كيف يؤثر أمان الموقع السيئ سلبًا على تصنيفات تحسين محركات البحث
نشرت: 2020-12-19"أمان الموقع" - لنكن صادقين هنا: متى كانت آخر مرة فكرت فيها بجدية في ذلك؟ متى كانت آخر مرة قضيتها أنت أو فريق تحسين محركات البحث لديك ثانيتين على أحدث اتجاهات الأمان لمواقع الويب؟
قد تنفق الشركات مليارات الدولارات على تحسين محركات البحث في الوقت الحالي ، لكن نسبة كبيرة من المؤسسات التي لديها مواقع ويب لا تفكر حتى في أمان مواقع الويب.
لماذا أمن الويب مهم
بصفتك رائد أعمال ، ربما تكون قد أنفقت مئات أو حتى آلاف الدولارات على مر السنين على التسويق وتحسين محركات البحث ، ولكن من الواضح أن الحلقة الأضعف في سلسلة التسويق الرقمي هي أمان موقع الويب:
- أظهر استطلاع أجرته Google مؤخرًا أن الأمريكيين يعرفون أقل مما يعتقدون بشأن أمان موقع الويب: 55٪ من الأمريكيين فوق سن 16 عامًا يمنحون أنفسهم A أو B في الأمان والأمن عبر الإنترنت ، لكن 70٪ منهم حددوا بشكل خاطئ شكل موقع الويب الآمن .
- أظهر استطلاع رأي أجراه هاريس في آذار (مارس) 2019 أن 97٪ من جيل الألفية المشاركين لديهم سؤال واحد على الأقل من أصل ستة أسئلة حول أمان موقع الويب .
- ارتفعت هجمات برامج الفدية (نوع من البرامج الضارة المصممة لمنع الوصول إلى نظام الكمبيوتر حتى يتم دفع مبلغ من المال) بنسبة 195٪ على الشركات الصغيرة والمتوسطة الحجم اعتبارًا من الربع الأول من عام 2019.
الحقيقة المحزنة هي أنه لا أحد يهتم حقًا بأمان موقع الويب حتى يواجه تهديدًا حقيقيًا بهجمات البرامج الضارة أو برامج الفدية. في حين أن الأفراد لديهم العديد من الطرق السهلة والميسورة التكلفة للبقاء آمنين على الويب ، فإن الشركات الصغيرة وحتى الشركات الأكبر ترى أنها تكلفة لا يريدون دفعها وعملية معقدة لا يريدون تعلمها ، لذا فهم لا يريدون ذلك. على استعداد ليكون استباقي.
مع هذا التهديد الذي يلوح في الأفق على كل موقع تجاري وخدمي ، أصبح استثمار الوقت والمال في أمان موقع الويب أكثر أهمية كل يوم. لأنه إذا تم اختراق موقع الويب الخاص بك ، فسيتم اختراق عملك بالكامل.
الغوص بشكل أعمق:
- 9 تقنيات فعالة لتحسين محركات البحث لجذب حركة المرور العضوية في عام 2019
- ما هي أكبر أخطاء موقع الويب التي تقلل من تصنيف SEO الخاص بي؟
- كيف يمكن أن تكون Blockchain مفيدة في منع الاحتيال الرقمي
- الفصل 1: شرح blockchain: شبكة الند للند المطلقة
الخطوة الأولى نحو موقع آمن
تبدأ أساسيات أمان موقع الويب بـ SSL / TLS على HTTP الموجود لديك.
- ترمز SSL إلى Secure Sockets Layer ، وباختصار ، إنها التكنولوجيا القياسية للحفاظ على اتصال الإنترنت آمنًا وحماية أي بيانات حساسة يتم إرسالها بين نظامين ، مما يمنع المجرمين من قراءة وتعديل أي معلومات يتم نقلها ، بما في ذلك التفاصيل الشخصية المحتملة.
- يرمز TLS إلى أمان طبقة النقل وهو مجرد إصدار محدث وأكثر أمانًا من SSL. ما زلنا نشير إلى شهادات الأمان الخاصة بنا باسم SSL لأنه مصطلح أكثر شيوعًا ، ولكن عندما تشتري SSL من Symantec ، فأنت في الواقع تشتري أحدث شهادات TLS.
