WordPress'te HTTP Güvenlik Başlıkları Nasıl Eklenir (Başlangıç ​​Kılavuzu)

WordPress'e HTTP güvenlik başlıkları eklemek ister misiniz?

HTTP güvenlik başlıkları, WordPress web sitenize fazladan bir güvenlik katmanı eklemenize olanak tanır. Yaygın kötü amaçlı etkinliklerin web sitenizin performansını etkilemesini engellemeye yardımcı olabilirler.

Bu başlangıç ​​kılavuzunda, WordPress'e HTTP güvenlik başlıklarını nasıl kolayca ekleyeceğinizi göstereceğiz.

HTTP Güvenlik Başlıkları nedir?

HTTP güvenlik başlıkları, web sitenizin sunucusunun, web sitenizi etkilemeden önce bazı yaygın güvenlik tehditlerini önlemesini sağlayan bir güvenlik önlemidir.

Temel olarak, bir kullanıcı web sitenizi ziyaret ettiğinde, web sunucunuz tarayıcılarına bir HTTP üstbilgi yanıtı gönderir. Bu yanıt, tarayıcılara hata kodları, önbellek denetimi ve diğer durumlar hakkında bilgi verir.

Normal başlık yanıtı, HTTP 200 adlı bir durum verir. Bundan sonra web siteniz kullanıcının tarayıcısına yüklenir. Ancak, web siteniz zorlanıyorsa, web sunucunuz farklı bir HTTP başlığı gönderebilir.

Örneğin, 500 dahili sunucu hatası veya bulunamadı 404 hata kodu gönderebilir.

HTTP güvenlik üstbilgileri, bu üstbilgilerin bir alt kümesidir ve web sitelerinin tıklama korsanlığı, siteler arası komut dosyası çalıştırma, kaba kuvvet saldırıları ve daha fazlası gibi yaygın tehditlerden korunması için kullanılır.

HTTP güvenlik başlıklarının nasıl göründüğüne ve web sitenizi korumak için ne yaptıklarına hızlıca bir göz atalım.

HTTP Sıkı Aktarım Güvenliği (HSTS)

HTTP Strict Transport Security (HSTS) başlığı, web tarayıcılarına web sitenizin HTTP kullandığını ve HTTP gibi güvenli olmayan protokoller kullanılarak yüklenmemesi gerektiğini söyler.

WordPress web sitenizi HTTP'den HTTP'ye taşıdıysanız, bu güvenlik başlığı, tarayıcıların web sitenizi HTTP'ye yüklemesini durdurmanıza olanak tanır.

X-XSS Koruması

X-XSS Protection başlığı, siteler arası komut dosyasının WordPress web sitenize yüklenmesini engellemenize olanak tanır.

X-Frame-Seçenekleri

X-Frame-Options güvenlik başlığı, etki alanları arası iframe'leri veya tıklama korsanlığını önler.

X-İçerik-Türü-Seçenekler

X-Content-Type-Options, içerik mime tipi koklamayı engeller.

Bununla birlikte, WordPress'te HTTP güvenlik başlıklarının nasıl kolayca ekleneceğine bir göz atalım.

WordPress'te HTTP Güvenlik Başlıkları Ekleme

HTTP güvenlik başlıkları, web sunucusu düzeyinde (yani WordPress barındırma hesabınızda) ayarlandığında en iyi sonucu verir. Bu, tipik bir HTTP isteği sırasında erken tetiklenmelerini sağlar ve maksimum fayda sağlar.

Sucuri veya Cloudflare gibi DNS düzeyinde bir web sitesi uygulaması güvenlik duvarı kullanıyorsanız daha da iyi çalışırlar. Size her yöntemi göstereceğiz ve sizin için en uygun olanı seçebilirsiniz.

İşte farklı yöntemlere hızlı bağlantılar, size uygun olana atlayabilirsiniz.

• Sucuri kullanarak HTTP güvenlik üstbilgileri ekleme
• Cloudflare kullanarak HTTP güvenlik üstbilgileri ekleme
• .htaccess kullanarak HTTP güvenlik üstbilgileri ekleme
• WordPress Eklentisini kullanarak HTTP güvenlik üstbilgileri ekleme
• HTTP güvenlik başlıklarını test etme

1. WordPress'e Sucuri Kullanarak HTTP Güvenlik Başlıkları Ekleme

Sucuri, piyasadaki en iyi WordPress güvenlik eklentisidir. Web sitelerinin güvenlik duvarı hizmetini de kullanıyorsanız, herhangi bir kod yazmadan HTTP güvenlik başlıklarını ayarlayabilirsiniz.

