Web siteniz için güvenlik başlıkları: güvenlik ve SEO için iyidir.

İşte Güvenlik Başlıkları (Security Headers) hakkında bilmen gerekenler, nasıl çalıştıkları ve neden web güvenliğin için neden önemli oldukları ve aynı zamanda SEO adımlarınızın güvenliğini artırmak için ne yapabileceğin hakkında bilgi.

Güvenlik Başlıkları (Security Headers) yardım makalesi şu konuları içerir:

Güvenlik Başlıkları (Security Headers) Nedir?

Güvenlik Başlıkları (Security Headers), farklı türde saldırıları ve güvenlik açıklarını önlemek için web siteleri ve web uygulamalarında kullanılan HTTP başlıklarıdır. Kullanıcıları ve verileri tehditlerden korumak için önemli bir güvenlik katmanı sağlarlar.

Bunun bunu gerçekten ihtiyacınız olup olmadığını merak ediyorsanız, mevcut güvenliği bir çevrimiçi araçla test edebilirsiniz. Bunun için securityheaders.com'u kullanabilirsiniz. URL'nizi girdikten sonra test edebilirsiniz.

Olası olarak D veya F bir sonuç alabilirsiniz. Web sitelerinin çoğu ilk etapta kötü puan alır çünkü güvenlik, genellikle web sitesi oluşturulurken veya yeniden başlatılırken geliştiricilerin veya ajansların öncelikli konusu değildir. Security Headers'ı nasıl uygulayacağınızı (Geliştirici olmasanız da) aşağıda öğrenebilirsiniz. Ancak şimdilik en azından temelde iş yapılması gerektiğini biliyorsunuz.

Güvenlik Başlıkları (Security Headers) Nasıl Çalışır?

Güvenlik Başlıkları (Security Headers), bir web sunucusunun bir web sitesine veya web uygulamasına bir istek gönderildiğinde tarayıcıya gönderdiği HTTP yanıtının bir parçasıdır. Bu başlıklar, tarayıcıya güvenlik ve gizlilik konusunda nasıl davranması gerektiğini söyleyen komutlar ve bilgiler içerir. İşte bazı önemli Güvenlik Başlıkları ve nasıl çalıştıkları:

HTTP Katı Taşıma Güvenliği (HSTS)

HSTS, Man-in-the-Middle saldırılarına karşı korunmak için tarayıcıya bir web sitesiyle HTTPS aracılığıyla bağlantı kurma ve bu bağlantıyı sürdürmesi emrini verir.

Birçok web sitesi, yalnızca HTTP'den HTTPS'ye bir 301 yönlendirme ile sahiptir. Web sitelerinin içeriğindeki birçok bağlantı hala HTTP olarak ayarlanmıştır. Birine bu tür bir bağlantıya tıklarsanız, önce HTTP sayfası yüklenir ve ardından 301 yönlendirilmesi etkinleşir. Veya çoğu kişinin durumunda olduğu gibi, sadece alanadiniz.com'u tarayıcıya yazarak bir web sitesine ulaşmaya çalıştığınızda, yani genelde çoğu kişinin yapacağı şekilde, Man-in-the-Middle saldırılarına olanak tanınır.

HSTS, HTTPS bağlantısını HTTP bağlantısına indirmekten kaçınarak, saldırganın güvensiz yönlendirmeleri kullanmasını engeller. Yani, güvenli bir HTTPS bağlantısı üzerinden yükleme yapılması zorunlu kılınır.

X-Content-Type-Options

Bu başlık, belirtilen tür doğru değilse bir tarayıcının bir kaynağın MIME türünü tahmin etmeye çalışıp çalışmayacağını kontrol eder. Yalnızca doğru MIME türüne sahip stiller ve betikler yüklenir. Arkaplan: Tarayıcılar, bir içeriğin metin, bir görüntü (.png), bir video (.mp4) veya HTML, JavaScript ve diğer türden içerik gibi, bir web sitesinden indirilebilecek içeriklere ne olduğunu "koklayabilir".

