WordPress'e HTTP güvenlik başlıkları eklemek ister misiniz?
HTTP güvenlik başlıkları, WordPress web sitenize fazladan bir güvenlik katmanı eklemenize olanak tanır. Yaygın kötü amaçlı etkinliklerin web sitenizin performansını etkilemesini engellemeye yardımcı olabilirler.
HTTP Güvenlik Başlıkları nedir?
HTTP güvenlik başlıkları, web sitenizin sunucusunun, web sitenizi etkilemeden önce bazı yaygın güvenlik tehditlerini önlemesini sağlayan bir güvenlik önlemidir.
Temel olarak, bir kullanıcı web sitenizi ziyaret ettiğinde, web sunucunuz tarayıcılarına bir HTTP üstbilgi yanıtı gönderir. Bu yanıt, tarayıcılara hata kodları, önbellek denetimi ve diğer durumlar hakkında bilgi verir.
Normal başlık yanıtı, HTTP 200 adlı bir durum verir. Bundan sonra web siteniz kullanıcının tarayıcısına yüklenir. Ancak, web siteniz zorlanıyorsa, web sunucunuz farklı bir HTTP başlığı gönderebilir.
Örneğin, 500 dahili sunucu hatası veya 404 sayfa bulunamadı hata kodu gönderebilir.
HTTP güvenlik üstbilgileri, bu üstbilgilerin bir alt kümesidir ve web sitelerinin tıklama korsanlığı, siteler arası komut dosyası çalıştırma, kaba kuvvet saldırıları ve daha fazlası gibi yaygın tehditlerden korunması için kullanılır.
HTTP güvenlik başlıklarının nasıl göründüğüne ve web sitenizi korumak için ne yaptıklarına hızlıca bir göz atalım.
HTTP Sıkı Aktarım Güvenliği (HSTS)
HTTP Strict Transport Security (HSTS) başlığı, web tarayıcılarına web sitenizin HTTPs kullandığını ve HTTP gibi güvenli olmayan protokoller kullanılarak yüklenmemesi gerektiğini söyler.
WordPress web sitenizi HTTP'den HTTPs'ye taşıdıysanız , bu güvenlik başlığı, tarayıcıların web sitenizi HTTP ile yüklemesini durdurmanıza olanak tanır.
X-XSS Protection
X-XSS Koruma başlığı, siteler arası komut dosyasının WordPress web sitenize yüklenmesini engellemenize olanak tanır.
X-Frame-Options
X-Frame-Seçenekleri güvenlik başlığı, etki alanları arası iframe'leri veya tıklama korsanlığını önler.
X-Content-Type-Options
X-Content-Type-Options, içerik mime tipi sızmaları engeller.
WordPress'te HTTP Güvenlik Başlıkları Ekleme
Anlatacağımız bu yöntem, WordPress'teki HTTP güvenlik başlıklarını sunucu düzeyinde ayarlamanıza ve ek eklenti kullanmanıza gerek kalmadan güvenliği sağlamanıza olanak tanır.
Bir FTP istemcisi veya barındırma hizmeti ile kontrol panelinizdeki dosya yöneticisi uygulamasını kullanarak web sitenize bağlanmanız yeterlidir. Web sitenizin kök klasöründe .htaccess dosyasını bulmanız ve aşağıdaki şekilde düzenlemeniz gerekir.
İşlem öncesi bu dosyayı yedek almayın unutmayın. Problem yaşamanız halinde yedek dosyasını geri yükleyebilirsiniz.
<IfModule mod_headers.c> Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" "expr=%{HTTPS} == 'on'" Header always set X-XSS-Protection "1; mode=block" Header always set X-Content-Type-Options "nosniff" Header always set Referrer-Policy "strict-origin-when-cross-origin" Header always set Expect-CT "max-age=7776000, enforce" Header set Access-Control-Allow-Origin "null" Header set Access-Control-Allow-Methods "GET,PUT,POST,DELETE" Header set Access-Control-Allow-Headers "Content-Type, Authorization" Header set X-Content-Security-Policy "img-src *; media-src * data:;" Header always set Content-Security-Policy "report-uri https://wordpresstr.or g" Header always set X-Frame-Options "SAMEORIGIN" Header always set Permissions-Policy "accelerometer=(), autoplay=(), camera=(), fullscreen=*, geolocation=(self), gyroscope=(), microphone=(), payment=*" Header set X-Permitted-Cross-Domain-Policies "none" </IfModule>
Bunu nasıl yapacağını bilmeyen kişiler ise eklenti ile yapmak istemeleri halinde Headers Security Advanced & HSTS WP adlı eklentiyi yükleyerek aktif etmeleri yeterlidir.
Yapılan işlem sonucunda web sitenizi kontrol edebilirsiniz. Kontrol edebilmek için aşağıdaki web sitesini ziyaret edebilirsiniz.