerekecektir.
Ardından, Sucuri hesap kontrol panelinize geçmelisiniz. Buradan üst kısımdaki ‘Ayarlar’ menüsüne tıklayın ve ardından ‘Güvenlik’ sekmesine geçin.
Buradan, üç kural kümesi seçebilirsiniz. Varsayılan koruma, çoğu web sitesi için iyi çalışacaktır.
Profesyonel veya İş planınız varsa, HSTS ve HSTS Full için de seçenekleriniz vardır. Her bir kural grubu için hangi HTTP güvenlik başlıklarının uygulanacağını görebilirsiniz.
Değişikliklerinizi uygulamak için ‘Ek Başlıklardaki Değişiklikleri Kaydet’ düğmesini tıklamanız gerekir.
Sucuri şimdi seçtiğiniz HTTP güvenlik başlıklarını WordPress’e ekleyecektir. DNS düzeyinde bir WAF olduğundan, web sitenizin trafiği bilgisayar korsanlarından web sitenize ulaşmadan korunur.
2. Cloudflare Kullanarak WordPress’e HTTP Güvenlik Başlıkları Ekleme
Cloudflare, temel bir ücretsiz web sitesi güvenlik duvarı ve CDN hizmeti sunar. Ücretsiz planında gelişmiş güvenlik özellikleri yoktur, bu nedenle daha pahalı olan Pro planına geçmeniz gerekir.
WordPress’te Cloudflare ücretsiz CDN’nin nasıl kurulacağına ilişkin eğiticimizi takip ederek Cloudflare’ı web sitenize nasıl ekleyeceğinizi öğrenebilirsiniz .
Cloudflare web sitenizde aktif olduğunda, Cloudflare hesap panonuzdaki SSL/TLS sayfasına gitmeli ve ardından ‘Edge Sertifikaları’ sekmesine geçmelisiniz.
Şimdi aşağı kaydırarak ‘HTTP Katı Aktarım Güvenliği (HSTS)’ bölümüne gidin.
Bulduğunuzda, ‘HSTS’yi Etkinleştir’ düğmesine tıklamanız gerekir.
Bu , bu özelliği kullanmadan önce web sitenizde HTTPS’yi etkinleştirmeniz gerektiğini söyleyen talimatları içeren bir açılır pencere açar .
WordPress blogunuzun zaten güvenli bir HTTPS bağlantısı varsa, devam etmek için ‘İleri’ düğmesine tıklayabilirsiniz. HTTP güvenlik başlıkları ekleme seçeneklerini göreceksiniz.
Buradan, HSTS’yi etkinleştirebilir, HSTS’yi alt alan adlarına uygulayabilir (alt alan adları HTTPS kullanıyorsa), HSTS’yi önceden yükleyebilir ve no-sniff başlığını etkinleştirebilirsiniz.
Bu yöntem, HTTP güvenlik başlıklarını kullanarak temel koruma sağlar. Ancak, X-Frame-Options eklemenize izin vermez ve Cloudflare’nin bunu yapacak bir kullanıcı arayüzü yoktur.
Bunu, Cloudflare Workers özelliğini kullanarak bir komut dosyası oluşturarak da yapabilirsiniz . Ancak, HTTPS güvenlik başlığı komut dosyası oluşturmak yeni başlayanlar için beklenmeyen sorunlara neden olabileceğinden bunu önermiyoruz.
3. .htaccess Kullanarak WordPress’e HTTP Güvenlik Başlıkları Ekleme
Bu yöntem, WordPress’teki HTTP güvenlik başlıklarını sunucu düzeyinde ayarlamanıza olanak tanır.
Web sitenizdeki .htaccess dosyasının düzenlenmesini gerektirir . Bu sunucu yapılandırma dosyası, en sık kullanılan Apache web sunucusu yazılımı tarafından kullanılır.
Not: Web sitenizdeki dosyalarda herhangi bir değişiklik yapmadan önce bir yedekleme yapmanızı öneririz .
Ardından, barındırma kontrol panelinizdeki bir FTP istemcisini veya dosya yöneticisini kullanarak web sitenize bağlanmanız yeterlidir . Web sitenizin kök klasöründe .htaccess dosyasını bulmanız ve düzenlemeniz gerekir.