"X-Content-Type-Options: nosniff" kullanımı, belirli saldırı vektörlerini engellemeye yardımcı olur, çünkü Cross-Site Scripting (XSS) gibi saldırılarda bir saldırgan, tarayıcıyı, bir PDF gibi bir kaynağa kötü niyetli bir JavaScript kodu eklemeye çalışabilir ve özellikle PDF olarak belirtilen başka bir MIME türü gösterseler bile, tarayıcıyı dosyayı açmasını sağlamak için yönlendirerek JavaScript kodunu çalıştırmaya zorlayabilir.

Bu, belirli bir web sitesi ziyaretçisi için bir dizi olumsuz etkiye sahiptir, özellikle adı geçen bir Drive-by-Indirme saldırısında, burada kötü amaçlı yazılım ziyaretçi bilgisayarına yüklenir.

Diğer güvenlik önlemleriyle birlikte, özellikle "Content Security Policy" (CSP) gibi, "nosniff" kullanımı, web uygulamalarının güvenliğini artırmaya ve saldırı yüzeyini azaltmaya yardımcı olur. Bu başlık genellikle bir web sitesindeki tüm kaynaklar için (örneğin HTML, JavaScript, CSS dosyaları) HTTP yanıtlarında etkinleştirilmelidir.

X-Frame-Options

Bu başlık, bir web sitesinin bir HTML çerçeve veya iframe içinde görüntülenmesini engeller ve Clickjacking saldırılarını önler. "X-Frame-Options" kullanımı, bir saldırganın bir web sitesini görünmez bir çerçevede yüklemeye ve kullanıcının fare tıklamalarını istismar etmeye çalıştığı Clickjacking saldırılarına karşı önemli bir güvenlik önlemidir. Başlık ayarlanarak, web sitesi sahipleri web sitelerinin çerçevelere nasıl yerleştirileceğini kontrol edebilirler.

X-XSS-Protection

Bu başlık, tarayıcının yerleşik XSS korumasını etkinleştirir veya devre dışı bırakır.

Referrer-Politik

"Referrer-Politik", bir HTTP başlığıdır ve Web sunucuları tarafından gönderilir, bu başlık, bir HTTP isteğinin "Referrer" alanındaki bilgilerle tarayıcının nasıl başa çıkması gerektiğini belirtir. "Referrer", genellikle mevcut sayfaya kullanıcının geçiş yaptığı önceki sayfanın URL'sini belirten bir HTTP başlığıdır. "Referrer-Politik", web sitesi sahiplerinin, Referrer bilgilerini diğer web sitelerine aktarma ve kullanıcı gizliliğini koruma konusunu kontrol etmelerini sağlar. İçeriği ile para kazanan herkes için bilinmesi gereken bir gerçektir: Referrer-Politik, İş Ortağı Bağlantıları üzerinde etkili değildir.

İçerik Güvenlik Politikası (CSP)

CSP başlıkları, hangi kaynaklardan kaynaklarının (betikler, resimler ve stiller gibi) yüklenebileceğini belirler. Bu, XSS, Kod Enjeksiyonları ve benzer saldırıları önlemeye yardımcı olur. 

XSS saldırıları, kötü niyetli betiklerin ziyaretçilerinizin tarayıcısına yüklendiği sitenizin CMS veya çerçevesindeki bir güvenlik açığından faydalanılarak gerçekleştirilir. Örneğin, kötü kodlanmış bir E-posta formu, sadece kısıtlı girdilerin beklenmesi gereken şekilde kodlanmadığında XSS saldırısı için bir kapı açabilir. Kötü kodlanmış bir form, kötü niyetli dosyaların yüklenmesine yol açabilecek diğer girdilere izin verebilir. Bu durum aynı zamanda birçok müşteri projesini genellikle iletişim formu olmadan sunmamızın nedenlerinden biridir.  

CSP başlığınız aracılığıyla sitenizin üzerine yüklenmesine izin veren alan adlarına ilişkin bir beyaz liste oluşturabilir, sitenizin neyin yüklenebileceğini ve neyin yüklenemeyeceğini belirleyebilirsiniz. Bu güvenilir grup dışındaki kötü niyetli betikleri yükleyen her saldırgan engellenir. Aralık 2016 itibariyle CSP 2 ile Google'dan beş yeni direktif olan hash-source, nonce-source ilave edilmiştir. Bu nedenle tarayıcılar açısından herhangi bir sorun beklenmemektedir. 11 Eylül 2023 itibarıyla CSP 2, tarayıcıların %95'inde çalışabilir durumdadır.

