WordPress'te HTTP Güvenlik Başlıkları Nasıl Eklenir
Yayınlanan: 2021-04-20Bir WordPress web sitesi tasarlamaya gelince, çok güvenli olmak diye bir şey yoktur. Her güvenlik katmanı, sizin ve müşterilerinizin bilgilerinin korunacağının bir başka garantisidir. Ancak ne yazık ki bazı güvenlik önlemleri sizi farklı şekillerde engelleyebilir . İdeal olarak, kullanıcının deneyimini tehlikeye atmadan web sitenize ekstra güvenlik özellikleri eklemek istersiniz. Ve ortaya çıktığı gibi, HTTP güvenlik başlıklarının sunduğu şey tam olarak budur. Öyleyse, WordPress'te HTTP güvenlik üstbilgilerinin nasıl ekleneceğine daha yakından bakalım.
HTTP güvenlik başlıklarını anlama
HTTP güvenlik başlıklarının ana kullanımı bir uyarıdır. Bir ziyaretçi web sitenize geldiğinde , sunucunuzdan bir HTTP üstbilgi yanıtı alır . Yanıt, tarayıcılarına herhangi bir hata kodu, önbellek kontrolü ve diğer çeşitli yönler hakkında bilgi verecektir. Her şey yolundaysa, başlık yanıtı bir HTTP 200 durumu verir. Bunu alarak , kullanıcının tarayıcısına web sitenizi yüklemek için yeşil ışık yanacaktır. Ancak, herhangi bir zorluk varsa, kullanıcı farklı bir başlık alacaktır. Yaygın örnekler, 500 dahili sunucu hatası veya 404 bulunamadı hatasıdır.
HTTP güvenlik üstbilgileri, sunucunuzun gönderebileceği bir tür üstbilgidir. Tarayıcıları siteler arası komut dosyası çalıştırma, kaba kuvvet saldırıları, tıklama hırsızlığı ve diğer çeşitli güvenlik tehditleri hakkında uyarmaya yararlar . En yaygın HTTP güvenlik üstbilgisi türleri şunlardır:
- HTTP Strict Transport Security (HSTS) – Bu başlık, kullanıcının tarayıcısına web sitenizin HTTPS kullandığını bildirir.
- X-XSS Koruması – Bu başlık, siteler arası komut dosyası çalıştırmayı engeller.
- X-Frame-Options – Bu başlık, tıklama ve etki alanları arası iframe'leri önler.
- X-Content-Type-Options – Bu başlık, mime tipi koklamayı engeller.
Gördüğünüz gibi, güvenlik başlıkları web sitenizin ne kadar güvenli olduğu konusunda önemli bir rol oynayabilir. Bu arada, HTTP güvenlik başlıklarını web sitenize dahil etmenin birkaç yolunu görelim.
WordPress'te HTTP güvenlik üstbilgileri ekleyin
HTTP güvenlik başlıklarını ayarlamanın en iyi yolu web sunucusu düzeyindedir. Bunu yaparak , bir HTTP isteğinin başlangıcında tetiklenmelerini sağlayacak ve bu nedenle maksimum miktarda güvenlik sağlayacaksınız. Ayrıca, başlıklar sunucu düzeyinde ayarlandığından, farklı açılış sayfaları için bunu yapma konusunda endişelenmenize gerek kalmayacak. Diğer seçenek, DSN düzeyinde bir web sitesi güvenlik duvarı kullanmaktır. Bu seviyede kurulum genellikle daha kolay kabul edilir, ancak güvenlik önlemleri söz konusu olduğunda sorunlu olabilir. Bununla birlikte, her iki yöntemi ve bunların nasıl uygulanacağını ele alacağız.
