WordPress’e HTTP Güvenlik Başlıkları Nasıl Eklenir (5 Tür)

WordPress, dünyanın en popüler içerik yönetim sistemlerinden (CMS) biridir.Bununla birlikte, bir yıl içinde kaydedilen güvenlik açığından yararlanmak için 4.3 milyar çabalarla, bilgisayar korsanları arasında favori bir hedeftir.Bir site sahibi olarak, bu numaranın çok endişe verici olduğunu düşünebilirsiniz.Neyse ki, sitenizi saldırılara çok savunmasız hale getirmenin bir yolu var.HTTP Güvenlik Üstbilgisi’nde uzman olarak, sitenizin bilinen bir güvenlik açığı olsa bile sunucuların ve tarayıcıların yapabileceği eylemleri sınırlandırabilirsiniz.Bu yazıda, HTTP başlığının ne olduğunu ve neden herhangi bir web sitesi sahibinin deposunda önemli bir araç olduğunu tartışacağız.Daha sonra, popüler bir yeniden yönlendirme eklentisini kullanarak sitenize nasıl beş güvenlik başlığı ekleyeceğinizi göstereceğiz.Başlayalım!
Birisi sitenizi her ziyaret ettiğinde, HTTP Güvenlik Üstbilgisi’ne giriş (ve web sitenize nasıl fayda sağlayabilecekleri), sunucunuz HTTP yanıt üstbilgisini tarayıcılarına gönderecektir. Bu başlık, tarayıcıya, hataların görüntüleneceği ve önbelleğin nasıl yönetileceği de dahil olmak üzere web sitenizle etkileşimi sırasında nasıl hareket edeceğini söyler. Bu yazıda, HTTP’nin güvenlik üstbilgisine odaklanacağız. Bu, HTTP iletişiminin güvenliği ile ilgili detayları belirler ve sitenizi siteler arası komut dosyası (XSS), ClickJacking ve kaba kuvvet saldırıları gibi çeşitli tehditlerden güçlendirebilir. Doğru kullanıldığında, bu başlık tarayıcı ve sunucu tarafından yapılabilecek davranışı sınırlayabilir. Bu, bilgisayar korsanlarının WordPress temanız ve eklentinizdeki bilinen güvenlik açığından yararlanmasını önlemek için çok yararlı olabilir. Savunmasız olan tema ve eklentinin toplam 70 milyon aktif yükleme olduğu göz önüne alındığında, sitenizde bir HTTP güvenlik başlığı kullanmak akıllı bir seçimdir. Sitenize güvenlik başlıkları eklemenin birkaç yolu vardır. Filezilla gibi istemciler kullanarak .htaccess dosyasını düzenleyebilir veya Sucuri veya Cloudflare gibi güvenliğe odaklanan araçları kullanabilirsiniz. Ancak, bu yazıda bu üstbilgiyi aktarma eklentisini hızlı ve kolay bir şekilde nasıl kullanacağınızı göstereceğiz. Yeniden yönlendirme aktarma eklentisi nasıl ayarlanır temel olarak bir yönlendirme yöneticisidir, ancak web sitenize ekleyebileceğiniz çeşitli HTTP önceden ayarlanmış güvenlik başlıkları ile donatılmıştır. Eklentiyi yükledikten ve etkinleştirdikten sonra Araçlar> Yeniden Yönlendirme’ye gidin ve Kurulum Başlat:
Bir sonraki sayfada, kalıcı bağlantıyı bir gönderi veya sayfadan değiştirirseniz aktarımın otomatik olarak aktarımı yapıp yapmaması gerekip gerekmediğini belirleyebilirsiniz. Bu ayar hatalardan kaçınmanıza yardımcı olabilir. Ancak, bu seçenek veritabanı depolama gereksinimlerinizi artıracaktır: Bu ayarı yapılandırdıktan sonra Kurulum’a devam edin. Aktarım, WordPress ile temsili durum transfer (REST) ​​uygulama programlama arayüzü (API) aracılığıyla iletişim kurar, böylece bu API’nın mevcut olduğundan emin olmak için kontrol edilir. API dinlenmesine erişilebileceği varsayılarak, Bitir Kurulumu’na tıklayın.

Şimdi eklenti etkin ve çalışıyor, Araçları Aç> Yeniden Yönlendirme ve Site sekmesini seçin:

Ardından, HTTP başlıklarına gidin ve açılır başlığı tıklayın. Güvenlik Öncesi Set ekle’yi seçin:
Şimdi, Güvenlik Ön Tarifi Ekle düğmesini tekrar tıklayın. Bu, HTTP önceden ayarlanmış güvenlik üstbilgisinden bir yeniden yönlendirme listesi içe aktaracaktır:

Bu noktada, yönlendirme eklentisi sayesinde bazı HTTP güvenlik başlıkları sitenizde çalışıyor. Bu yazıda dokunmayacağımıza rağmen, özel bir başlık yapmak için aktarımı da kullanabilirsiniz. WordPress’e (5 Tür) HTTP Güvenlik Başlıkları Nasıl Eklenir (5 Tür) Şimdiye kadar sitenize yeniden yönlendirme güvenlik başlıkları eklemek için ana adımları tartıştık. Ancak, en iyi sonuçları elde etmek için varsayılan davranışlarını değiştirmek isteyebilirsiniz. Bu güvenlik başlıklarının bazılarını daha ayrıntılı olarak keşfedelim ve bunu ihtiyaçlarınız için nasıl daha uygun olacak şekilde ayarlayabileceğinizi görelim.