Bir İçerik Güvenlik Politikası oluşturmak, kurduğunuz şekline bağlı olarak güçlü veya zayıf olabilir. Bizim üzerinde en uzun süren başlık TutKit.com'da gerçekleşti, çünkü dış kaynaklardan indirilen tüm betikler ve kaynakların listelenmesi ve bu beyaz listeye eklenmesi gerekmektedir. Doğru entegrasyonun kontrolünü securityheaders.com üzerinden, Mozilla Observatory ve Google PageSpeed Insights ile Güvenlik Politikası uygulamaları alanında kontrol edebilirsiniz. Mozilla servisinin avantajlarından biri, URL'nizin aynı zamanda diğer harici test araçları tarafından test edilmesidir. Eğer birinde olumsuz bir sonuç alırsanız, daha detaylı bir araştırma yapabilirsiniz.

Güvenlik başlıkları neden önemlidir?

Güvenlik Başlıkları, web sitelerinin ve web uygulamalarının saldırı yüzeyini azaltmaya ve bilinen güvenlik açıklarını kapatmaya yardımcı olduklarından önemlidir. Tarayıcılara, güvenlikle ilgili nasıl davranmaları gerektiği konusunda talimatlar vererek, çeşitli saldırı türlerini önlemeye veya en azından zorlaştırmaya yardımcı olabilirler. Bu XSS saldırıları, Tıklama Dolandırıcılığı, MIME-Sahteciliği ve diğer güvenlik sorunlarını içerir.

Kredi kartı işlemlerini saklayan, ileten veya yürüten çevrimiçi mağazaların PCI-DSS'ye uygun olmaları gerekmektedir. Birçok PCI-DSS Denetimi, harekete geçirilmiş bir HSTS (HTTP Strict Transport Security) ve diğer Güvenlik Başlıklarını da incelemektedir. Websiteniz, PCI Uyumluluğuna giriyorsa, yani kredi kartı ödemelerini işliyorsanız ve ödeme sağlayıcınız sizden bir PCI belgesi bekliyorsa ve sizden bir Test/Denetim yoluyla bunu kanıtlamanız bekleniyorsa, Güvenlik Başlıklarının entegrasyonu artık sizin için bir konu haline gelir.

Üçüncü olarak, kullanıcı deneyiminizi korumuş olursunuz, bu da SEO önlemleriniz açısından olumlu bir etki yapar. Bu konuda aşağıda daha fazla bilgi verilecektir.

Güvenlik başlıkları nasıl uygulanır?

Güvenlik Başlıklarının uygulanması genellikle web sunucusu veya web uygulama seviyesinde yapılandırma değişikliklerini gerektirir. 

1. İhtiyacınız olan Güvenlik Başlıklarını ilk olarak belirleyin: Web siteniz veya web uygulamanız için en önemli Güvenlik Başlıklarını düşünün. Seçiminiz, özel gereksinimlerinize ve tehditlere bağlı olacaktır. Sadece bir iletişim formu olmayan, yalnızca HTML üzerinde çalışan bir Onepager'ınız varsa, riskiniz, çerezlerle, kredi kartı bilgisi aktarımı yapmayan, müşteri verilerine ve CMS'ye sahip bir mağazadan daha az olacaktır.

2. Web sunucusunu yapılandırın: Web sunucunuzun yapılandırılmasını değiştirerek çoğu Güvenlik Başlığı ekleyebilirsiniz. Örneğin, Apache sunucuları başlıkları .htaccess dosyasında yapılandırabilirken, Nginx konfigürasyon dosyasını nginx.conf veya sites-available kullandığı için ayarlayabilir.

3. Başlıkları HTTP yanıtınıza ayarlayın: Başlıklarınızın web sitenizin veya web uygulamanızın HTTP yanıtında yer alması gerekir. Genellikle bu, sunucu modülleri, betikler veya aracılığıyla yapılabilir.