Bu, dosyayı bir düz metin düzenleyicide açacaktır. Dosyanın alt kısmında, WordPress web sitenize HTTPS güvenlik başlıkları eklemek için bazı kodlar ekleyebilirsiniz.
Aşağıdaki örnek kodu başlangıç noktası olarak kullanabilirsiniz. En yaygın kullanılan HTTP güvenlik başlıklarını optimum ayarlarla ayarlar:
<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
</ifModule>Her şeyin beklendiği gibi çalıştığından emin olmak için değişikliklerinizi kaydetmeyi ve web sitenizi ziyaret etmeyi unutmayın.
Not: Web sitenizde kod düzenlerken dikkatli olun. .htaccess dosyasındaki yanlış başlıklar veya çakışmalar 500 Dahili Sunucu Hatasını tetikleyebilir .
4. AIOSEO Kullanarak WordPress’e HTTP Güvenlik Başlıkları Ekleme
All in One SEO (AIOSEO), WordPress için en iyi SEO aracıdır ve 3 milyondan fazla işletme tarafından güvenilmektedir. Premium eklenti, web sitenize kolayca HTTP güvenlik başlıkları eklemenizi sağlar.
Yapmanız gereken ilk şey, web sitenize AIOSEO eklentisini yüklemek ve etkinleştirmektir. WordPress için Hepsi Bir Arada SEO’nun nasıl kurulacağına ilişkin adım adım kılavuzumuzdan daha fazla bilgi edinebilirsiniz .
Daha sonra HTTP güvenlik başlıklarını eklemek için Hepsi Bir Arada SEO »Yönlendirmeler sayfasına gitmeniz gerekir . Öncelikle, özelliği etkinleştirmek için ‘Yönlendirmeleri Etkinleştir’ düğmesini tıklamanız gerekecek.
Yönlendirmeler etkinleştirildikten sonra, ‘Tam Site Yönlendirmesi’ sekmesine tıklamanız ve ardından ‘Kanonik Ayarlar’ bölümüne gitmeniz gerekir.
“Kanonik Ayarlar” anahtarını etkinleştirmeniz ve ardından “Güvenlik Ön Ayarları Ekle” düğmesini tıklamanız yeterlidir.
Tabloda önceden ayarlanmış bir HTTP güvenlik başlıkları listesi göreceksiniz.
Bu başlıklar güvenlik için optimize edilmiştir. Bunları gözden geçirebilir ve gerekirse değiştirebilirsiniz.
Güvenlik başlıklarını saklamak için ekranın üstündeki veya altındaki ‘Değişiklikleri Kaydet’ düğmesine tıkladığınızdan emin olun.
Artık her şeyin yolunda olduğundan emin olmak için web sitenizi ziyaret edebilirsiniz.
Bir Web Sitesi İçin HTTP Güvenlik Başlıklarını Kontrol Etme
Artık web sitenize HTTP Güvenlik başlıkları eklediğinize göre, ücretsiz Güvenlik Başlıkları aracını kullanarak yapılandırmanızı test edebilirsiniz.
Sadece web sitenizin URL’sini girin ve ‘Tara’ düğmesine tıklayın.
Daha sonra web siteniz için HTTP güvenlik başlıklarını kontrol edecek ve size bir rapor gösterecektir. Araç ayrıca, çoğu web sitesi kullanıcı deneyimini etkilemeden B veya C puanı alacağından, yok sayabileceğiniz sözde bir not etiketi oluşturacaktır.
Web siteniz tarafından hangi HTTP güvenlik başlıklarının gönderildiğini ve hangilerinin dahil edilmediğini size gösterecektir. Ayarlamak istediğiniz güvenlik üstbilgileri burada listeleniyorsa işiniz tamamlanmış demektir.
Bu makalenin, WordPress’te HTTP güvenlik başlıklarını nasıl ekleyeceğinizi öğrenmenize yardımcı olacağını umuyoruz. Ayrıca eksiksiz WordPress güvenlik kılavuzumuzu ve işletme web siteleri için en iyi WordPress eklentileri için uzman seçimlerimizi de görmek isteyebilirsiniz .
Bir cevap yazın
Yorum yapabilmek için giriş yapmalısınız.