İlk olarak, bir Sucuri hesabına kaydolmanız gerekecek. Sever düzeyinde bir web sitesi güvenlik duvarı, güvenlik eklentisi, CDN ve kötü amaçlı yazılım temizleme garantisi ile birlikte gelen ücretli bir hizmettir.

Kayıt sırasında basit soruları yanıtlayacaksınız ve Sucuri belgeleri web sitenizde web sitesi uygulaması güvenlik duvarını kurmanıza yardımcı olacak.

Kaydolduktan sonra ücretsiz Sucuri eklentisini kurmanız ve etkinleştirmeniz gerekir. Daha fazla ayrıntı için, bir WordPress eklentisinin nasıl kurulacağına ilişkin adım adım kılavuzumuza bakın.

Etkinleştirdikten sonra Sucuri Güvenlik » Güvenlik Duvarı (WAF) sayfasına gidin ve Güvenlik Duvarı API anahtarınızı girin. Bu bilgiyi Sucuri web sitesinde hesabınızın altında bulabilirsiniz.

Değişikliklerinizi saklamak için Kaydet düğmesine tıklayın.

Ardından, Sucuri hesap kontrol panelinize geçmeniz gerekir. Buradan, üstteki Ayarlar menüsüne tıklayın ve ardından Güvenlik sekmesine geçin.

Buradan üç kural grubu seçebilirsiniz. Varsayılan koruma, HSTS ve HSTS Full. Her bir kural kümesi için hangi HTTP güvenlik üstbilgilerinin uygulanacağını göreceksiniz.

Değişikliklerinizi uygulamak için 'Ek Başlıklardaki Değişiklikleri Kaydet' düğmesini tıklayın.

Hepsi bu kadar, Sucuri şimdi seçtiğiniz HTTP güvenlik başlıklarını WordPress'e ekleyecek. DNS düzeyinde bir WAF olduğundan, web sitenizin trafiği, web sitenize ulaşmadan önce bilgisayar korsanlarından korunur.

2. Cloudflare kullanarak WordPress'e HTTP Güvenlik Başlıkları Ekleme

Cloudflare, temel bir ücretsiz web sitesi güvenlik duvarı ve CDN hizmeti sunar. Ücretsiz planlarında gelişmiş güvenlik özelliklerinden yoksundur, bu nedenle daha pahalı olan Pro planlarına yükseltmeniz gerekecektir.

Cloudflare'ı sitenize eklemek için, WordPress'te Cloudflare ücretsiz CDN'nin nasıl ekleneceğine ilişkin eğiticimize bakın.

Cloudflare web sitenizde aktif olduğunda, Cloudflare hesap kontrol panelinizin altındaki SSL/TLS sayfasına gidin ve ardından Edge Certificates sekmesine geçin.

Şimdi, HTTP Strict Transport Security (HSTS) bölümüne gidin ve 'HSTS'yi Etkinleştir' düğmesini tıklayın.

Bu, bu özelliği kullanmadan önce WordPress blogunuzda HTTPS'nin etkinleştirilmesi gerektiğini söyleyen talimatların bulunduğu bir açılır pencere açacaktır. Devam etmek için İleri düğmesine tıklayın, HTTP güvenlik başlıkları ekleme seçeneklerini göreceksiniz.

Buradan, HSTS'yi, koklamayan üstbilgiyi etkinleştirebilir, alt alanlara HSTS uygulayabilir (HTTPS kullanıyorlarsa) ve HSTS'yi önceden yükleyebilirsiniz.

Bu yöntem, HTTP güvenlik başlıklarını kullanarak temel koruma sağlar. Ancak, X-Frame-Options eklemenize izin vermez ve Cloudflare'ın bunu yapacak bir kullanıcı arayüzü yoktur.

İşçiler özelliğini kullanarak bir komut dosyası oluşturarak bunu yine de yapabilirsiniz. Ancak, bir HTTPS güvenlik başlığı komut dosyası oluşturmak, yeni başlayanlar için beklenmedik sorunlara neden olabilir, bu yüzden bunu önermeyiz.

3. .htaccess kullanarak WordPress'e HTTP Güvenlik Başlıkları Ekleme

Bu yöntem, WordPress'teki HTTP güvenlik başlıklarını sunucu düzeyinde ayarlamanıza olanak tanır.