4. Uygulamayı test et: Güvenlik başlıklarını ekledikten sonra web siteni veya web uygulamanı detaylı bir şekilde test etmelisin, her şeyin beklediğin gibi çalıştığından emin olmak için. Ayrıca, Security Headers ve Mozilla Observatory gibi çevrimiçi araçlar da web sitenizin güvenlik yapılandırmasını analiz edebilir.

5. Başlıkları güncel tut: Güvenlik başlıklarını düzenli olarak izle ve güncelle, böylece mevcut en iyi uygulamalara uyduklarından ve yeni tehditlere karşı korunduklarından emin olursun.

Güvenlik Başlıklarını Uygulama adımları web sunucusu teknolojisine ve platforma bağlı olarak değişebilir, bu nedenle sunucunuzun ve web uygulamanızın belgelerine başvurmanız veya gerektiğinde profesyonel destek almanız önerilir. İşte Apache ve Nginx sunucularda nasıl uygulayabileceğinize dair bir kılavuz. Maalesef, WordPress eklentisi aracılığıyla yapılandırmak kadar kolay değil.

Apache Sunucularda .htaccess Üzerinden Güvenlik Başlıkları Eklemek

Güvenlik başlıklarını .htaccess dosyası üzerinden eklemek, Apache web sunucusundaki bir web sitesinin güvenliğini artırmak için sıkça kullanılan bir yöntemdir. .htaccess dosyası, sunucu genelinde ayarlar ve yapılandırmalar belirlemenizi sağlar, bu da güvenlik başlıklarını içerir. İşte güvenlik başlıklarını .htaccess dosyası üzerinden nasıl ekleyebileceğinize dair adım adım bir kılavuz:

Yedekleme yap: Değişiklikler yapmadan önce web siteni yedekle ve .htaccess dosyasının bir kopyasını alarak sitesine erişememe riskini önlemek için sakla.

.htaccess dosyanı aç: .htaccess dosyasını genellikle WordPress kurulumunun kök dizininde bulabilirsin. Notepad++, Dreamweaver, PHP Storm veya Visual Studio Code gibi bir metin düzenleyici ile açabilirsin.

Güvenlik başlıklarını ekle: Güvenlik başlıklarını eklemek için .htaccess dosyanızda Header komutunu kullanırsınız. İşte sık kullanılan güvenlik başlıklarına ve nasıl ekleyebileceğinize dair bazı örnekler:

İçerik Güvenlik Politikası (CSP):

Header always set Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src 'self' data:; style-src 'self' 'unsafe-inline';"

X-Content-Type-Options:

Header always set X-Content-Type-Options "nosniff"

X-Frame-Options:

Header always set X-Frame-Options "DENY"

X-XSS-Protection:

Header always set X-XSS-Protection "1; mode=block"

HTTP Katı Ulaşım Güvenliği (HSTS):

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

Yönlendirme Politikası:

Header always set Referrer-Policy "strict-origin-when-cross-origin"

.htaccess dosyasını kaydet: İstediğiniz güvenlik başlıklarını ekledikten sonra .htaccess dosyasını kaydedip gerektiğinde web sunucusuna yükle.

Yapılandırmayı kontrol et: .htaccess dosyasında sözdizimi hataları yapmadığınızdan emin olmak için web sitesini ziyaret edin ve olası hata bildirimlerine dikkat edin. Güvenlik başlıklarının etkinliğini doğrulamak için çevrimiçi araçlar da kullanabilirsiniz.

Web siteni test et: Tüm işlevlerin düzgün çalıştığından ve güvenlik başlıklarının istediğiniz güvenlik önlemlerini uyguladığından emin olmak için web siteni detaylı bir şekilde kontrol et.

Lütfen unutma, güvenlik başlıklarını .htaccess dosyası üzerinden eklemek sadece Apache sunucularda çalışır. Nginx gibi farklı bir web sunucusu kullanıyorsanız, güvenlik başlıklarını ayarlamak için ilgili konfigürasyon dosyalarını düzenlemelisiniz. Detaylar için aşağıdaki bölüme bakınız...

