Web sitenize SSL sertifikası kurdunuz ve adres çubuğunda o yeşil kilit simgesini gördünüz. Artık tamamen güvende olduğunuzu mu düşünüyorsunuz? Ne yazık ki hayır. SSL, sadece verinin şifrelenmesini sağlar; ancak tarayıcının o veriyi nasıl işleyeceğine karışmaz. İşte bu noktada devreye HTTP Güvenlik Başlıkları (Security Headers) girer.
Bu makalede, sitenizin güvenlik duvarını bir üst seviyeye taşıyan; XSS, Clickjacking ve MIME sniffing gibi sofistike saldırıları engelleyen güvenlik kodlarını inceleyeceğiz. WordPress site güvenliği rehberimizin bu ileri seviye bölümünde, sitenize “A+ Güvenlik Skoru” kazandıracak ayarları yapacağız.
HTTP Güvenlik Başlıkları Nedir?
Sitenize bir ziyaretçi girdiğinde, sunucunuz tarayıcıya (Chrome, Safari vb.) bir yanıt gönderir. Bu yanıtın “Başlık” (Header) kısmında tarayıcıya şu emri verebilirsiniz: “Bu siteyi asla iframe içinde açma” veya “Sadece https üzerinden yükle”. Bu emirler bütününe güvenlik başlıkları denir.
Sadece SSL sertifikası kullanmak kapıyı kilitlemekse, güvenlik başlıkları kullanmak pencerelere demir parmaklık takmak ve alarm sistemi kurmaktır.
En Kritik 4 Güvenlik Başlığı
Sitenizi modern tehditlerden korumak için aşağıdaki başlıkları mutlaka kullanmalısınız:
1. HSTS (HTTP Strict Transport Security)
Tarayıcıyı, sitenizi her zaman HTTPS üzerinden yüklemeye zorlar. Kullanıcı yanlışlıkla “http://siteniz.com” yazsa bile, sunucu bunu tarayıcı seviyesinde reddeder ve şifreli bağlantıya zorlar. Hatta subdomain (alt alan adları) güvenliği için de “includeSubDomains” parametresi ile tüm alt sitelerinizi korumaya alabilirsiniz.
2. X-Frame-Options (Clickjacking Koruması)
Hackerlar, sitenizi şeffaf bir çerçeve (iframe) içine alıp, kullanıcıları kendi istedikleri butonlara tıklatmaya çalışabilir (Clickjacking). Bu başlık, sitenizin başka sitelerde “iframe” içinde açılmasını tamamen engeller.
3. X-XSS-Protection
Çapraz Site Komut Dosyası (XSS) saldırılarına karşı tarayıcının dahili filtresini etkinleştirir. Sayfaya enjekte edilmeye çalışılan zararlı scriptleri durdurur.
4. X-Content-Type-Options
Tarayıcının, dosyaları uzantısına göre değil, içeriğine göre tahmin etmesini (MIME Sniffing) engeller. Örneğin, bir hacker .jpg uzantılı bir dosya içine zararlı .exe kodu gizlediyse, bu başlık o dosyanın çalışmasını engeller.
HTTP Güvenlik Başlıkları Nasıl Eklenir?
Bu başlıkları eklemek için hosting panelinizdeki `.htaccess` dosyasını düzenlemeniz yeterlidir. Aşağıdaki kod bloğunu kopyalayıp `.htaccess` dosyanızın en üstüne ekleyin:
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" Header set X-Frame-Options "SAMEORIGIN" Header set X-XSS-Protection "1; mode=block" Header set X-Content-Type-Options "nosniff" Header set Referrer-Policy "no-referrer-when-downgrade"
Not: Bu kodlar Apache ve LiteSpeed sunucularda çalışır. Nginx kullanıyorsanız konfigürasyon dosyasından ekleme yapmalısınız.
Güvenlik Skorunuzu Test Edin
İşlemleri yaptıktan sonra, “securityheaders.com” adresine gidip site adresinizi yazın. Eğer her şeyi doğru yaptıysanız, “F” olan notunuzun “A” veya “A+” seviyesine yükseldiğini göreceksiniz. Bu, hem ziyaretçileriniz hem de arama motorları için sitenizin güvenilir olduğunun en büyük kanıtıdır.
Sonuç
HTTP Güvenlik Başlıkları, uygulaması sadece 2 dakika süren ama etkisi çok büyük olan bir güvenlik katmanıdır. Sitenizi korumak için sadece eklentilere güvenmeyin, sunucu seviyesinde önlemler alın.
Güvenlik konusunda endişeleriniz varsa ve tüm bu ayarların varsayılan olarak yapılı geldiği bir altyapı arıyorsanız, Güvenli Web Hosting çözümlerimizle sitenizi HostedFly kalesine taşıyabilirsiniz.
