Güvenlik başlıklarını hosting panelinden kontrol etmek için SSL, HTTPS yönlendirmesi, .htaccess ayarları ve HTTP header yapılandırmalarını adım adım inceleyin.
Web sitenizin tarayıcılar tarafından nasıl yorumlandığı, yalnızca tema veya eklenti ayarlarıyla belirlenmez. HTTP güvenlik başlıkları; tarayıcıya içeriklerin nasıl yükleneceğini, hangi kaynaklara izin verileceğini ve belirli saldırı türlerine karşı nasıl davranılacağını söyler. Bu nedenle güvenlik başlıklarını hosting paneli üzerinden kontrol etmek, hem teknik SEO sağlığı hem de ziyaretçi güveni açısından düzenli yapılması gereken pratik bir kontroldür.
Güvenlik başlıkları, sitenizin yanıt verdiği HTTP katmanında çalışır. XSS, tıklama korsanlığı, MIME type karışıklığı ve güvenli bağlantı zorunluluğu gibi konularda tarayıcıya net talimat verir. Arama motorları bu başlıkları doğrudan bir sıralama faktörü olarak her zaman ayrı ayrı değerlendirmese de güvenli, kararlı ve hatasız çalışan bir site kullanıcı deneyimini güçlendirir.
Özellikle kurumsal web sitelerinde, form sayfalarında, üyelik alanlarında ve ödeme adımlarında eksik güvenlik başlıkları risk oluşturabilir. Ayrıca bazı güvenlik tarama araçları bu eksikleri raporladığında, teknik ekiplerin nereden müdahale edeceğini bilmesi zaman kazandırır.
Kontrol adımları kullanılan panele göre değişebilir. cPanel, Plesk veya özel yönetim panellerinde benzer mantıkla ilerlenir. Öncelikle alan adınızın bağlı olduğu web sunucu yapılandırmasını, ardından dosya yöneticisi ve güvenlik ayarlarını incelemeniz gerekir.
Güvenlik başlıklarını değerlendirmeden önce SSL sertifikasının aktif olduğundan emin olun. Panelde genellikle “SSL/TLS”, “Let’s Encrypt”, “Security” veya “Domain Settings” gibi alanlar bulunur. Sertifika aktif değilse HSTS gibi başlıklar doğru çalışmaz; hatta yanlış yapılandırılırsa ziyaretçiler siteye erişimde sorun yaşayabilir.
HTTPS yönlendirmesi de kontrol edilmelidir. Hem sunucu tarafında hem de WordPress içinde farklı yönlendirme kuralları varsa döngü hatası oluşabilir. Panelde zorunlu HTTPS seçeneği açıksa, ayrıca eklentiyle aynı yönlendirmeyi tekrar tanımlamamak daha sağlıklıdır.
Apache kullanılan yapılarda güvenlik başlıkları çoğunlukla .htaccess dosyasına eklenir. Windows tabanlı yapılarda web.config dosyası kullanılabilir. Dosya yöneticisinde işlem yapmadan önce mutlaka yedek alın. Küçük bir yazım hatası bile sitenin 500 hatası vermesine neden olabilir.
Apache için örnek bir başlık seti aşağıdaki gibi olabilir:
<IfModule mod_headers.c>
Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "geolocation=(), microphone=(), camera=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
</IfModule>
Bu örnek her site için doğrudan kopyalanmamalıdır. Özellikle Strict-Transport-Security başlığı, tüm alt alan adlarını etkileyebilir. Alt alan adlarında SSL yoksa erişim sorunları yaşanabilir.
Panel üzerinden ya da yanıt başlığı testleriyle bakmanız gereken temel başlıklar şunlardır:
CSP en güçlü ama en hassas başlıklardan biridir. Yanlış tanımlandığında tema dosyaları, reklam kodları, analiz araçları, fontlar veya ödeme servisleri çalışmayabilir. Bu nedenle doğrudan katı bir politika eklemek yerine önce hangi kaynakların kullanıldığını belirlemek gerekir.
WordPress sitelerinde tema, eklenti ve üçüncü taraf servis sayısı fazla olabileceği için CSP kademeli uygulanmalıdır. Önce raporlama moduyla test etmek, ardından üretim ortamında daraltılmış kurallara geçmek daha güvenlidir. Eğer panelinizde özel header ekleme alanı varsa her değişiklikten sonra önbelleği temizleyip farklı tarayıcılarda kontrol yapın.
Bazı paylaşımlı hosting paketlerinde güvenlik başlıkları için özel bir menü bulunmayabilir. Bu durumda .htaccess düzenleme, WordPress güvenlik eklentisi kullanma veya servis sağlayıcı destek ekibinden ilgili header tanımlarını isteme seçenekleri değerlendirilebilir.
Burada önemli olan, aynı başlığın birden fazla noktadan çakışacak şekilde gönderilmemesidir. Örneğin hem eklenti hem panel hem de .htaccess aynı güvenlik başlığını farklı değerlerle gönderirse tarayıcı beklenmeyen şekilde davranabilir. Kontrol sırasında yanıt başlıklarında tekrar eden veya çelişen değerler olup olmadığına bakılmalıdır.
Ayar yaptıktan sonra yalnızca sitenin açılıp açılmadığını kontrol etmek yeterli değildir. Ana sayfa, iletişim formu, sepet, ödeme, üyelik ve yönetim girişi gibi kritik sayfalar ayrı ayrı test edilmelidir. Tarayıcı geliştirici araçlarında “Network” sekmesine girerek sayfa isteğini seçebilir ve “Response Headers” alanından başlıkları görebilirsiniz.
WordPress önbellek eklentileri veya CDN kullanıyorsanız eski yanıtlar bir süre görünmeye devam edebilir. Bu durumda panel önbelleği, eklenti önbelleği ve varsa CDN önbelleği temizlenmelidir. Ardından gizli sekmede yeniden test yapmak daha doğru sonuç verir.
Güvenlik başlıkları hatalı eklendiğinde sayfa tamamen bozulmayabilir; bu nedenle küçük belirtileri izlemek gerekir. Harici fontların yüklenmemesi, görsellerin kaybolması, form gönderimlerinin çalışmaması, yönetim panelinde script hataları veya ödeme ekranında boş sayfa görülmesi CSP ya da izin politikasıyla ilişkili olabilir.
Bu tür bir sorun yaşandığında son eklenen başlığı tek tek pasifleştirerek ilerlemek en güvenli yöntemdir. Canlı sitede deneme yapmak yerine mümkünse test ortamında çalışmak, kurumsal sitelerde kesinti riskini azaltır. Değişiklik kayıtlarını tutmak da hangi ayarın ne zaman uygulandığını görmenizi sağlar.