ما الفرق بين HTTP و HTTPS؟ حسب SEOPressor:
- يرمز HTTP إلى بروتوكول Hypertext Transfer Protocol . في أبسط صوره ، يسمح بالاتصال بين الأنظمة المختلفة. يتم استخدامه بشكل شائع لنقل البيانات من خادم ويب إلى متصفح للسماح للمستخدمين بعرض صفحات الويب. إنه البروتوكول الذي تم استخدامه بشكل أساسي لجميع مواقع الويب المبكرة.
- HTTPS هي اختصار لـ Hypertext Transfer Protocol Secure . تكمن مشكلة بروتوكول HTTP العادي في أن المعلومات التي تتدفق من خادم إلى متصفح غير مشفرة ، مما يعني أنه يمكن سرقتها بسهولة . تعالج بروتوكولات HTTPS هذا باستخدام شهادة SSL ، مما يساعد على إنشاء اتصال مشفر آمن بين الخادم والمتصفح ، وبالتالي حماية المعلومات الحساسة من السرقة عند نقلها بين الخادم والمتصفح:
التحول من HTTP إلى HTTPS ليس معقدًا ولا يستغرق وقتًا طويلاً (راجع "كيفية إضافة HTTPS إلى موقع الويب الخاص بك" أدناه). باستخدام HTTPS ، يمكن لكل من الخوادم والعملاء متابعة المحادثة بنفس الطريقة ، ولكن مع التشفير الكامل لطلباتهم واستجاباتهم (أي البيانات):
ومع ذلك ، ليس كل شيء آمنًا مع طبقة التشفير الإضافية هذه. لا تضمن شهادة SSL الأمان الكامل. حتى مواقع HTTPS تواجه نصيبها العادل من هجمات التصيد الاحتيالي.
هذا هو السبب الذي يجعلك بحاجة إلى اتخاذ التدابير المناسبة للحفاظ على أمان موقعك وعدم الاعتماد فقط على HTTPS للحصول على أمان كامل للموقع.
الغوص بشكل أعمق:
- كيفية تصميم تجربة المستخدم لموقع أو تطبيق لزيادة التحويلات
- 9 أفضل مزودي استضافة المواقع
هل HTTPS إشارة تصنيف؟
يعد التحول من HTTP إلى HTTPS خطوة بسيطة يمكنها دفع عملك إلى الأمام على SERPs من Google ، لأن Google تضع علامة على كل موقع على أنه "غير آمن" ما لم يكن لديه شهادة HTTPS.
في البداية ، كان HTTPS إشارة ترتيب خفيفة ، ثم بمرور الوقت ، وضعت Google وزناً أكبر على HTTPS كإشارة تصنيف. اعتبارًا من أغسطس 2014 ، أعلنت Google أن HTTPS هو إشارة ترتيب:
اليوم ، HTTPS هو الطفل الملصق للثقة والأمان ، مما يؤثر بشكل مباشر على تجربة المستخدم وتحسين محركات البحث في الموقع. في الواقع ، اعتبارًا من يوليو 2018 ، يتلقى جميع زوار المواقع التي لا تحتوي على شهادة TLS إشعار "غير آمن" من Google:
أدت هذه الإخطارات إلى ظهور مواقع الويب بدون طبقة SSL الإضافية التي شهدت انخفاضًا في حركة المرور ومعدلات التحويل. الآن من الآمن القول أنه أصبح جانبًا مهمًا من جوانب تحسين محركات البحث الفنية.
الغوص بشكل أعمق:
- 7 طرق لتحسين ترتيبك لتحسين ترتيبك في عام 2019
- 17 من أفضل أدوات تحسين محركات البحث المجانية (أو Freemium) لتحسين ترتيبك
- كيف (ولماذا) إنشاء هيكل محتوى فعال لترتيب أفضل
- ما هو Enterprise SEO؟ (التعريف والأمثلة والأدوات!)
كيفية إضافة HTTPS إلى موقع الويب الخاص بك
فيما يلي بعض الخطوات السهلة التي يمكنك اتباعها للتبديل من HTTP إلى HTTPS:
شراء شهادة SSL
شراء شهادة SSL ليس بهذه الصعوبة. أولاً ، تحقق مع شركة استضافة الويب الخاصة بك. هل تتضمن خطة الاستضافة الخاصة بك شهادة؟ إذا كان السعر ونوع الشهادة متوافقين مع متطلباتك ، فتحدث معهم حول إضافتهما إلى خدمتك.