Nginx Sunucularda Güvenlik Başlıklarını Eklemek

Nginx'de güvenlik başlıkları, genellikle .conf uzantılı bir dosyada bulunan Nginx yapılandırma dosyaları üzerinden eklenir. İşte Nginx'te güvenlik başlıklarını nasıl ekleyebileceğinize dair adım adım bir kılavuz:

Yedekleme yap: Nginx yapılandırmanızda değişiklik yapmadan önce, olası sorunlar durumunda çalışan bir yapılandırmaya geri dönebilmek için yapılandırma dosyalarının bir yedeğini almanız önemlidir.

Nginx yapılandırma dosyasını aç: Nginx'in ana yapılandırma dosyası genellikle Linux sistemlerinde /etc/nginx/ gibi bir dizinde bulunur. Dosya sistemden sisteme farklılık gösterebilir ancak genellikle nginx.conf, default veya her bir web sitesi için sites-available olarak adlandırılır.

Dosyayı açmak için bir metin düzenleyici veya komut satırı düzenleyicisi (nano, vim veya gedit) kullanabilirsiniz. Dosyayı düzenleyebilmek için kök kullanıcı veya süper kullanıcı izinlerinize ihtiyacınız olacaktır.

İlgili Güvenlik Başlıklarını ekleyin: İstenen Güvenlik Başlıklarını Nginx yapılandırmanıza add_header direktifleri kullanarak ekleyebilirsiniz. İşte bazı sık kullanılan Güvenlik Başlıkları için örnekler:

İçerik Güvenlik Politikası (CSP):

add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src 'self' data:; style-src 'self' 'unsafe-inline';";

X-İçerik-Tipi-Çözümleme Seçenekleri:

add_header X-Content-Type-Options "nosniff";

X-Çerçeve-Seçenekleri:

add_header X-Frame-Options "DENY";

X-XSS-Koruma:

add_header X-XSS-Protection "1; mode=block";

HTTP Katı Taşıma Güvenliği (HSTS) (Dikkat: Web siteniz sürekli olarak HTTPS üzerinden erişilebilir ise kullanın):

add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";

Referrer Politikası:

add_header Referrer-Policy "strict-origin-when-cross-origin";

Konfigürasyon dosyasını kaydedin ve kapatın: İstenen başlıkları ekledikten sonra konfigürasyon dosyasını kaydedin ve kapatın.

Konfigürasyonu şimdi kontrol edin: Nginx konfigürasyonunun geçerliliğini nginx -t komutu ile kontrol edebilirsiniz. Konfigürasyon geçerli ise başarılı bir mesaj gösterilmelidir.

Nginx'i başlatın veya güncelleyin: Konfigürasyonu kontrol ettikten sonra, yeni başlıkların etkinleştirilmesi için Nginx sunucusunu başlatın veya güncelleyin. Sunucuyu sudo service nginx restart komutuyla (Debian/Ubuntu için) veya sudo systemctl restart nginx komutuyla (systemd tabanlı sistemler için) yeniden başlatabilirsiniz.

Web sitenizi test edin: Tüm işlevlerin düzgün çalıştığından ve Güvenlik Başlıklarının istediğiniz güvenlik önlemlerini uyguladığından emin olmak için web sitenizi kontrol edin.

Nginx konfigürasyonunun sistemden sisteme farklı olabileceğini unutmayın, özellikle birden fazla sanal ana bilgisayar (sunucu bloğu) veya karmaşık bir yapılandırma kullanıyorsanız. Bu nedenle web siteniz için sorumlu olan doğru konfigürasyon dosyasını düzenlediğinizden emin olun.

WordPress için Güvenlik Başlıkları için Eklentiler

WordPress web sitenizde Güvenlik Başlıklarını ayarlamanıza yardımcı olabilecek çeşitli WordPress eklentileri bulunmaktadır. Bu eklentiler, derin teknik bilgilere sahip olmasanız bile güvenlik önlemlerini uygulamayı kolaylaştırır.