Web sitenizdeki .htaccess dosyasını düzenlemenizi gerektirir. En yaygın kullanılan Apache web sunucusu yazılımı tarafından kullanılan bir sunucu yapılandırma dosyasıdır.

Bir FTP istemcisi veya barındırma kontrol panelinizdeki dosya yöneticisi uygulamasını kullanarak web sitenize bağlanmanız yeterlidir. Web sitenizin kök klasöründe .htaccess dosyasını bulmanız ve düzenlemeniz gerekir.

Bu, dosyayı düz metin düzenleyicide açacaktır. Dosyanın altına, WordPress web sitenize HTTPS güvenlik başlıkları eklemek için kodu ekleyebilirsiniz.

Başlangıç ​​noktası olarak aşağıdaki örnek kodu kullanabilirsiniz, en sık kullanılan HTTP güvenlik başlıklarını optimum ayarlarla ayarlar:

<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
</ifModule>

Her şeyin beklendiği gibi çalıştığından emin olmak için değişikliklerinizi kaydetmeyi ve web sitenizi ziyaret etmeyi unutmayın.

Not: .htaccess dosyasındaki yanlış başlıklar veya çakışmalar çoğu web barındırıcısında 500 Dahili sunucu hatasını tetikleyebilir.

4. Eklentiyi Kullanarak WordPress'e HTTP Güvenlik Başlıkları Ekleme

Bu yöntem, başlıkları değiştirmek için bir WordPress eklentisine dayandığından biraz daha az etkilidir. Bununla birlikte, WordPress web sitenize HTTP güvenlik başlıkları eklemenin en kolay yoludur.

İlk olarak, Yönlendirme eklentisini kurmanız ve etkinleştirmeniz gerekir. Daha fazla ayrıntı için, bir WordPress eklentisinin nasıl kurulacağına ilişkin adım adım kılavuzumuza bakın.

Aktivasyon üzerine eklenti, eklentiyi kurmak için takip edebileceğiniz bir kurulum sihirbazı gösterecektir. Bundan sonra Araçlar » Yönlendirme sayfasına gidin ve 'Site' sekmesine geçin.

Ardından, sayfanın en altına, HTTP Başlıkları bölümüne gitmeniz ve 'Başlık Ekle' düğmesini tıklamanız gerekir. Açılır menüden 'Güvenlik Ön Ayarları Ekle' seçeneğini seçmeniz gerekir.

Bundan sonra, bu seçenekleri eklemek için tekrar tıklamanız gerekecektir. Şimdi, tabloda görünen önceden ayarlanmış bir HTTP güvenlik başlıkları listesi göreceksiniz.

Bu başlıklar güvenlik için optimize edilmiştir, bunları gözden geçirebilir ve gerekirse değiştirebilirsiniz. İşiniz bittiğinde, değişikliklerinizi kaydetmek için Güncelle düğmesine tıklamayı unutmayın.

Artık her şeyin yolunda gittiğinden emin olmak için web sitenizi ziyaret edebilirsiniz.

Bir Web Sitesi için HTTP Güvenlik Başlıkları Nasıl Kontrol Edilir?

Artık web sitenize HTTP Güvenlik başlıkları eklediniz. Ücretsiz Güvenlik Başlıkları aracını kullanarak yapılandırmanızı test edebilirsiniz. Web sitenizin URL'sini girin ve Tara düğmesine tıklayın.

Ardından web siteniz için HTTP güvenlik başlıklarını kontrol edecek ve size bir rapor gösterecektir. Araç, çoğu web sitesi kullanıcı deneyimini etkilemeden en iyi ihtimalle B veya C puanı alacağı için göz ardı edebileceğiniz bir not etiketi oluşturur.

Web siteniz tarafından hangi HTTP güvenlik başlıklarının gönderildiğini ve hangi güvenlik başlıklarının dahil edilmediğini size gösterecektir. Ayarlamak istediğiniz güvenlik başlıkları burada listeleniyorsa, işiniz tamamlanmış demektir.

Hepsi bu kadar, umarız bu makale WordPress'e HTTP güvenlik başlıklarını nasıl ekleyeceğinizi öğrenmenize yardımcı olmuştur. Ayrıca, eksiksiz WordPress güvenlik kılavuzumuzu ve iş web siteleri için en iyi WordPress eklentileri konusunda uzman seçimimizi görmek isteyebilirsiniz.

Bu makaleyi beğendiyseniz, lütfen WordPress video eğitimleri için YouTube Kanalımıza abone olun. Bizi Twitter ve Facebook'ta da bulabilirsiniz.