بدلاً من ذلك ، يمكنك البحث عن المراجع المصدقة. ابحث عن أنواع الشهادات والأسعار المفضلة. بعد ذلك ، قم بشراء شهادتك وتحقق منها. يمكن أن تكون شهادات SSL من أنواع مختلفة ، بما في ذلك DV و OV و EV و Multi-website و wildcards.
يمكن لـ CertWizard في Digicert أن يرشدك إلى نوع شهادة SSL التي تحتاجها:
تحقق من الشهادة وقم بتثبيتها
بمجرد شراء شهادة SSL التي تلبي متطلباتك ، فقد حان الوقت للتحقق منها. قد يستغرق التحقق ما بين دقيقتين إلى بضعة أيام ، حسب نوع شهادتك.
بعد تلقي كلمة من المرجع المصدق ، قم بتنزيل الملفات.
ستعتمد عملية التثبيت على مصدر شهادتك. عادةً ما تتولى خدمات استضافة الويب عملية التثبيت وتبسيط الخطوات لمشرف الموقع.
إليك كيفية تثبيت شهادتك المشتراة من خارج خدمة استضافة الويب الخاصة بك:
- قم بتسجيل الدخول إلى حساب مدير استضافة الويب الخاص بك.
- انتقل إلى خيار "تثبيت شهادة SSL".
- أدخل شهادة SSL ، واسم المجال الخاص بك الذي يحتاج إلى SSL والمفتاح الخاص بك (يجب أن يزودك المرجع المصدق بالمفتاح وشهادة SSL).
- انقر فوق "تثبيت".
تحقق من صحة شهادة SSL
الخطوة التالية هي التحقق من الصحة ، ولهذا تحتاج إلى تسجيل الخروج من مدير استضافة الويب وواجهة محرر موقع الويب. بعد ذلك ، تحقق من شريط العناوين - هل يُظهر علامة HTTPS؟ بصرف النظر عن عنوان HTTPS ، يجب أن تشاهد ما يلي:
- قفل أخضر في شريط العنوان
- اسم عملك (شهادات EV)
- شريط عنوان أخضر (شهادات EV)
- ختم الأمان في الموقع لشارة الثقة أو الثقة (اعتمادًا على نوع الشهادة والمرجع المصدق):
يجب عليك استخدام أداة SSL checker فقط في حالة التأكد من حالة أمان موقع الويب الخاص بك.
تحديث روابط موقع الويب الخاص بك
يجب أن يؤدي تثبيت شهادة SSL من خلال لوحة التحكم إلى تحويل موقع HTTP إلى HTTPS بسلاسة. بصرف النظر عن صفحات الموقع الرئيسية ، تحتاج إلى التحقق من المحتوى الآخر الذي يحتوي على روابط إلى موقعك:
- منشورات وسائل التواصل الاجتماعي والسير الذاتية
- مدونات استضافة محتوى موقعك
- ملفات تعريف التسويق والبيع عبر الويب
- ملفات تعريف المنتدى على الإنترنت
- مواقع الويب الشريكة التي تحمل رابطًا مباشرًا لشعار موقعك
ملاحظة: ضع في اعتبارك أن الوسائط الاجتماعية القديمة ومشاركات المدونة والارتباطات المضمنة قد تستمر في توجيه حركة المرور إلى إصدار HTTP من الموقع ، لذلك تحتاج إلى التمشيط يدويًا عبر مشاركاتك السابقة خارج الموقع لإصلاح هذه الروابط القديمة.
الغوص بشكل أعمق: كيفية إصلاح 15 من مشكلات تحسين محركات البحث الفنية الشائعة في الموقع
قم بتحديث ملف Sitemap الخاص بك
لا يمثل إنشاء خريطة موقع XML جديدة تحديًا. يمكنك القيام بذلك من حسابك في Google Analytics. تحقق من عنوان URL الافتراضي لموقع الويب الخاص بك في "إعدادات الموقع" ضمن خيار "الموقع" لحساب المسؤول الخاص بك.