1. X-Frame-Options X-Frame-Options (XFO), tarayıcıya site içeriğinizi işlerken nasıl davranılacağını öğreterek tıklama koruması sağlar. Clickjacking, saldırgan, ziyaretçileri düğmeler gibi gizli öğelerle etkileşim kurmak için şeffaf bir IFrame kullandığında meydana gelir. Varsayılan olarak, XFO, içeriğin nereden geldiğine bakılmaksızın sayfaların çerçevede bükülmesine izin vermez. Bu, ziyaretçilerinizi XFO tabanlı saldırılardan koruyabilir. Ancak, bu varsayılan ayar kullanım sorununa neden oluyorsa, aynı orijinal seçeneğe geçebilirsiniz. Bu takım, sayfanın kendi içeriğinizle karşılaştığınız sorunları çözecek olan sayfanın kendisiyle aynı orijin üzerindeki çerçeveye yüklenmesini sağlar: veya URI komutundan izin verebilirsiniz. Bu ayar, sayfanın belirtilen başlangıç ​​noktası veya etki alanındaki çerçeveye yüklenmesini sağlar. Bu seçeneği seçtikten sonra, beyaz listeye koymak istediğiniz Tekdüzen Kaynak Tanımlayıcısına (URI) girebileceğiniz alana erişebilirsiniz.

2. Koruma X-XSS Başlığı X-XSS koruma Siteler arası komut dosyası (XSS) saldırıları tespit edildiğinde yüklenen sayfaları önler. Hacker, XSS saldırısını başarıyla başlatırsa, sunucunuzda veya ziyaretçinin tarayıcısında tehlikeli kodu yürütme potansiyeline sahiptir. Bu, ziyaretçinin kişisel bilgilerini çalmak veya bunları tamamen farklı bir web sitesine yönlendirmek de dahil olmak üzere çeşitli önlemler alabilen kodları içerir.
Varsayılan olarak, bu başlık 1 olarak ayarlanır; Modu = blok. Bu, XSS saldırısı algılanırsa, tarayıcının sayfayı temizleyeceği ve oluşturmasını önleyeceği anlamına gelir. Alternatif seçenekler, sayfayı temizleyecek, ancak sayfanın oluşturulmasını engellemeyen 1’i içerir: Yeniden Yönlendirme eklentisi de 1’i destekler; Report = Direktif. Bu özellikler sayfaları temizler, ancak Report-UU yönergesini kullanarak ihlalleri de bildirir. 3. Type-X başlık yanıt seçenekleri türü, içerik türü başlığında reklamı yapılan çok yönlü İnternet uzantısı (MIME) türünün değiştirilmemesi gerektiğini gösterir. Bu, koklayan içeriğe karşı önemli bir savunma hattı olabilir.

Bu saldırının bir parçası olarak, üçüncü taraflar yürütülemeyen MIME türünü yürütülebilecek bir türe değiştirecek. Daha sonra, başka bir şey olarak gizleyerek web sitenize tehlikeli içerik yüklemeye çalışabilirler. Varsayılan olarak, X-Content-Type-Operation yeniden yönlendirme başlığı Nosniff Direktifini kullanır. Amaç kuvvet türü ise ve mim türü metin/css değilse, tüm istekleri engeller. Ayrıca, amacın komut dosyası türü ve mim türü bir JavaScript mim türü değilse talebi engeller. Bu ayarla, tarayıcının orijinal sunucu tarafından gönderilen mime türünü kullanması gerekir.

