WordPress web sitenizi çevrimiçi tehditlerden korumak çok önemlidir. WPBeginner'da güvenliği iyileştirme yollarımızdan biri HTTP güvenlik başlıkları kullanmaktır. Bunlar, yaygın saldırılara ve güvenlik açıklarına karşı bir kalkan görevi görerek ek bir güvenlik katmanı sağlar.
Bu başlıklar arka planda çalışarak web tarayıcılarına ve sunucularına web sitenizin verilerini nasıl işleyecekleri konusunda talimat verir ve genel güvenliğini artırır. Bu başlıkları eklemek, web sitenizin savunmasını güçlendirmenin ve kötü amaçlı faaliyetlere karşı korumanın basit ama etkili bir yoludur.
Bu başlangıç kılavuzu, WordPress'te HTTP güvenlik başlıklarının nasıl ekleneceğini gösterecektir. Eklentileri kullanmak ve yapılandırma dosyalarını manuel olarak düzenlemek dahil olmak üzere çeşitli yöntemleri ele alacağız.
HTTP Güvenlik Başlıkları Nelerdir?
HTTP güvenlik başlıkları, web sitenizin sunucusunun bazı yaygın güvenlik tehditlerini web sitenizi etkilemeden önce önlemesine olanak tanıyan bir güvenlik önlemidir.
Bir kullanıcı WordPress web sitenizi ziyaret ettiğinde, web sunucunuz tarayıcısına bir HTTP başlık yanıtı gönderir. Bu yanıt, tarayıcılara hata kodları, önbellek kontrolü ve diğer durumlar hakkında bilgi verir.
Normal başlık yanıtı HTTP 200 adlı bir durum yayınlar. Bundan sonra web siteniz kullanıcının tarayıcısında yüklenir. Ancak, web sitenizde sorun varsa, web sunucunuz farklı bir HTTP başlığı gönderebilir.
Örneğin, 500 dahili sunucu hatası veya bulunamadı 404 hatası kodu gönderebilir.
HTTP güvenlik başlıkları bu başlıkların bir alt kümesidir. Tıklama korsanlığı, siteler arası betik çalıştırma, kaba kuvvet saldırıları ve daha fazlası gibi yaygın tehditlerden web sitelerini korumak için kullanılırlar.
Bazı HTTP güvenlik başlıklarına ve WordPress sitenizi nasıl koruduklarına hızlıca bir göz atalım:
- HTTP Strict Transport Security (HSTS), web tarayıcılarına web sitenizin HTTPS kullandığını ve HTTP gibi güvensiz bir protokol kullanılarak yüklenmemesi gerektiğini söyler.
- X-XSS Koruması, siteler arası betik çalıştırmanın yüklenmesini engellemenizi sağlar.
- X-Frame-Options, alanlar arası iframeleri veya tıklama korsanlığını önler.
- X-Content-Type-Options X-Content-Type-Options, içerik mime türü koklamasını engeller.
HTTP güvenlik başlıkları, web sunucusu düzeyinde, yani WordPress barındırma hesabınızda ayarlandığında en iyi şekilde çalışır. Bu, tipik bir HTTP isteği sırasında erken tetiklenmelerini ve maksimum fayda sağlamalarını sağlar.
DNS düzeyinde web sitesi uygulama güvenlik duvarı kullanıyorsanız, örneğin Sucuri veya Cloudflare gibi, bunlar daha da iyi çalışır.
Bununla birlikte, WordPress'e HTTP güvenlik başlıklarını kolayca nasıl ekleyeceğimize bakalım. Size uygun olana atlayabilmeniz için farklı yöntemlere hızlı bağlantılar aşağıdadır:
- WordPress'e Sucuri Kullanarak HTTP Güvenlik Başlıkları Ekleme
- Cloudflare Kullanarak WordPress'te HTTP Güvenlik Başlıkları Ekleme
- WordPress'te .htaccess Kullanarak HTTP Güvenlik Başlıkları Ekleme
- WordPress'te AIOSEO Kullanarak HTTP Güvenlik Başlıkları Ekleme
- Bir Web Sitesi İçin HTTP Güvenlik Başlıkları Nasıl Kontrol Edilir
- WordPress Güvenliği Hakkında Uzman Rehberleri
1. Sucuri Kullanarak WordPress'te HTTP Güvenlik Başlıkları Ekleme
Sucuri piyasadaki en iyi WordPress güvenlik eklentilerinden biridir. Web sitesi güvenlik duvarı hizmetlerini kullanıyorsanız, kod yazmadan HTTP güvenlik başlıkları ayarlayabilirsiniz.
İlk olarak, bir Sucuri hesabı için kaydolmanız gerekecektir. Sunucu düzeyinde web sitesi güvenlik duvarı, güvenlik eklentisi, CDN ve kötü amaçlı yazılım kaldırma garantisi ile gelen ücretli bir hizmettir.