WordPress eklentisi kullanma
WordPress ile ilgili çoğu durumda olduğu gibi, bir eklenti kullanmak bir şeyi değiştirmenin en kolay yoludur. Neyse ki, HTTP güvenlik başlıkları istisna değildir. Yapılacak ilk şey, Yönlendirme eklentisini kurmaktır. Yükleyip etkinleştirdikten sonra bir kurulum sihirbazı göreceksiniz. Ayarlamak için talimatlarını takip etmeniz yeterlidir. Bunu yaptıktan sonra Araçlar -> Yönlendirme sayfasına gidin ve “Site” sekmesine geçin. Orada aşağıya doğru kaydırmanız ve “Başlık Ekle” ye tıklamanız gerekir. Gösterilen açılır menüde “Güvenlik Ön Ayarları Ekle” seçeneğini seçebilirsiniz. Bunu yaptığınızda, size bir HTTP güvenlik üstbilgileri listesi sunulur . Daha sonra (gerekirse) başlıkları inceleyebilir ve değiştirebilir ve son olarak bunları web sitenize uygulayabilirsiniz. İşiniz bittiğinde “Güncelle” düğmesine tıklamayı unutmayın.
.htaccess'i kullanma
Şimdi sıradan eklentilerden uzaklaşalım ve biraz daha karmaşık olan bazı yöntemleri keşfedelim. Aşağıdaki yöntem, HTTP güvenlik başlıklarını bir sunucu düzeyinde ayarlamanıza izin verecektir. Yani yapacağınız şey , web sitenizdeki .htaccess dosyasını değiştirmek . Apache web sunucusu yazılımı, sunucu yapılandırması için en yaygın olarak bu dosyayı kullanır. Bunu değiştirmek için bir FTP istemcisi kullanabilir veya barındırma kontrol paneline gidip dosya yöneticisi uygulamasını kullanabilirsiniz . .htaccess dosyasını web sitenizin kök klasöründe bulacaksınız. Bunu yaptıktan sonra, üzerine sağ tıklayın ve düzenle'yi seçin.
Bunu yapmak, metin düzenleyiciyi açacaktır. İçinde, aşağı kaydırmanız ve HTTP güvenlik başlıklarını uygulayacak kodu eklemeniz gerekir. Hangi başlıkları uygulamak istediğiniz konusunda biraz çeşitlilik vardır. Bu nedenle, hangi başlıkların sizin için en uygun olduğunu bulmak için biraz daha derine inmelisiniz . Aşağıdaki kod, en sık kullanılan başlıkları içerdiğinden iyi bir başlangıç noktasıdır:
<ifModule mod_headers.c>
Başlık seti Strict-Transport-Security “max-age=31536000” env=HTTPS
Başlık seti X-XSS-Protection “1; mod=blok”
Başlık seti X-Content-Type-Options nosniff
Başlık seti X-Frame-Options REDDET
Başlık seti Yönlendiren-Policy: no-referrer-while-downgrade
</ifModule>
Kodu kopyaladıktan sonra değişikliklerinizi kaydetmeyi unutmayın.
Cloudflare'ı kullanma
Bir web sitesini yönetmeye gelince, Cloudfare oldukça iyi bir araçtır. Bunu kullanarak, sizi botlardan ve standart kötü amaçlı yazılım saldırılarından korumak için fazlasıyla yeterli olan temel bir güvenlik duvarına sahip olacaksınız. Ve bir CDN hizmetiniz olacak. Ne yazık ki, ücretsiz sürümünde biraz eksik olabilir . Bu nedenle, beğenirseniz, premium olanı seçmeniz gerekebilir.
Cloudfare'in başka bir kullanımı, WordPress'e HTTP güvenlik başlıkları ekleyebilmenizdir. Bunu yapmak için önce onu yüklemeniz ve etkinleştirmeniz gerekir. Bunu yaptıktan sonra hesabınızın altındaki SSL/TLS sayfasına gidin. Ardından, Edge Certificates sekmesine geçmeniz gerekecek. Şimdi aşağı kaydırmanız ve HSTS (HTTP Strict Transport Security) bölümünü açmanız gerekecek. Şimdi HSTS'yi Etkinleştir düğmesine tıklamaya devam edin. Burada WordPress blogunuzda HTTPS'yi etkinleştirmeniz istenecektir. Bunu yaptığınızda, HTTP güvenlik başlıklarına erişebileceksiniz.