قم بتحديث http: // إلى https: // واحفظ التغيير.
لتحديث خريطة الموقع ، قم بزيارة أدوات مشرفي المواقع:
- انتقل إلى Search Console
- انقر فوق الإعدادات - رمز الترس في أعلى اليمين
- حدد "تغيير العنوان"
ستأخذك Google عبر الخطوات التالية لتحديث خريطة الموقع ، بما في ذلك تحديد الموقع الجديد وتأكيد عمليات إعادة التوجيه 301. اضغط على "إرسال" بمجرد الانتهاء من إجراء التغييرات.
يعد الحصول على شهادة HTTPS وتثبيتها أمرًا سهلاً للغاية لجميع مستخدمي موقع الويب. الخطوات التي وصفناها أعلاه ذات صلة بجميع إصدارات WordPress وبعض أنظمة CMS الأخرى أيضًا.
إذا كان لديك مزود خدمة استضافة ويب موثوق به ، فيجب عليك التحدث إليهم من أجل التثبيت السريع والترحيل السلس لموقعك من HTTP إلى HTTPS عن طريق تعديل خطة الاستضافة الخاصة بك.
ما الذي يكمن وراء HTTPS في مجال الأمن السيبراني؟
في حين أن HTTPS ضروري ، إلا أنه ليس كل ما في أمان موقع الويب. تواجه مواقع الويب أنواعًا مختلفة من تهديدات الأمن السيبراني أثناء التشغيل ، مثل:
1) حقن SQL
حقنة SQL هي تقنية لحقن الشفرة وأسلوب سيو سلبي شائن قد ينشره مخترق مجرم (أو منافس لك) لإسقاط موقعك. يكتسب المهاجم الوصول إلى الواجهة الخلفية لقاعدة البيانات الخاصة بك عن طريق إدخال رموز في محتوى قاعدة بيانات ضعيف أو فاسد عبر إدخال صفحة الويب (مثل إدخال المستخدم "اسم المستخدم" الخاص به مع عبارة SQL). لا يزال أحد أكثر التهديدات شيوعًا لأنه فعال للغاية.
يمكن أن يؤثر على أي موقع ويب يستخدم خوادم MySQL و Oracle و SQL.
كيفية التحقق مما إذا كان موقع الويب الخاص بك يتعرض لهجوم حقن SQL
لمنع هجمات حقن SQL ، يمكنك إجراء عمليات فحص للثغرات الأمنية باستخدام برامج مكافحة فيروسات جديرة بالثقة. اكتشف ما إذا كان موقع الويب يتعرض لهجوم باستخدام أداة مثل اختبار حقن SQL عبر الإنترنت.
اتبع هذه القواعد لمنع هجمات حقن SQL:
- يجب ألا تقوم أبدًا بتضمين المدخلات مباشرة ، ولكن يجب تعقيم جميع المدخلات.
- قم بتوفير حقوق الوصول الضرورية فقط للحسابات المستخدمة للاتصال بقاعدة البيانات.
- لا تعرض عبارات SQL في رسائل الخطأ ؛ بدلاً من ذلك ، استخدم رسالة عامة.
2) أخطاء في التهيئة الأمنية
قد تتضمن التكوينات الخاطئة للأمان عدم وجود شهادة SSL ، لكنها عادة ما تشمل المزيد من العوامل. وهي تغطي تقريبًا جميع أنواع الثغرات الأمنية الناتجة عن نقص الصيانة والتحديث لتطبيقات مواقع الويب.
يمكن أن ينشأ خطأ في تكوين الأمان من المكونات الإضافية القديمة أو الإضافات غير المصرح بها إلى موقع ويب. يمكنهم توفير نافذة للمهاجمين لاستغلال المعلومات الحساسة في قاعدة بيانات الويب. بالإضافة إلى ذلك ، يمكن اختراق أمان قاعدة البيانات من خلال إساءة استخدام امتيازات المستخدم أو المصادقة الضعيفة أو ممارسات النسخ الاحتياطي للبيانات السيئة. بصرف النظر عن التسبب في هجمات رانسوم وير ناجحة ، يمكن أن يؤدي هذا أيضًا إلى إغلاق موقع الويب بالكامل.