Kayıt sırasında basit soruları yanıtlamanız gerekecek ve Sucuri belgeleri, web sitesi uygulama güvenlik duvarını sitenize kurmanıza yardımcı olacaktır.
Kaydolduktan sonra, ücretsiz Sucuri eklentisini yüklemeli ve etkinleştirmelisiniz. Daha fazla ayrıntı için, bir WordPress eklentisinin nasıl kurulacağına dair adım adım kılavuzumuza bakın.
Etkinleştirdikten sonra, Sucuri Security » Firewall (WAF) bölümüne gitmeniz ve Güvenlik Duvarı API anahtarınızı girmeniz gerekir. Bu bilgiyi Sucuri web sitesindeki hesabınızın altında bulabilirsiniz.
Ardından, değişikliklerinizi kaydetmek için yeşil 'Kaydet' düğmesine tıklamanız gerekecektir.
Ardından, Sucuri hesap kontrol panelinize geçmeniz gerekir. Buradan, üstteki 'Ayarlar' menüsüne ve ardından 'Güvenlik' sekmesine tıklayın.
Buradan üç kural seti seçebilirsiniz. Varsayılan koruma çoğu web sitesi için iyi çalışacaktır.
Profesyonel veya İş planınız varsa, HSTS ve HSTS Tam seçenekleriniz de vardır. Her kural kümesi için hangi HTTP güvenlik başlıklarının uygulanacağını görebilirsiniz.
Değişikliklerinizi uygulamak için 'Ek Başlıklarda Değişiklikleri Kaydet' düğmesine tıklamanız gerekir.
Sucuri şimdi seçtiğiniz HTTP güvenlik başlıklarını WordPress'e ekleyecektir. DNS düzeyinde bir WAF olduğu için, web sitesi trafiğiniz bilgisayar korsanlarından web sitenize ulaşmadan önce korunur.
2. Cloudflare Kullanarak WordPress'te HTTP Güvenlik Başlıkları Ekleme
Cloudflare temel bir ücretsiz web sitesi güvenlik duvarı ve CDN hizmeti sunar. Ücretsiz planında gelişmiş güvenlik özelliklerinden yoksundur, bu nedenle daha pahalı olan Pro planına yükseltmeniz gerekecektir.
Cloudflare'ı web sitenize nasıl ekleyeceğinizi, WordPress'te Cloudflare ücretsiz CDN'sinin nasıl kurulacağına dair eğitimimizi izleyerek öğrenebilirsiniz.
Cloudflare web sitenizde aktif olduktan sonra, Cloudflare hesap kontrol panelinizdeki SSL/TLS sayfasına gitmeniz ve ardından 'Edge Certificates' sekmesine geçmeniz gerekir.
Şimdi, 'HTTP Strict Transport Security (HSTS)' bölümüne aşağı kaydırın.
Bulduğunuzda, 'HSTS'yi Etkinleştir' düğmesine tıklamanız gerekir.
Bu, bu özelliği kullanmadan önce web sitenizde HTTPS'nin etkinleştirilmiş olması gerektiğini belirten talimatlarla bir açılır pencere getirecektir.
Eğer WordPress blogunuzda zaten güvenli bir HTTPS bağlantısı varsa, devam etmek için 'İleri' düğmesine tıklayabilirsiniz. HTTP güvenlik başlıkları ekleme seçeneklerini göreceksiniz.
Buradan HSTS'yi etkinleştirebilir, HSTS'yi alt alanlara uygulayabilir (alt alanlar HTTPS kullanıyorsa), HSTS'yi önceden yükleyebilir ve no-sniff başlığını etkinleştirebilirsiniz.
Bu yöntem, HTTP güvenlik başlıklarını kullanarak temel koruma sağlar. Ancak, X-Frame-Options eklemenize izin vermez ve Cloudflare'da bunu yapmak için bir kullanıcı arayüzü bulunmamaktadır.
Cloudflare Workers özelliğini kullanarak bir betik oluşturarak bunu hala yapabilirsiniz. Ancak, bunu önermiyoruz çünkü bir HTTPS güvenlik başlığı betiği oluşturmak yeni başlayanlar için beklenmedik sorunlara neden olabilir.
3. WordPress'te .htaccess Kullanarak HTTP Güvenlik Başlıkları Ekleme
Bu yöntem, WordPress'te HTTP güvenlik başlıklarını sunucu düzeyinde ayarlamanıza olanak tanır.
Web sitenizdeki .htaccess dosyasını düzenlemeniz gerekir. Bu sunucu yapılandırma dosyası, en yaygın kullanılan Apache web sunucusu yazılımı tarafından kullanılır.
Not: Web sitenizdeki dosyalarda herhangi bir değişiklik yapmadan önce, yedekleme yapmanızı öneririz.
