Buray Savas ANIL adlı üyeden alıntı
Merhaba Burak, genel olarak internette bulduğun her bilgiyi kullanmışsın sanırım yararlı olanı da olmayanıda. .htaccess üzerinde çok fazla komut kullanmışsın. Örneğin X-XSS-Protection bu senin için gerekli olan bir ayar olduğunu düşünmüyorum bunun yerine CloudFlare kullanarak WAF'yı aktif etmek senin için faydalı bir araç olabilir. Aynı zamanda Wordpress içerisinde Güvenlik eklentilerinden birini de kullanabilirsin. X-XSS-Protection bir çok bot hareketini engelleyen bir yapıya sahiptir. Google vb siteler için trafik sorunu olmayan ve her türlü zaten ziyaretçisi gelen sitelerin kullandığı bir yöntemdir. Standar sitelerin kullanması halinde Google, Yadex ve Bing gibi botlar tarama yaptıkları browser üzerinden hata alırlar nedeni ise Browser X-XSS-Protection a uyumlu değildir. Bu nedenle index sıkıntısı yaşayabilirsin. Daha ziyade Wordpress için olan başka güvenlik yöntemlerini kullanabilirsin. GSE iyi bir seçim gibi görünsede yine Wordpress için ne kadar tutarlı olur emin değilim. Daha farklı projeler için kullanılabilir. E-Tag bir nebze iyi görünsede yine uyumsuz olan browserlar için ciddi sorun olarak görülüyor bir çok optimizasyon firması E-Tag ı önersede artık neredeyse kullanılmıyor. Bunun yerine Mod_Pagespeed kullanabilirsin.Ayrıca NetCrafrt siteni %100 risk altında olarak gösterecektir. yani 10/10 riskli site olarak.İnceleme yaparsan göreceksin. Alternatif Protokol'de yine siten için uygun bir yöntem değil. Bu http üzerinde 80 portunun değiştirilerek olası sistemler üzerinde çağrıları karşılayan ancak bir çok browser ve sistem tarafından tavsiye edilmeyen bir protokol biçimi. Nedeni ise nasıl ki SMTP standart olarak 25 ise bazı sistemlerde 587 bazılarında ise 465 olarak en iyi ayarlar olarak karşımıza çıkar şayet bu portu farklı bir port biçimine çevirerek yollarsan giden maillerde spam olasılığı ve özellikle ulaşmama olasılığı yüksek olur.
Sadece 80 Protokolü üzerinden yapılan işlemler yada şu şekilde 82 portu üzerinden yapılan işlemler gibi tanımlamalara bağlı çalışır. Örneğin Nginx ve Varnish kullanıyorsunuz diyelim bu 80 portuna gelen istekleri 82 portu üzerinden cevaplanmasını sağlayacaktır. Bu kabul edilebilir ancak farklı bir port ve protokole aykırı bir durum siteniz için verimli olmayacaktır örneğin 80 portu yerine farklı bir porta 80 portuna gelen çağrıları yonlendirmek gibi.
Son olarak X-Content-Type-Options da senin için gerekli bir unsur değil. Özellikle Wordpress için bu bilgilere internet aracılığı ile ulaşarak elde ettin sanırım. Yada kullandığın sistemde otomatik olarak eklenmiş ancak en güvenlisini en iyisini yapıcam derken en kötüsünü oluşturmuş olabileceğini unutmamalısın.
İnternet'de okudugunuz herşey sizin için iyi olmayabilir. Lütfen ne için kullanılması gerektiğini bilmediğiniz şeylerden ziyade başarılı olmuş ve hali hazırda başarılı olan siteleri örnek alarak ilerleyin. Araştırmaları internet'den değil tecrübe edilmiş sistemlerden ve onların bu ve buna benzer açılmış forumlarda yardım bölümlerinden destek isteyerek yapın.
Başarılar diliyorum.
AMİN.
Hayırlısı..