HTTP Güvenlik Başlıkları Nedir?
HTTP yanıt başlıkları (Response Headers), sunucunuzun bir sayfa isteği geldiğinde tarayıcıya (Chrome, Safari vb.) gönderdiği gizli talimatlardır. Sadece içeriği değil, o içeriğin ne kadar güvenli bir ortamda çalıştırılması gerektiğini belirler. Bu, sunucu ve istemci (tarayıcı) arasında imzalanan dijital bir "Güven Sözleşmesi"dir.
Güvenlik Başlıkları SEO İçin Neden Önemlidir?
Güvenlik başlıkları doğrudan bir "sıralama faktörü" değildir ancak Güvenli Site Algısı için hayati önem taşır. Eğer bir güvenlik açığı nedeniyle tarayıcı sitenizi "güvensiz" olarak engellerse, organik trafiğiniz bir saniyede sıfıra iner. Dolaylı yoldan, kusursuz bir teknik altyapı her zaman üst sıraların kapısını açar.
Google Güvenlik Başlıklarına Doğrudan Puan Verir mi?
Algoritmik olarak Google'ın bu başlıklara özel bir puan verdiğine dair resmi bir açıklama yoktur. Ancak Google, Kullanıcı Deneyimi (UX) ve tarayıcı davranışlarını izler. Güvenlik başlıkları zayıf olan bir sitede yaşanan teknik sapmalar ve tarayıcı uyarıları, Google'ın sitenizi "riskli" kategorisine almasına neden olabilir.
Güvenlik Başlığı Olmayan Sitelerde Ne Olur?
- XSS (Cross-Site Scripting): Kötü niyetli scriptlerin sitenize enjekte edilmesi.
- Clickjacking: Sitenizin görünmez bir katman (iframe) içinde gizlenerek kullanıcıların yanlış yerlere tıklatılması.
- İçerik Enjeksiyonu: Sayfa içeriğinizin manipüle edilerek rakiplere veya zararlı sitelere link çıkılması.
En Temel Güvenlik Başlıkları Listesi
Modern bir web sitesinde mutlaka bulunması gereken "Altın Altılı":
- Content-Security-Policy (CSP)
- X-Content-Type-Options
- X-Frame-Options
- Referrer-Policy
- Strict-Transport-Security (HSTS)
- Permissions-Policy
Content-Security-Policy (CSP) Nedir?
CSP, web güvenlik dünyasının en güçlü ama yapılandırması en zor kalkanıdır. Sitenizin hangi kaynaklardan (script, style, image) dosya yükleyebileceğini belirleyen bir "Whitelist" (Beyaz Liste) mantığıyla çalışır. Sadece izin verdiğiniz alan adlarından gelen kodlar çalıştırılır.
Yanlış CSP Kullanımı
Korkunç bir hata: CSP politikalarını default-src * şeklinde ayarlamak. Bu, kapıyı kilitleyip anahtarı üzerinde bırakmak gibidir. Ayrıca, gereğinden fazla katı kurallar veya inline script kaosu, sitenizdeki meşru JS dosyalarının çalışmasını engelleyerek tasarımı paramparça edebilir.
CSP ve SEO Araçlarının Yanılgıları
Birçok analiz aracı sadece "CSP başlığı var mı?" diye bakar. Oysa başlığın var olması yetmez; içindeki direktiflerin gerçek bir güvenlik sağlayıp sağlamadığı kritiktir. Yanlış yapılandırılmış bir CSP, araçlarda "Başarılı" görünse de aslında "Yanlış Pozitif" bir güven verir.
X-Content-Type-Options Nedir?
Tarayıcıların "MIME Sniffing" yapmasını engelleyen basit ama hayati bir başlıktır. nosniff değeri ile tarayıcıya "Sana ne gönderdiysem onu o şekilde işle, dosyayı tahmin etmeye çalışma" der. Bu sayede bir resim dosyası gibi görünen ama aslında kötü niyetli bir script olan dosyaların çalıştırılması önlenir.
X-Frame-Options Nedir?
Sitenizin bir <iframe> içinde embed edilip edilemeyeceğini belirler. DENY (Hiçbir yere izin verme) veya SAMEORIGIN (Sadece kendi sitemde izin ver) değerleri ile sitenizin başkaları tarafından gizlice kullanılmasını ve "Clickjacking" saldırılarını engeller.
X-Frame-Options vs CSP frame-ancestors
frame-ancestors, CSP içindeki daha modern ve esnek bir versiyondur. Eski tarayıcılar için X-Frame-Options, modern olanlar için CSP frame-ancestors birlikte kullanılmalıdır. Çakışma durumunda modern tarayıcılar CSP'yi önceliklendirir.
Referrer-Policy Nedir?
Kullanıcınız bir linke tıklayıp başka bir siteye gittiğinde, tarayıcının o siteye sizin URL'nizi gönderip göndermeyeceğini belirler. Gizlilik ve analitik veri arasında hassas bir dengedir. SEO çalışmalarında "Trafik Kaynağı" verisinin doğru okunabilmesi için doğru yapılandırılmalıdır.