Ardından, web sitenize bir FTP istemcisi kullanarak veya web barındırma kontrol panelinizdeki dosya yöneticisi ile bağlanın. Web sitenizin kök klasöründe .htaccess dosyasını bulun ve düzenleyin.
Bu, dosyayı düz metin düzenleyicide açacaktır. Dosyanın en altına, WordPress web sitenize HTTPS güvenlik başlıkları eklemek için bazı kodlar ekleyebilirsiniz.
En yaygın kullanılan HTTP güvenlik başlıklarını en uygun ayarlarla ayarlayan aşağıdaki örnek kodu başlangıç noktası olarak kullanabilirsiniz:
<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
</ifModule>
Değişikliklerinizi kaydetmeyi ve her şeyin beklendiği gibi çalıştığından emin olmak için web sitenizi ziyaret etmeyi unutmayın.
Not: Web sitenizdeki kodu düzenlerken dikkatli olun. .htaccess dosyasındaki yanlış başlıklar veya çakışmalar 500 Dahili Sunucu Hatasına neden olabilir.
6. AIOSEO Kullanarak WordPress'te HTTP Güvenlik Başlıkları Ekleme
All in One SEO (AIOSEO) WordPress için en iyi SEO aracıdır ve 3 milyondan fazla işletme tarafından güvenilmektedir. Premium eklenti, web sitenize kolayca HTTP güvenlik başlıkları eklemenizi sağlar.
Yapmanız gereken ilk şey, web sitenize AIOSEO eklentisini yüklemek ve etkinleştirmektir. WordPress için All in One SEO'yu nasıl kuracağınızla ilgili adım adım kılavuzumuzda daha fazla bilgi edinebilirsiniz: WordPress için All in One SEO'yu nasıl kuracağınız.
Ardından, HTTP güvenlik başlıklarını eklemek için Hepsi Bir Arada SEO » Yönlendirmeler sayfasına gitmeniz gerekir. İlk olarak, özelliği etkinleştirmek için 'Yönlendirmeleri Etkinleştir' düğmesine tıklamanız gerekecektir.
Yönlendirmeler etkinleştirildikten sonra, ‘Tam Site Yönlendirme’ sekmesine tıklamanız ve ardından ‘Kanonik Ayarlar’ bölümüne kaydırmanız gerekir.
'Canonical Ayarlar' geçişini etkinleştirin ve ardından 'Güvenlik Ön Ayarları Ekle' düğmesine tıklayın.
Tabloda bir dizi önceden ayarlanmış HTTP güvenlik başlığı göreceksiniz.
Bu başlıklar web sitesi güvenliği için optimize edilmiştir. Gerekirse inceleyebilir ve değiştirebilirsiniz.
Güvenlik başlıklarını saklamak için ekranın üst veya alt kısmındaki 'Değişiklikleri Kaydet' düğmesine tıkladığınızdan emin olun.
Artık her şeyin yolunda gittiğinden emin olmak için web sitenizi ziyaret edebilirsiniz.
Bir Web Sitesi İçin HTTP Güvenlik Başlıkları Nasıl Kontrol Edilir
Artık web sitenize HTTP Güvenlik başlıkları eklediğinize göre, yapılandırmanızı ücretsiz Güvenlik Başlıkları aracını kullanarak test edebilirsiniz.
Sadece web sitenizin URL'sini girin ve 'Tara' düğmesine tıklayın.
Ardından web siteniz için HTTP güvenlik başlıklarını kontrol edecek ve size bir rapor gösterecektir. Araç ayrıca görmezden gelebileceğiniz sözde bir not etiketi de oluşturacaktır, çünkü çoğu web sitesi kullanıcı deneyimini etkilemeden B veya C puanı alacaktır.
Web siteniz tarafından hangi HTTP güvenlik başlıklarının gönderildiğini ve hangilerinin dahil edilmediğini gösterir. İstediğiniz güvenlik başlıkları orada listeleniyorsa, işiniz bitmiş demektir.
WordPress Güvenliği Hakkında Uzman Rehberleri
Umarım bu makale, WordPress'e HTTP güvenlik başlıkları eklemeyi öğrenmenize yardımcı olmuştur. Ayrıca WordPress web sitenizin güvenliğini artırmayla ilgili diğer bazı kılavuzlara da göz atmak isteyebilirsiniz:
- Nihai WordPress Güvenlik Kılavuzu (Adım Adım)
- WordPress Güvenlik Denetimi Nasıl Yapılır (Kapsamlı Kontrol Listesi)
- WordPress Siteniz İçin Ücretsiz SSL Sertifikası Nasıl Alınır (Yeni Başlayanlar İçin Kılavuz)
- WordPress Sitelerinin Hacklenmesinin Başlıca Nedenleri (& Nasıl Önlenir)
- Güvenliği Artırmak İçin WordPress Veritabanı Önekini Değiştirme
- Sitenizi Korumak İçin En İyi WordPress Güvenlik Eklentileri (Karşılaştırıldı)
- Kötü Amaçlı Yazılımları ve Hack'leri Tespit Etmek İçin En İyi WordPress Güvenlik Tarayıcıları
- WordPress Sitenizi Potansiyel Olarak Kötü Amaçlı Kodlara Karşı Nasıl Tararsınız
Bu makaleyi beğendiyseniz, lütfen WordPress video eğitimleri için YouTube Kanalımıza abone olun. Bizi ayrıca Twitter ve Facebook'ta da bulabilirsiniz.
Jiří Vaněk
Blogumu başlattığımdan beri CloudFlare kullanıyorum, öncelikle CDN ve DDoS korumaları için. Hem sunucumda hem de CloudFlare'da SSL kurulumunu sertifikalarla zaten yapmıştım. Ancak, bilmediğim ve web sitemin işlevselliğini bozma korkusuyla etkinleştirmediğim bazı güvenlik ayarları vardı. Bu da onlardan biriydi. Bu makale sayesinde özelliği etkinleştirdim ve şimdi amacını çok daha iyi anlıyorum. Ve tabii ki, web sitesi bozulmadı; harika çalışmaya devam ediyor. Güvenlik için bu ekstra adımı attığım için mutluyum. Bu makale için teşekkürler!
Holly Gough
Bu bilgi için minnettarım. Açık, özlü, takip etmesi kolay talimatlar. Başlık sorunlarını düzeltmek için bir saatten fazla harcadım. Teşekkürler!
WPBeginner Desteği
Rehberimizin size yardımcı olmasına sevindik!
Yönetici
Valerie
Teşekkürler. Her zamanki gibi sağlam bilgiler. Yardımınız için teşekkürler, mükemmel çalıştı.
WPBeginner Desteği
Rica ederim, rehberimizin yardımcı olmasına sevindik!
Yönetici
Katrin
Kodu .htacces'in neresine koymalıyım? Yukarıya, # BEGIN WordPress ile # END WordPress arasına mı yoksa arkasına mı?
WPBeginner Desteği
You would want to put code between the begin and end WordPress
Yönetici
Michelangelo
Bu makale için çok teşekkürler! Çok yardımcı oldu.
I wish you the best and that your sleeves never slip during dishwashing
WPBeginner Desteği
Makalemizin yardımcı olmasına sevindik!
Yönetici
Karma Tsheten
Benim için işe yaradı ama tasarımımı da bozdu. Güvenlik başlığı eklediğimde tasarım bozuluyor, herhangi bir yardım var mı?
WPBeginner Desteği
Bu, temanızın bir nedenle çakışma yaşıyor olabileceği anlamına geliyor. Sorunun kökenini görüp göremeyeceklerini görmek için temanızın desteğiyle iletişime geçmenizi öneririz.
Yönetici
Nigel Mcilwaine
Merhaba,
Ne yazık ki önbelleğimi temizlememe rağmen benim için işe yaramadı. Site Apache sunucusunda, paylaşımlı hosting başarımı etkileyecek mi?
Selamlar
WPBeginner Desteği
Güvenlik başlığınızla ilgili bir soruna neden olabilecek bir önbellekleme veya kendi taraflarında bir kural olmadığından emin olmak için barındırma sağlayıcınızla görüşmek isteyebilirsiniz.
Yönetici
Neil Cheesman
Merhaba
Kodu .htaccess dosyasına ekledim ancak hiçbir fark yaratmadı… web sitesi HTTP'den HTTPS'ye sorunsuz yönlendiriyor ancak test ederken hala “Yanıt üstbilgilerinde HSTS üstbilgisi bulunamadı
” mesajını alıyorum.
WPBeginner Desteği
Kodunuzu .htaccess'inize ekledikten sonra bu özel hata için en yaygın neden olduğu için sitenizdeki önbelleği temizlemeyi unutmayın.
Yönetici
ed thomas
çalışmadı. hala şunlar var:
Web siteniz önerilen tüm güvenlik üstbilgilerini göndermiyor.
X-Content Type Options
X-Frame-Options
Permissions-Policy
WPBeginner Desteği
Önbelleğinizi kontrol etmek isteyebilirsiniz, çünkü güncellenmemesinin en yaygın nedeni budur. Sitenizin önbelleğini temizlerseniz, başlıklarınızın bulunmasına izin vermelidir.
Yönetici
Mark Downing
Çok yardımcı makale için teşekkürler. Kod parçacığınızı .htaccess'e yapıştırdıktan sonra sitemiz hiçbir aksaklık olmadan "F" den "B" ye yükseldi.
WPBeginner Desteği
Glad our recommendation was helpful
Yönetici