كيفية تعزيز أمان موقع الويب المناسب
يبدأ أمان موقع الويب باستخدام HTTPS. ومع ذلك ، تحتاج إلى إلقاء نظرة أعمق على حالة المكونات الإضافية ، وتحديث محرك CMS ، وتثبيت برنامج أمان على موقعك. يجب تنفيذ التكوين الآمن على مستويات التطبيق وخادم التطبيق والإطار وخادم قاعدة البيانات وخادم الويب والنظام الأساسي.
هذه هي نقاط الضعف الأكثر شيوعًا التي يمكن أن تؤثر على أي موقع ويب اليوم. قد لا يكون تحديث موقعك إلى HTTPS كافيًا لإيقاف هذه الهجمات ، لذلك عليك التفكير فيما وراء شهادات SSL للحفاظ على قاعدة بيانات موقع الويب والمستخدمين بأمان.
3) البرمجة النصية عبر المواقع (XSS)
يتضمن XSS إدخال نصوص ضارة في مواقع الويب ، وهو أسلوب سلبي آخر لتحسين محركات البحث. يستفيد المهاجم من تطبيق ويب لإرسال تعليمات برمجية ضارة إلى المستخدم في شكل برنامج نصي للمتصفح.
من المرجح أن ينقر المستخدم المطمئن للموقع الموثوق به على الكود ، والذي يمنح وصول الكود إلى ملفات تعريف الارتباط الخاصة بالمستخدم ، والمعلومات الحساسة من جانب المتصفح ، ورموز الجلسة. يمكن لنصوص XSS أيضًا إعادة كتابة محتوى صفحات موقع ويب HTML.
كيفية التحقق مما إذا كان موقع الويب الخاص بك يتعرض لهجوم XSS
استخدم أداة مثل XSS Scanner:
ماذا تفعل لمنع هجمات XSS
يعد ترميز الإخراج المعتمد على السياق ضروريًا لمنع أي أمان لـ XSS. تحتوي معظم مواقع الويب الحديثة على عامل تصفية XSS. ومع ذلك ، فإنها تتطلب التطبيق الصحيح لترميز URL.
يحتاج مشرفو المواقع إلى السماح فقط بالارتباطات ذات البروتوكولات المدرجة في القائمة البيضاء مثل https: // s o لا توجد برامج نصية تحتوي على مخططات عناوين URL مثل javascript: // تظل محظورة.
4) التزوير عبر الموقع
يجبر CSRF المستخدم على تنفيذ إجراءات ربما لم يقصدها. إنه هجوم ضار يستهدف طلبات تغيير الحالة في الموقع.
تسمح الاستفادة من الهندسة الاجتماعية للمتسلل الإجرامي بخداع المستخدم النهائي لتنفيذ إجراءات مزايدة المهاجم. يمكن أن يشمل تحويل الأموال أو تقديم كلمات مرور أو تغيير عنوان بريدهم الإلكتروني. إذا كانت الضحية هي المسؤول عن موقع ويب ، فإن هجوم CSRF يمكن أن يعرض وظائف موقع الويب للشركة بأكملها للخطر.
وإذا كنت تعتقد أنك أذكى من أن يتم خداعك ، فكر مرة أخرى. تحقق من هذه الأنواع الستة الشائعة لهجمات الهندسة الاجتماعية من Norton:
- اصطياد
- التصيد / التصيد بالرمح
- اختراق البريد الإلكتروني والاتصال بالبريد الإلكتروني العشوائي
- ذريعة
- مقايضة
- التصيد
كيف يمكنك معرفة ما إذا كان موقع الويب الخاص بك خاضعًا لتزوير طلب عبر المواقع؟ فيما يلي إرشادات OWASP لتحديد CSRF.
كيفية إيقاف هجمات CSRP
HTTPS لا يكفي لإيقاف هجمات CSRF. يحتاج مسؤول الموقع إلى إضافة تجزئة إلى النماذج ، لكل طلب nonce إلى النماذج وعنوان URL ، والتحقق من رأس المرجع في طلب HTTP من العميل. تتضمن الخطوات الأخرى إضافة معرف جلسة إلى ViewState for.NET البرمجة النصية.