"Headers Security Advanced & HSTS WP" eklentisi, WordPress web sitelerinde Güvenlik Başlıklarını ve HTTP Katı Taşıma Güvenliği (HSTS) uygulamak için özel olarak tasarlanmıştır. Bu başlıkları ve güvenlik önlemlerini yapılandırmak için kullanıcı dostu bir yol sunar.
https://de.wordpress.org/plugins/headers-security-advanced-hsts-wp/

İşte WordPress Eklentileri arasında Güvenlik Başlıkları kurulumunda yardımcı olabilecek bazıları:

1. WP Security Headers: Bu eklenti, WordPress web sitenizde çeşitli Güvenlik Başlıklarını yapılandırmanıza olanak tanır. Kullanıcı dostu bir arayüze sahiptir ve İçerik Güvenlik Politikası (CSP), X-Frame-Options ve daha fazlası gibi başlıkları özelleştirmenize izin verir.

2. HTTP Headers: HTTP Headers, daha fazla güvenlik ve gizlilik için çeşitli HTTP Başlıklarını belirlemenizi sağlayan bir WordPress eklentisidir. X-İçerik-Tipi-Seçenekleri, X-XSS-Koruma ve Referrer Politikası gibi başlıkları yapılandırmanıza olanak tanır.

3. Security Headers: Bu eklenti, İçerik Güvenlik Politikası (CSP) yapılandırması için özel olarak tasarlanmıştır. Web siteniz için bir CSP politikası belirlemenizi ve özelleştirmenizi kolaylaştırır.

4. Easy Security Headers: Bu eklenti, WordPress'te önemli Güvenlik Başlıklarını etkinleştirmenize ve yapılandırmanıza olanak tanır. İçerik Güvenlik Politikası, Katı Taşıma Güvenliği ve X-İçerik-Tipi-Çözümleme Seçenekleri gibi başlıkları içerir.

WordPress'te Güvenlik Başlıklarını kurmak için bir eklenti kullanmadan önce, eklentinin WordPress ve PHP sürümünüzle uyumlu olduğundan emin olmalısınız.

Headless CMS Strapi için Güvenlik Başlıkları Uygulamak

Strapi, Node.js tabanlı popüler bir Headless-CMS (İçeriğin Yönetildiği Sistem) sistemidir. WordPress'te olduğu gibi, Strapi için de Güvenlik Başlıklarını uygulama imkanı bulunmaktadır. Strapi'de Güvenlik Başlıklarının yapılandırılması genellikle derin bir seviyede gerçekleşir, çünkü sunucu taraflı bir uygulamadır. Bir Strapi uygulamasında Güvenlik Başlıklarını yapılandırmak için izlenecek adımlar şunlardır:

Middleware kullanımı: Strapi'de HTTP başlıklarını ayarlamak için Middleware kullanabilirsin. İstediğin güvenlik başlıklarını HTTP yanıtlarına ekleyen özel bir Middleware oluşturabilirsin. İşte bunu nasıl yapabileceğine dair bir örnek:

1. Örneğin, Middleware dizininde security-headers.js adında bir dosya oluştur:

module.exports = (strapi) => {
return {
initialize() {
strapi.app.use(async (ctx, next) => {

2. İstenen Güvenlik Başlıklarını Ayarla:

ctx.set('Content-Security-Policy', "default-src 'self'"); ctx.set('X-Content-Type-Options', 'nosniff'); ctx.set('X-Frame-Options', 'DENY'); ctx.set('X-XSS-Protection', '1; mode=block'); ctx.set('Strict-Transport-Security', 'max-age=63072000; includeSubDomains; preload'); ctx.set('Referrer-Policy', 'strict-origin-when-cross-origin');

3. Sonraki Middleware adımını çağır:

await next(); 
}); 
},
};
};

Middleware kaydı: Middleware'yi oluşturduktan sonra, her HTTP isteğinde çalıştırılmasını sağlamak için Strapi uygulamanın middleware.js dosyasına kaydetmelisin.

module.exports = {
settings: {

Diğer ayarlar ...

},
middleware: {

Diğer Middleware ...

securityHeaders: { 
enabled: true, 
},
},
};

Özelleştirme ve test: Middleware'deki başlık değerlerini gereksinimlerine göre ayarla. Başlıkların doğru bir şekilde ayarlandığından emin olmak için uygulamayı test et ve Güvenlik Başlıkları Denetleyicisi gibi araçları kullan.

Sunucu yapılandırmasını kontrol et: Strapi'deki Middleware ayarının yanı sıra, varsa, web sunucunu (örneğin Nginx veya Apache) değiştirmeyen, Strapi tarafından belirlenen başlıkları geçersiz kılabilir.

Kesin uygulama, Strapi yapılandırman ve sunucun bağlantısına bağlı olarak değişebilir. Strapi CMS'de config/app.js üzerinden alternatif bir uygulama yapılabilir. Ancak middleware yolu sana daha fazla kontrol ve esneklik sağlar.

4eck-media.de adlı ajans web sitemizde Headless CMS Strapi'yi kullandığını görebilirsin:

Güvenlik Başlık ve Web Sitelerinin Güvenlik Açıkları İçin Test Araçları

Güvenlik başlıklarını uyguladığında, farklı tarayıcılar ve cihazlarla web sitenin işlevselliğini test etmek için mutlaka bir test yap. Dahası, her şeyin doğru bir şekilde entegre edilip edilmediğini kontrol etmek için aşağıdaki iki test aracını da kullan:

• securityheaders.com => Bu araç özellikle Güvenlik Başlıklarını test eder. Yukarıdaki ekran görüntüsüne bak.
• securityscan.getastra.com => Bu araç, 140'tan fazla güvenlik açığı üzerinde test yapar ve Güvenlik Başlıklarını da kontrol eder.

Şu anda tutkit.com için https://securityscan.getastra.com/ üzerinden yapılan Sağlık Kontrolünde 90/100 puan aldık:

Görüldüğü gibi, her şey yolunda olmasına rağmen biraz iyileştirme yapılabilir. JavaScript Framework'ümüz vue.js ve TutKit.com'dan Laraberg modülümüzün bir sonraki ana güncellemesi ile ilgileneceğiz, çünkü bazı modüllerin güvenlik gereksinimlerine uygun olarak JavaScript çıkışlarını farklı şekilde gerçekleştirdiğini gözlemledik.

Güvenlik Başlıkları SEO (Arama Motoru Optimizasyonu) İçin Yararlı mı?

Güvenlik başlıkları ile SEO (Search Engine Optimization - Arama Motoru Optimizasyonu) arasında dolaylı bir ilişki bulunmakla birlikte, bu ilişki genellikle dolaylıdır.

Google, 2021'de Sayfa Deneyiminin yedi farklı faktörü bir araya getirerek web sitesi deneyimindeki kaliteyi anlamlandıracağını Mayıs 2020'de belirtmiştir.

HTTPS ve Güvenli Tarama, Sayfa Deneyimi için olumlu sinyaller arasındadır. Google, HTTPS kullanımını bir sıralama faktörü olarak adlandırmıştır. Başlangıçta Güvenli Tarama için aynı şey geçerliydi. Ancak Ağustos 2021'de Google, pek çok web sitesi sahibinin hacklenmede suçlanamayacağını belirttiğinden artık Güvenli Tarama için sıralama faktörü olarak geçerli olmadığını bildirdi. 

Chrome Tarayıcısı'ndaki Geliştirici Araçları'ndan PageSpeed Insights ve Lighthouse testlerinde Güvenli Tarama hakkında bir öneri görebilirsin. Bu nedenle, Güvenli Tarama konusunun SEO için hala tamamen geçerli olup olmadığına dair bir belirsizlik söz konusu olabilir:

Ayrıca, Google web sitelerini EEAT prensibine uygun olanları daha yüksek sıralar. Dolayısıyla, içeriğin uzmanlık, deneyim, otorite ve güvenilirlik açısından doğrulanmış olması gerekmektedir. Güvenilirlik, bir web sitesinin veya içeriğin güvenilirliği ve güvenilirliği ile ilgilidir. Google, güvenilirliği gizlilik, güvenlik ve şeffaflık gibi faktörlere dayanarak değerlendirir.

Şimdi SEO ile Güvenlik Başlıkları arasındaki ilişkiyi tam olarak nasıl açıklayacağımızı, web siteniz ve web siteniz ziyaretçileri için HTTP başlıklarının beş avantajıyla açıklayabiliriz:

1. Güven ve Güvenlik: Güvenlik başlıklarını kullanan bir web sitesi, ziyaretçilere ve arama motorlarına kullanıcılarının ve verilerinin güvenliğiyle ilgilendiğini sinyalini verir. Bu, kullanıcıların web sitesine olan güvenini artırabilir ve veri sızıntıları ve kötü amaçlı yazılım saldırıları gibi güvenlik sorunlarını azaltabilir.

2. Güvenlik Sorunlarının Önlenmesi: Content Security Policy (CSP) ve X-XSS-Protection gibi Güvenlik Başlıkları, Cross-Site Scripting (XSS) gibi bilinen güvenlik açıklarının önlenmesine yardımcı olur. Güvenlik sorunlarına duyarlı web siteleri arama motorları tarafından cezalandırılabilir veya kullanıcılar için uyarı mesajlarında görünebilir, bu da SEO'yu olumsuz etkileyebilir.

3. Yükleme Sürelerinin İyileştirilmesi: HTTP Strict Transport Security (HSTS) gibi bazı Güvenlik Başlıkları, web sitesinin yükleme sürelerini iyileştirmeye yardımcı olabilir çünkü tarayıcıyı HTTPS üzerinden bağlantı kurmaya zorlar. Daha hızlı yükleme süreleri, Google gibi arama motorları tarafından sıralama kriteri olarak dikkate alındığından SEO için önemli bir faktördür.

4. Clickjacking & Phishing'in Önlenmesi: X-Frame-Options gibi Güvenlik Başlıkları, web sitesinin içeriğinin görünmez bir çerçevede gösterildiği Clickjacking saldırılarını önlemeye yardımcı olabilir. Bu, web sitesine olan kullanıcı güvenini artırabilir ve phishing saldırılarının olasılığını azaltabilir.

5. HTTPS ve Sıralama: Güvenlik Başlıklarına doğrudan bağlı olmasa da, HTTPS kullanımı (HSTS gibi Güvenlik Başlıkları tarafından teşvik edilen) önemli bir SEO faktörüdür. Google zaten 2010 yılında HTTPS'i bir sıralama sinyali olarak kabul edeceğini duyurmuştu ve HTTPS kullanan web siteleri SEO açısından avantaj sağlayabilir.

Safety Headers'ın kullanılması, bence bir web sitesinin SEO sıralaması üzerinde olumlu etkiler yapabilir, ancak bunlar tek başına belirleyici kriter değildir, ancak genel güvenlik ve SEO denklemi'nin çok küçük bir bölümüdür. İlgisiz içerik sunan veya yetersiz kullanıcı deneyimi sunan bir web sitesi, Sıralama sonuçlarında Security Headers ekleyerek tek başına iyileştirilecek şekilde değildir. SEO, yüksek kaliteli içerikler, iyi kullanıcı deneyimi, mobil optimize etme ve daha pek çok faktörü dikkate alan karmaşık bir süreçtir. Ancak, güvenlik başlıkları, kullanıcı güvenini kazanmak ve genel olarak web sitesini güvenli hale getirmenin önemli bir parçasıdır, bu da nihayetinde SEO sıralaması üzerinde olumlu etkiler yapabilir.

Aksi takdirde: web siteniz kötü amaçlı yazılımlarla enfekte olursa ve Google web sitesi ziyaretçilerine bir uyarı verirse, itibarınıza doğrudan olumsuz etkiler. Sıralamanız düşecek ve bundan dolayı Önceki tüm SEO başarılarınız da düşecektir. Web sitesi sahibi olarak Google'dan bu durumda bir uyarı alacaksınız. Alternatif olarak, web sitenizi buradan Malware var mı test edebilirsiniz.

En azından, güvenlik başlıklarımızı en son duruma getirdiğimiz bir Güvenlik Sprinti ile gurur duyuyoruz. Ve böylece Hall of Fame'e de girdik:

Sonuç: Güvenlik Başlıklarını uygulamak, her web sitesinin yayına alınması sırasında dikkate alınması gereken bir konu ve teknik bir sorun değildir. Maalesef, web sitesi sahipleri, ajanslar ve SEO uzmanlarının çoğu için neredeyse hiç gündemde olmaması, SEO Araçlarının güvenlik başlıklarını da denetlemelerine dahil etmesi iyi olurdu. Bakalım ... SEOBILITY yöneticilerine en azından bu isteği ilettim :-)