Yanlış Referrer-Policy Kullanımı
En büyük felaket: no-referrer kullanmak. Bu, analitik araçlarınızdaki trafik kaynaklarını tamamen kör eder. Sitenize nereden ziyaretçi geldiğini bilemezsiniz; pazarlama ve SEO verilerini kendi elinizle öldürmüş olursunuz.
Strict-Transport-Security (HSTS) Nedir?
Sitenizin sadece ve sadece HTTPS üzerinden açılmasını tarayıcı düzeyinde zorunlu kılan bir direktiftir. SSL Downgrade (güvenli protokolden güvensize düşürme) saldırılarını imkansız hale getirir. Tarayıcıya "Bu siteyi bir yıl boyunca hep HTTPS ile aç" emrini verir.
HSTS Yanlış Yapılandırılırsa Ne Olur?
HSTS çok tehlikeli bir silahtır. Eğer sitenizde SSL sorunu varken bu başlığı aktif ederseniz, kullanıcılar siteye girmek istediklerinde tarayıcılar erişimi tamamen kilitler ve "Geri Dön" butonunu bile göstermez. Hatadan geri dönüş süreci aylar sürebilir.
Permissions-Policy (Eski Feature-Policy)
Tarayıcı özelliklerine (Kamera, mikrofon, GPS, USB vb.) erişimi kısıtlayan bir protokoldür. Sitenizin ihtiyacı olmayan özellikleri donanımsal düzeyde kapatmak, kullanıcı gizliliği ve güvenliği için profesyonel bir standarttır.
Güvenlik Başlıkları ve Performans İlişkisi
Aşırı karmaşık CSP kuralları, tarayıcının rendering süresini çok küçük bir miktarda da olsa etkileyebilir. Ancak bu, güvenliğin getirdiği faydanın yanında yok sayılabilecek bir bedeldir. Önemli olan "Gereksiz Policy Yükü" yaratmadan dengeli bir yapı kurmaktır.
SEO Analiz Araçları Güvenlik Başlıklarını Nasıl Değerlendirmeli?
Bizim analiz motorumuz şu hiyerarşiyi takip eder:
- Hiçbiri Yok: KRİTİK HATA (Tamamen savunmasız).
- Kritik Olanlar (HSTS/CSP) Yok: HATA (Yüksek risk).
- Var Ama Yanlış Yapı: UYARI (Güvenli değil, sadece varmış gibi görünüyor).
- Doğru ve Dengeli: BAŞARILI (Teknik kusursuzluk).
CDN ve Güvenlik Başlıkları
Cloudflare gibi servisler, bu başlıkları "Edge" seviyesinde kolayca ekleyebilir. Ancak sunucunuzdan gelen başlıklarla CDN'den gelen başlıkların çakışması (çift header basılması) tarayıcılarda beklenmedik hatalara yol açabilir. Tek bir merkezden yönetmek en sağlıklısıdır.
WordPress ve CMS Güvenlik Başlıkları
Birçok kişi eklenti (Plugin) kullanarak bu başlıkları halletmeye çalışır. Ancak bu verimsizdir. En doğru yöntem, bu talimatları eklentilere ihtiyaç duymadan doğrudan sunucu seviyesinde (Nginx Config veya .htaccess) vermektir.
Güvenlik Başlıkları ve Tarayıcı Uyarıları
Hatalı yapılandırmalar tarayıcı konsolunda "Refused to execute script because it violates the following CSP directive" gibi uyarılara yol açar. Bu sadece bir uyarı değil, sitenizdeki bir özelliğin çalışmadığının kanıtıdır.
Güvenlik Başlıkları ile SEO Cezaları İlişkisi
Doğrudan bir ceza (manual penalty) yoktur. Ancak bu başlıkların yokluğu nedeniyle siteniz hacklenirse veya "Kimlik Avı" (Phishing) damgası yerse, Google sitenizi indekslerden kalıcı olarak silebilir.
Kurumsal Sitelerde Güvenlik Başlığı Standardı
Bankalar, E-ticaret siteleri ve üyelik sistemleri için güvenlik başlıkları opsiyonel değil, yasal bir zorunluluktur. Güvenlik açığı olan bir platformda SEO başarısı aramak, temeli olmayan binaya kat çıkmaya benzer.
Güvenlik Başlıkları Kontrol Checklist’i
- CSP tanımlı mı ve "whitelist" mantığına uygun mu?
- HSTS aktif mi ve geçerli bir SSL ile destekleniyor mu?
- Referrer Policy analitik verilerini kör etmeyecek şekilde dengeli mi?
- Frame koruması (X-Frame-Options) en azından SAMEORIGIN seviyesinde mi?
- Sunucu yanıtlarında çift başlık basılmadığından emin misiniz?
25. Güvenlik Başlıkları Manifestosu – Net Hüküm
"Güvenlik doğrudan SEO değildir ama SEO’yu ayakta tutan iskelettir. Yanlış güvenlik başlığı siteyi öldürür, doğru yapılandırma ise sitenizi dijital bir kaleye dönüştürür. Görünmez ama kritiktir."
ZIRHINIZI KUŞANIN, OTORİTENİZİ KORUYUN.