كيف يمكن أن يؤثر الاختراق على حركة المرور العضوية وتحسين محركات البحث لموقع الويب؟
المهاجمون لا يميزون بين المواقع من حيث الحجم وحركة المرور للهجمات. إليك كيف يمكن أن تؤثر على حركة المرور الخاصة بك وتحسين محركات البحث:
القائمة السوداء
تعد القائمة السوداء - عند إزالة موقع الويب الخاص بك من فهرس محركات البحث - من أخطر عواقب هجمات البرامج الضارة. نظرًا لأن معظم مواقع الويب لا تتلقى أي إشعار ، فيمكن استهدافها بشكل متكرر لهجمات برامج الفدية والبرامج الضارة. تحتوي العديد من مواقع الويب على ثغرات أمنية دائمة تجعلها عرضة لحقن SQL و XSS و CSRF وهجمات التصيد الاحتيالي.
قد يعني عدم تلقي أي إشعار خسارة مستمرة للمال والسمعة والزائرين عندما تكتشف Google السلوك الشاذ وتقوم بإدراج الموقع في القائمة السوداء. العثور على نفسك في القائمة السوداء هو نهاية كل حركة المرور وتحسين محركات البحث لأي موقع ويب. ومع ذلك ، فهذه طريقة واحدة للبدء من المربع الأول بموقع نظيف.
أخطاء في الزحف
تقوم برامج الكشط بالزحف إلى المواقع لكشط المحتوى وحظر روبوتات محركات البحث والمشاركة في سرقة البيانات. يمكن أيضًا أن تحصل تصنيفات SERP الخاصة بك على نجاح عندما تنشئ برامج الروبوت محتوى مكررًا في موقع آخر. يمكنهم إنشاء أخطاء 404 و 503 في Google Search Console. هم مسؤولون عن إنشاء حلقات لا نهائية كثيفة الموارد.
عند العثور على محتوى مكرر ، قم بتقديم شكوى بموجب قانون الألفية الجديدة لحقوق طبع ونشر المواد الرقمية إلى Google. يمكن أن ينتج عن التحليل الروتيني لملفات السجل باستخدام الأدوات المتميزة قائمة شاملة بالروبوتات التي تزحف إلى موقعك. حدد مصدرها لفصل الروبوتات الجيدة عن السيئة.
الغوص بشكل أعمق: توقف Google عن دعم Robots.txt Noindex: ماذا يعني ذلك بالنسبة لك
SEO البريد العشوائي
يمكن للمتسللين المجرمين تحقيق رسائل غير مرغوب فيها لتحسين محركات البحث من خلال حقن SQL ، مما قد يؤدي إلى إدراج موقع الويب الخاص بك في القائمة السوداء أو التغيير الكامل لكيفية ظهور موقعك في SERPs من Google. يمكنهم أيضًا تقليل سرعة موقع الويب الخاص بك ، والتي تعد واحدة من أفضل إشارات الترتيب.
أنت بحاجة إلى مكونات إضافية للأمان وأدوات تحسين محركات البحث التي يمكنها اكتشاف النشاط الضار في الوقت الفعلي على موقعك. تصحيح الثغرات أمر ضروري للغاية. تحقق من الأنظمة الأساسية المدفوعة التي توفر مراقبة مفيدة لمواقع الويب ، مثل Sucuri ، الشركة الرائدة في مجال أمان WordPress (إنها خدمة مدفوعة ، لكنها تقدم مسحًا محدودًا لـ WordPress مجانًا).
افكار اخيرة
في نهاية اليوم ، يجب ألا تجعل Google برنامج مكافحة الفيروسات. تضع Google علامة على المواقع غير الموثوق بها وتضع قائمة سوداء بالمواقع التي تشكل تهديدًا للمستخدمين ، لكن الاعتماد على تحديثات Google ليس طريقة استباقية لرعاية أمان موقعك وتحسين محركات البحث.
إذا كنت ترغب في تحسين مُحسّنات محرّكات البحث وتحسين حركة مرور موقعك على الويب ، فابدأ دائمًا بـ HTTPS. بعد ذلك ، فكر في الاستثمار في نظام مراقبة موقع الويب الذي يراقب ما وراء شهادة SSL لموقعك.