Yönetttiğim web sitelerin tamamına yakını Linux sunucuda ve PHP ile çalışıyor, bu sitelerin güvenliği üzerinde sürekli çalışıyorum ve her zaman yapılacak yeni bir şeyler bulabiliyorum.
Burada bahsedeceğimiz geliştirmeyi “webpagetest.org” sitesi üzerinden görerek ilham aldım ve yaptım, “Header set”; X-XSS-Protection, X-Frame-Options, X-Content-Type-Options, Referrer-Policy ve Feature-Policy.
https://snyk.io/ sitesi de web sitesi güvenliği konusunda size yardımcı olabilen bir site, ücretsiz bir hesaba kaydolabilir, projenizin havuzuna erişim izni verebilirsiniz ve kod bağımlılıklarınız üzerinde aktif olarak güvenlik kontrolleri gerçekleştirir ve herhangi bir güvenlik açığı varsa size bildirilir.
Bu yeni test Snyk tarafından sağlanmaktadır . Ücretsiz bir hesaba kaydolabilir, projenizin havuzuna erişim izni verebilirsiniz ve kod bağımlılıklarınız üzerinde aktif olarak güvenlik kontrolleri gerçekleştirir ve herhangi bir güvenlik açığı varsa size bildirilir. Web sitenizin güvenliğini artırmak için bir Snyk hesabına sahip olmanız gerekmez ancak deneyimli bir uzmana ihtiyacınız olduğunu söyleyebilirim, mesela bana 🙂
Hadi yapalım
Öncelikle webpagetest.org adresine gidin ve web sitenizin adresini yazıp sitenizi test edin. Bu test sonucu size sitenizde hangi güvenlik geliştirmelerini yapmanız gerektiğini gösterecektir.
Genellikle çoğu sitede yapılması gereken önemli güvenlik güncelleştirmeleri şunlardır:
#Security Headers
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
Header set X-Frame-Options "SAMEORIGIN"
Header set X-Content-Type-Options "nosniff"
Header set Referrer-Policy "same-origin"
Header set Feature-Policy "geolocation 'self'; vibrate 'none'"
</IfModule>
Yukarıdaki kod .htaccess dosyası içerisinde olmalı.
Elbette daha birçok web sitesi güvenlik geliştirmesi vardır ancak ben sık karşılaşılan ve güncel konulara değinmeye çalıştım, çoğunlukla hosting firmaları bazı güvenlik geliştirmelerini varsayılan olarak yapıyor, burada site sahiplerinin ekstra yapması gerekenleri değerlendirdik.
Bahsettiğimiz güvenlik geliştirmeleri üzerine güzel bir makale: https://www.keycdn.com/blog/http-security-headers
Tüm teknik detaylara ve güncel bilgilere https://scotthelme.co.uk/tag/securityheaders-io/ adresinden erişebilirsiniz.