Kategoriler
Tüm Yazılar Web Sitesi WordPress

Htaccess dosyanız önerilen tüm güvenlik başlıklarını içermiyor

WordPress İçerik Yönetim Sistemi ile beraber Really Simple SSL eklentisini kullanıyorsanız, site sağlığı ekranında “.Htaccess dosyanız önerilen tüm güvenlik başlıklarını içermiyor” uyarısını görebilirsiniz. Bu uyarı ile karşılaşıyorsanız yapmanız gerekenler yazımızın devamında.

Dünyanın en çok tercih edilen İçerik Yönetim Sistemi olan WordPress, 5.8 versiyonuna doğru yol alırken, WordPress eklentisi üreticileri de sürekli olarak yeni versiyonlara adaptasyon çalışmaları yürütüyorlar. Bu süreçte bazı eklentilerde uyumsuzluklar da olabiliyor.

Really Simple SSL, web sitesi ayarlarınızı otomatik olarak algılayan ve web sitenizi https üzerinden çalışacak şekilde yapılandıran bir eklenti. Web sitesine SSL kurulumlarında her zaman bu eklentiye ihtiyaç olmuyor. Kullanılan Hostinge göre bu ihtiyaç değişiyor. Bazı hostinglerde başka bir eklentiye gerek kalmadan SSL kolay bir şekilde kurulurken bazı hostinglerde güvenlik nedenleri gerekçe gösterilerek kısıtlamalar yapıldığından bir SSL eklentisi kurulması zorunlu hale geliyor.

WordPress İçerik Yönetim Sistemi ile beraber Really Simple SSL eklentisini kullanıyor ve site sağlığı ekranında “.Htaccess dosyanız önerilen tüm güvenlik başlıklarını içermiyor” uyarısı ile beraber şu hata satırlarını alıyor olabilirsiniz;

.Htaccess dosyanız önerilen tüm güvenlik başlıklarını içermiyor

HTTP Strict Transport Security
Content Security Policy: Upgrade Insecure Requests
X-XSS protection
X-Content Type Options
Referrer-Policy
X-Frame-Options
Expect-CT

.Htaccess dosyanız önerilen tüm güvenlik başlıklarını içermiyor hatası varsa ne yapmalıyım?

Bu durumda yapabileceğiniz iki alternatif var;

1- Really Simple SSL eklentisinin ücretli versiyonu olan Really Simple SSL Pro eklentisini satın almak ve kurmak,

2- Önerilen güvenlik başlıklarını manuel olarak eklemek

Biz bu seçeneklerden “Önerilen güvenlik başlıklarını manuel olarak eklemek” olanını anlatacağız.

Önerilen Güvenlik Başlıkları

Güvenlik başlıkları, SSL’e (Güvenli Yuva Katmanı) yeni bir katman eklerler. Bu sayede daha güvenli hale gelmiş olurlar.

Peki bu güvenlik başlıkları nelerdir;

-> HSTS – Bu başlık alan adınızda ayarlandığında, bir tarayıcı sitenize olan tüm istekleri HTTPS üzerinden gerçekleştirecektir.

-> Yükseltme-Güvensiz-İstekler – Bu başlık, istekleri https: // üzerinden kendi alan adınıza zorlamak için ek bir yöntemdir.

-> X-Content-Type-Options – Bu başlık, tarayıcıyı ne tür verilerin aktarıldığını “tahmin etmemeye” zorlar. Eğer Uzantı “.doc” ise, tarayıcı (.exe) değil, bir .doc dosyası almalıdır.

-> X-XSS Koruması – Komut dosyası çalıştırma (XSS) saldırısı tespit edilirse sayfaların yüklenmesini durdurur.

-> Expect-CT, Sertifika Şeffaflığı – Bir Sertifika Yetkilisinin (SSL sertifikasını düzenleyen), sahtekarlığı önlemek için ayrı bir günlükte (CT çerçevesi) yayınlanan sertifikaları günlüğe kaydetmesi gerekir.

-> Başlık Sürümü düşerken Yönlendirmeme – Yalnızca aynı protokolden geçilirken bir yönlendirme ayarlar, başlık sürümü düşerken ayarlamaz (HTTPS -> HTTP).

Neye ihtiyacınız var?

-> FTP Kimlik Bilgileri
-> .Htaccess dosyasını açmak için metin düzenleme programı,

Güvenlik başlıklarını manuel olarak ekleme

Htaccess dosyasına bir satır ekleyerek başlayalım.

FTP istemcinizi açın ve web sitenizin ana (kök) dizinde bulunan .htaccess dosyasını indirin.

DİKKAT! İndirdikten sonra .htaccess dosyasını başka bir klasöre de kopyalayın, bu şekilde işler ters giderse kopyaladığınız bu dosyayı geri yükleyebileceksiniz.

İndirdiğiniz .htaccess dosyasının en başına şu satırları ekleyin;

# BEGIN ReallySimpleSSL
Header always set Strict-Transport-Security: “max-age=31536000” env=HTTPS
Header always set Content-Security-Policy “upgrade-insecure-requests”
Header always set X-Content-Type-Options “nosniff”
Header always set X-XSS-Protection “1; mode=block”
Header always set Referrer-Policy: “no-referrer-when-downgrade”
Header always set Expect-CT “max-age=7776000, enforce”
# END ReallySimpleSSL

.htaccess dosyasını kaydedin ve FTP ana (kök) dizinine tekrar yükleyin. Site sağlığı ekranına giderek hatanın kalkıp kalkmadığını kontrol edin.

.htaccess dosyasını FTP ana (kök) dizinine tekrar yüklediğinizde web siteniz açılmıyorsa endişelenmeyin. Bu yazının en başında ayrı bir klasöre .htaccess dosyasını kopyalamıştık, bu klasöre gidip .htaccess dosyasını FTP ana (kök) dizinine tekrar yükleyin.

.htaccess dosyasını FTP ana (kök) dizinine tekrar yüklediğinizde web siteniz açılmıyorsa

# BEGIN ReallySimpleSSL ve # END ReallySimpleSSL başlıkları arasına eklenen her satır, site sağlığı ekranında görünen ayrı bir hatayı ortadan kaldırmanıza yarıyor. Bu satırları tek tek ekleyerek kaydedin ve .htaccess dosyasını FTP ana (kök) dizinine tekrar yükleyerek deneyin.

Daha detaylı bilgiye buradan erişebilirsiniz.