Nosniff yönü ayrıca metin/HTML ve Application/JSON dahil olmak üzere çeşitli mim türleri için çapraz orijin okuma engellemesinin (COB) korunmasına izin verir. Corb, sayfanıza ulaşmadan önce web tarayıcısındaki trafik kaynaklarının yüklenmesini tanımlayabilen ve engelleyebilen bir algoritmadır. Çoğu tarayıcıda bu, hassas bilgileri inanılmaz bir komut dosyasının yürütülmesi bağlamından saklayabilir, bu da bilgisayar korsanlarının verilerinizi çalmasını zorlaştırır. 4. Politikalar İçerik Güvenlik Politikası (CSP) Yeniden Yönlendirme Sitenizi çeşitli genel saldırılardan güçlendirmeye yardımcı olabilecek ekstra bir güvenlik katmanı ekledi. Varsayılan olarak, yeniden yönlendirme aşağıdakileri kullanır: varsayılan-SRC ‘Self’; Script-SRC ‘Güvenli Olmayan Yayın’ ‘Güvenli Olmayan-Hoş’ http:; Style-SRC ‘Güvenli Olmayan İndir’ http:; IMG-SRC HTTP: Veri:; Font-SRC HTTP: Veri:;
İzin Ver-Formlara İzin Ver CSP Sandbox, tüm içeriğin sitenin kendisinden gelmesi ve ayrıca görüntüler ve yazı tipleri için geçerli kaynakları belirlemesi gerektiğini belirtir. Bu, tarayıcının inanılmaz kaynaklar içeren önleyebilir. IFrame’deki içerik için bir dizi ek kısıtlama belirlemek için kum kutusu özniteliklerini de kullanabilirsiniz. Bu, varsayılan eklenti yeniden yönlendirme özniteliğinde görebileceğimiz gibi, boşluklarla ayrılmış önceden belirlenmiş değerlerin bir listesi olabilir:

İzin Verme İzin Ver Scripts Sandbox burada, yeniden yönlendirme formlar ve komut dosyaları göndermeye izin verir. CSP çok büyük bir konudur, bu nedenle yapabileceğiniz farklı güvenlik politikalarını görmek için tüm olası değerlerin tam listesini kontrol etmenizi öneririz. 5. Politikaya başvurma İçerik yazarken genellikle harici web sitelerine bağlantılar eklersiniz. Bir ziyaretçi bu bağlantılardan birini her tıkladığında, hedef site bu kişinin nereden geldiği hakkında bilgi alacaktır. Web sitelerinin trafiğini anlamalarına yardımcı olmak için veriler çok değerli olabilir. Ancak, bazen bu üçüncü tarafla paylaştığınız bilgi miktarını sınırlamanız gerekebilir. Menşe kullanıcıları tanımlayabilecek hassas veriler içeriyorsa bu çok önemlidir. Kişisel bilgileri kitlenizin gizliliğini tehlikeye atabildiği ve bilgisayar korsanlarına kullanmak için daha fazla bilgi sağlayabildiği sürece sızmak. Yönlendiricileri kullanarak başlık referansı aracılığıyla gönderilen veri miktarını kontrol edebilirsiniz. Varsayılan olarak, yeniden yönlendirme eklentisi, dowgrad-dowgrade değerini kullanmaz. Bu, tarayıcının HTTP’lerden HTTP’ye giderken daha az güvenli olan bir yönlendirme başlığı göndermesini önler. Referrher-no-when-down-dragrady’yi çeşitli alternatif değerlerle değiştirebilirsiniz:
Olası seçenek, tarayıcıya web sitenizden yapılan istekleri içeren bir referans başlığı göndermemesini bildiren referanslayıcılar içermez.Tavsiye ilkesi değeri hakkında daha fazla bilgi edinmek için MDN Web belgelerini kontrol edebilirsiniz.Sonuç Bir web sitesi sahibi olarak, CM’lerinizi çeşitli saldırılardan korumanız gerekir.HTTP güvenlik başlıkları, sunucuların ve tarayıcıların çekebileceği eylemleri sınırlayabilir, bu da sitenizi ana güvenlik tehdidinden korumak için çok değerli olabilir.Yeniden yönlendirme eklentisini kullanarak sitenize ekleyebileceğiniz beş HTTP güvenlik başlığını özetleyelim: X-Frame-opsses
X-XSS koruma
X-Content-Type-Opations
Politikalar
Politikaya başvurun

HTTP güvenlik başlıklarından biri hakkında bir sorunuz var mı?Aşağıdaki yorumlar bölümünde sorun!

admin

WordPress vs. Drupal – 2021’de hangisi daha iyi?(Lehte ve aleyhte olanlar)

WordPress vs. Drupal – 2021’de hangisi daha iyi?(Lehte ve aleyhte olanlar)

WordPress etki alanınızı nasıl değiştirirsiniz (SEO avantajlarını korumak)

WordPress etki alanınızı nasıl değiştirirsiniz (SEO avantajlarını korumak)

WordPress içeriğinin erozyonu (kavga mı yoksa görmezden geliyor mu?)

WordPress içeriğinin erozyonu (kavga mı yoksa görmezden geliyor mu?)

Wix vs WordPress: Hangisini bir web sitesi oluşturmayı seçmelisiniz?

Wix vs WordPress: Hangisini bir web sitesi oluşturmayı seçmelisiniz?

WordPress Performans Sorunlarına Bağlı Şeylerin Kontrol Listesi

WordPress Performans Sorunlarına Bağlı Şeylerin Kontrol Listesi

Popüler konuları tartışmak için 9 En İyi WordPress Forum eklentisi

Popüler konuları tartışmak için 9 En İyi WordPress Forum eklentisi

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir