Wie sich schlechte Website-Sicherheit negativ auf SEO-Rankings auswirkt

"Website-Sicherheit" - seien wir ehrlich: Wann haben Sie das letzte Mal ernsthaft darüber nachgedacht? Wann haben Sie oder Ihr SEO-Team das letzte Mal zwei Sekunden mit den neuesten Sicherheitstrends für Websites verbracht?

Unternehmen geben derzeit möglicherweise Milliarden von Dollar für SEO aus, aber ein erheblicher Prozentsatz der Unternehmen mit Websites denkt nicht einmal an die Sicherheit von Websites.

Warum Web-Sicherheit wichtig ist

Als Unternehmer haben Sie im Laufe der Jahre wahrscheinlich Hunderte oder sogar Tausende von Dollar für Marketing und SEO ausgegeben, aber das schwächste Glied in der digitalen Marketingkette ist eindeutig die Sicherheit von Websites:

• Eine kürzlich von Google durchgeführte Umfrage zeigt, dass Amerikaner weniger über die Sicherheit von Websites wissen, als sie glauben: 55% der Amerikaner über 16 geben sich ein A oder B für Online-Sicherheit, aber 70% von ihnen haben fälschlicherweise festgestellt, wie eine sichere Website aussieht .
• Eine Harris-Umfrage vom März 2019 zeigt, dass 97% der teilnehmenden Millennials mindestens eine von sechs Fragen zur Website-Sicherheit falsch beantworten .
• Ransomware-Angriffe (eine Art bösartiger Software, die den Zugriff auf ein Computersystem blockieren soll, bis ein Geldbetrag gezahlt wird) sind im ersten Quartal 2019 bei kleinen und mittleren Unternehmen um 195% gestiegen.

Die traurige Wahrheit ist, dass sich niemand wirklich um die Sicherheit der Website kümmert, bis er einer echten Bedrohung durch Malware- oder Ransomware-Angriffe ausgesetzt ist. Während Einzelpersonen mehrere einfache und erschwingliche Möglichkeiten haben, im Internet sicher zu bleiben, sehen kleine Unternehmen und sogar größere Unternehmen dies als Kosten, die sie nicht bezahlen möchten, und als komplexen Prozess, den sie nicht lernen möchten, also nicht bereit, proaktiv zu sein.

Angesichts dieser Bedrohung, die sich auf jeder Geschäfts- und Service-Site abzeichnet, wird es von Tag zu Tag wichtiger, Zeit und Geld in die Sicherheit der Website zu investieren. Denn wenn Ihre Website kompromittiert wird, ist Ihr gesamtes Unternehmen gefährdet.

Tiefer tauchen:

• 9 Effektive SEO-Techniken zur Steigerung des organischen Verkehrs im Jahr 2019
• Was sind die größten Website-Fehler, die mein SEO-Ranking senken?
• Wie Blockchain zur Verhinderung von digitalem Betrug beitragen kann
• Kapitel 1: Blockchain erklärt: Das ultimative Peer-to-Peer-Netzwerk

Erster Schritt in Richtung einer sicheren Website

Die Grundlagen der Website-Sicherheit beginnen mit SSL / TLS auf Ihrem vorhandenen HTTP.

• SSL steht für Secure Sockets Layer und ist kurz gesagt die Standardtechnologie zum Schutz einer Internetverbindung und zum Schutz sensibler Daten, die zwischen zwei Systemen gesendet werden. So wird verhindert, dass Kriminelle übertragene Informationen lesen und ändern, einschließlich potenzieller persönlicher Daten.
• TLS steht für Transport Layer Security und ist nur eine aktualisierte, sicherere Version von SSL. Wir bezeichnen unsere Sicherheitszertifikate immer noch als SSL, da dies ein häufiger verwendeter Begriff ist. Wenn Sie jedoch SSL von Symantec kaufen, kaufen Sie tatsächlich die aktuellsten TLS-Zertifikate.

Was ist der Unterschied zwischen HTTP und HTTPS? Laut SEOPressor:

• HTTP steht für Hypertext Transfer Protocol . Im einfachsten Fall ermöglicht es die Kommunikation zwischen verschiedenen Systemen. Es wird am häufigsten verwendet, um Daten von einem Webserver an einen Browser zu übertragen, damit Benutzer Webseiten anzeigen können. Es ist das Protokoll, das für praktisch alle frühen Websites verwendet wurde.
• HTTPS steht für Hypertext Transfer Protocol Secure . Das Problem mit dem regulären HTTP-Protokoll besteht darin, dass die Informationen, die vom Server zum Browser fließen, nicht verschlüsselt sind, was bedeutet, dass sie leicht gestohlen werden können . HTTPS-Protokolle können hier Abhilfe schaffen, indem sie ein SSL-Zertifikat verwenden , mit dessen Hilfe eine sichere verschlüsselte Verbindung zwischen dem Server und dem Browser hergestellt wird, wodurch potenziell vertrauliche Informationen vor Diebstahl geschützt werden, wenn sie zwischen dem Server und dem Browser übertragen werden:

Der Wechsel von HTTP zu HTTPS ist weder kompliziert noch zeitaufwändig (siehe „Hinzufügen von HTTPS zu Ihrer Website“ weiter unten). Mit HTTPS können sowohl Server als auch Clients auf dieselbe Weise weiter kommunizieren, jedoch mit vollständiger Verschlüsselung ihrer Anforderungen und Antworten (dh Daten):

Mit dieser zusätzlichen Verschlüsselungsebene ist jedoch nicht alles sicher. Die SSL-Zertifizierung gewährleistet keine vollständige Sicherheit. Sogar HTTPS-Sites sind mit einem angemessenen Anteil an Phishing-Angriffen konfrontiert.

Dies ist der Grund, warum Sie angemessene Maßnahmen ergreifen müssen, um Ihre Site sicher zu halten, und sich nicht nur auf HTTPS verlassen müssen, um die vollständige Site-Sicherheit zu gewährleisten.

Tiefer tauchen:

• So gestalten Sie die Benutzeroberfläche einer Website oder App, um die Conversions zu steigern
• 9 besten Webhosting-Anbieter

Ist HTTPS ein Ranking-Signal?

Der Wechsel von HTTP zu HTTPS ist ein einfacher Schritt, der Ihr Unternehmen auf den SERPs von Google voranbringen kann, da Google jede Website als "unsicher" kennzeichnet, sofern sie nicht über eine HTTPS-Zertifizierung verfügt.

Zuerst war HTTPS ein leichtes Ranking-Signal, und dann legte Google im Laufe der Zeit mehr Gewicht auf HTTPS als Ranking-Signal. Ab August 2014 gab Google bekannt, dass HTTPS ein Ranking-Signal ist:

Heute ist HTTPS das Aushängeschild des Vertrauens und der Sicherheit und beeinflusst direkt die UX und die SEO einer Website. Ab Juli 2018 erhalten alle Besucher von Websites ohne TLS-Zertifikat eine "nicht sichere" Benachrichtigung von Google:

Diese Benachrichtigungen haben dazu geführt, dass Websites ohne die zusätzliche SSL-Schicht weniger Verkehr und Conversion-Raten aufweisen. Jetzt kann man mit Sicherheit sagen, dass es zu einem wichtigen Aspekt der technischen Suchmaschinenoptimierung geworden ist.

Tiefer tauchen:

• 7 SEO-Hacks zur Steigerung Ihres Rankings im Jahr 2019
• 17 besten kostenlosen (oder Freemium) SEO-Tools zur Verbesserung Ihres Rankings
• Wie (und warum) Sie eine effektive Inhaltsstruktur für ein besseres Ranking erstellen
• Was ist Enterprise SEO? (Definition, Beispiele & Tools!)

So fügen Sie Ihrer Website HTTPS hinzu

Hier sind einige einfache Schritte, die Sie ausführen können, um von HTTP zu HTTPS zu wechseln:

Kaufen Sie ein SSL-Zertifikat

Der Kauf eines SSL-Zertifikats ist nicht so schwierig. Wenden Sie sich zunächst an Ihr Webhosting-Unternehmen. Enthält Ihr Hosting-Plan ein Zertifikat? Wenn der Preis und der Zertifikatstyp Ihren Anforderungen entsprechen, sprechen Sie mit ihnen über das Hinzufügen zu Ihrem Service.

Alternativ können Sie nach Zertifizierungsstellen suchen. Suchen Sie nach bevorzugten Preisen und Zertifikatstypen. Als nächstes kaufen und überprüfen Sie Ihr Zertifikat. Es gibt verschiedene Arten von SSL-Zertifikaten, einschließlich DV, OV, EV, Multi-Website und Platzhalter.

Der CertWizard von Digicert führt Sie durch die Art des benötigten SSL-Zertifikats:

Überprüfen und installieren Sie das Zertifikat

Sobald Sie das SSL-Zertifikat erworben haben, das Ihren Anforderungen entspricht, ist es Zeit, es zu überprüfen. Die Überprüfung kann je nach Zertifikatstyp zwischen einigen Minuten und einigen Tagen dauern.

Laden Sie die Dateien herunter, nachdem Sie eine Nachricht von Ihrer Zertifizierungsstelle erhalten haben.

Der Installationsvorgang hängt von der Quelle Ihres Zertifikats ab. Webhosting-Dienste übernehmen normalerweise die Installation und optimieren die Schritte für den Webmaster.

So können Sie Ihr Zertifikat installieren, das Sie außerhalb Ihres Webhosting-Dienstes gekauft haben:

• Melden Sie sich bei Ihrem Webhosting-Manager-Konto an.
• Gehen Sie zur Option "SSL-Zertifikat installieren".
• Geben Sie das SSL-Zertifikat, Ihren Domainnamen, der das SSL benötigt, und Ihren Schlüssel ein (Ihre Zertifizierungsstelle sollte Ihnen den Schlüssel und das SSL-Zertifikat zur Verfügung stellen).
• Klicken Sie auf "Installieren".

Überprüfen Sie das SSL-Zertifikat

Der nächste Schritt ist die Validierung. Dazu müssen Sie sich von Ihrem Webhosting-Manager und der Website-Editor-Oberfläche abmelden. Überprüfen Sie dann die Adressleiste - wird das HTTPS-Tag angezeigt? Abgesehen von der HTTPS-Adresse sollte Folgendes angezeigt werden:

• Ein grünes Vorhängeschloss in der Adressleiste
• Ihr Firmenname (EV-Zertifikate)
• Eine grüne Adressleiste (EV-Zertifikate)

• Das Sicherheits-Vertrauenssiegel oder das Vertrauensabzeichen vor Ort (abhängig vom Zertifikatstyp und der Zertifizierungsstelle):

Sie sollten für alle Fälle ein SSL-Prüftool verwenden, um den Status Ihrer Website-Sicherheit zu gewährleisten.

Aktualisieren Sie Ihre Website-Links

Durch die Installation des SSL-Zertifikats über die Systemsteuerung sollte Ihre HTTP-Site nahtlos auf HTTPS umgestellt werden. Abgesehen von den Hauptseiten der Website müssen Sie andere Inhalte überprüfen, die Links zu Ihrer Website enthalten:

• Social Media Beiträge und Bios
• Blogs zum Hosten Ihrer Website-Inhalte
• Marketing- und Verkaufsprofile im Internet
• Forum Profile online
• Partner-Websites, die einen direkten Link zu Ihrem Site-Logo enthalten

Hinweis: Beachten Sie, dass Ihre alten sozialen Medien, Blog-Beiträge und eingebetteten Links möglicherweise weiterhin Datenverkehr auf die HTTP-Version der Website leiten. Sie müssen daher Ihre früheren externen Beiträge manuell durchkämmen, um diese alten Links zu reparieren.

Tiefer tauchen: So beheben Sie 15 häufig auftretende technische SEO-Probleme vor Ort

Aktualisieren Sie Ihre Sitemap

Das Generieren einer neuen XML-Sitemap ist keine Herausforderung. Sie können dies über Ihr Google Analytics-Konto tun. Überprüfen Sie die Standard-URL Ihrer Website in den "Eigenschafteneinstellungen" unter der Option "Eigenschaft" Ihres Administratorkontos.

Aktualisieren Sie http: // auf https: // und speichern Sie die Änderung.

Um die Sitemap zu aktualisieren, besuchen Sie die Webmaster-Tools:

• Gehen Sie zur Suchkonsole
• Klicken Sie auf Einstellungen - das Zahnradsymbol oben rechts
• Wählen Sie "Adressänderung"

Google führt Sie durch die nächsten Schritte zum Aktualisieren der Sitemap, einschließlich der Auswahl der neuen Website und der Bestätigung von 301 Weiterleitungen. Klicken Sie auf "Senden", sobald Sie die Änderungen vorgenommen haben.

Das Erwerben und Installieren eines HTTPS-Zertifikats ist für alle Website-Benutzer recht einfach. Die oben beschriebenen Schritte sind für alle Versionen von WordPress und einige andere CMS-Plattformen relevant.

Wenn Sie einen zuverlässigen Webhosting-Dienstleister haben, sollten Sie mit ihm sprechen, um eine schnelle Installation und nahtlose Migration Ihrer Website von HTTP zu HTTPS zu erreichen, indem Sie Ihren Hosting-Plan anpassen.

Was liegt jenseits von HTTPS im Bereich der Cybersicherheit?

Während HTTPS unerlässlich ist, ist es nicht alles, was die Sicherheit der Website ausmacht. Websites sind während des Betriebs vielen verschiedenen Arten von Cybersicherheitsbedrohungen ausgesetzt, z.

1) SQL-Injektionen

Eine SQL-Injection ist eine Code-Injection-Technik und eine schändliche negative SEO-Technik, die ein krimineller Hacker (oder Ihr Konkurrent) einsetzen kann, um Ihre Website zum Absturz zu bringen. Der Angreifer erhält Zugriff auf das Backend Ihrer Datenbank, indem er Codes über die Eingabe von Webseiten in anfällige oder beschädigte Datenbankinhalte einfügt (z. B. wenn ein Benutzer seinen „Benutzernamen“ mit einer SQL-Anweisung eingibt). Es ist immer noch eine der häufigsten Bedrohungen, da es sehr effektiv ist.

Dies kann sich auf jede Website auswirken, die MySQL-, Oracle- und SQL-Server verwendet.

So überprüfen Sie, ob Ihre Website einem SQL-Injection-Angriff ausgesetzt ist

Um SQL-Injection-Angriffe zu verhindern, können Sie Schwachstellenscans mit vertrauenswürdigen Antivirensoftwareprogrammen ausführen. Finden Sie mithilfe eines Tools wie SQL Injection Test Online heraus, ob auf der Website ein Angriff erfolgt.

Befolgen Sie diese Regeln, um SQL-Injection-Angriffe zu verhindern:

• Sie sollten die Eingabe niemals direkt einschließen, sondern alle Eingaben bereinigen.
• Stellen Sie nur die erforderlichen Zugriffsrechte für Konten bereit, die für die Verbindung mit der Datenbank verwendet werden.
• Zeigen Sie keine SQL-Anweisungen in Fehlermeldungen an. Verwenden Sie stattdessen eine generische Nachricht.

2) Fehlkonfigurationen in der Sicherheit

Sicherheitsfehlkonfigurationen können das Fehlen eines SSL-Zertifikats beinhalten, sie umfassen jedoch normalerweise mehr Faktoren. Sie decken fast alle Arten von Sicherheitslücken ab, die sich aus der mangelnden Wartung und Aktualisierung von Website-Anwendungen ergeben.

Eine Sicherheitsfehlkonfiguration kann durch veraltete Plug-Ins oder nicht autorisierte Add-Ons von Drittanbietern zu einer Website verursacht werden. Sie können Angreifern ein Fenster bieten, in dem sie vertrauliche Informationen in einer Webdatenbank ausnutzen können. Darüber hinaus kann die Datenbanksicherheit durch Missbrauch von Benutzerrechten, schwache Authentifizierung oder schlechte Datensicherungspraktiken beeinträchtigt werden. Dies kann nicht nur zu erfolgreichen Ransomware-Angriffen führen, sondern auch zum vollständigen Herunterfahren der Website.

So verstärken Sie die ordnungsgemäße Website-Sicherheit

Die Sicherheit der Website beginnt mit HTTPS. Sie müssen sich jedoch eingehender mit dem Status Ihrer Plug-Ins befassen, Ihre CMS-Engine aktualisieren und Sicherheitssoftware auf Ihrer Site installieren. Die sichere Konfiguration muss auf Anwendungs-, Anwendungsserver-, Framework-, Datenbankserver-, Webserver- und Plattformebene implementiert werden.

Dies sind die häufigsten Sicherheitslücken, die heute eine Website betreffen können. Das Aktualisieren Ihrer Website auf HTTPS reicht möglicherweise nicht aus, um diese Angriffe zu stoppen. Sie müssen daher über SSL-Zertifikate hinausdenken, um die Sicherheit Ihrer Website-Datenbank und Ihrer Benutzer zu gewährleisten.

3) Cross-Site Scripting (XSS)

XSS beinhaltet das Einfügen von schädlichen Skripten in Websites und ist eine weitere negative SEO-Taktik. Der Angreifer nutzt eine Webanwendung, um schädlichen Code in Form eines Browserskripts an den Benutzer zu senden.

Der ahnungslose Benutzer der vertrauenswürdigen Site klickt wahrscheinlich auf den Code, der dem Code Zugriff auf die Cookies des Benutzers, vertrauliche Informationen auf der Browserseite und Sitzungstoken gewährt. XSS-Skripte können auch den Inhalt von HTML-Website-Seiten neu schreiben.

So überprüfen Sie, ob Ihre Website einem XSS-Angriff ausgesetzt ist

Verwenden Sie ein Tool wie den XSS-Scanner:

Was tun, um XSS-Angriffe zu verhindern?

Eine kontextabhängige Ausgabecodierung ist erforderlich, um eine XSS-Sicherheit zu verhindern. Die meisten modernen Websites enthalten einen XSS-Filter. Sie erfordern jedoch die korrekte Anwendung der URL-Codierung.

Webmaster müssen nur Links mit Protokollen auf der Whitelist wie https: // zulassen, damit keine Skripte mit URL-Schemata wie javascript: // gesperrt bleiben.

4) Fälschung von standortübergreifenden Anfragen

CSRF zwingt den Benutzer, Aktionen auszuführen, die er möglicherweise nicht beabsichtigt hat. Es handelt sich um einen böswilligen Angriff, der auf die Statusänderungsanforderungen vor Ort abzielt.

Durch die Nutzung von Social Engineering kann der kriminelle Hacker den Endbenutzer dazu verleiten, Aktionen auszuführen, bei denen der Angreifer Gebote abgibt. Dies kann die Überweisung von Geldern, die Bereitstellung von Passwörtern oder die Änderung der E-Mail-Adresse umfassen. Wenn das Opfer der Administrator einer Website ist, kann ein CSRF-Angriff die Website-Funktionen des gesamten Unternehmens beeinträchtigen.

Und wenn Sie denken, Sie sind zu schlau, um betrogen zu werden, denken Sie noch einmal darüber nach. Schauen Sie sich diese 6 gängigen Arten von Social-Engineering-Angriffen von Norton an:

• Köder
• Phishing / Spear Phishing
• E-Mail-Hacking und Kontakt-Spam
• Vorwand
• Gegenleistung
• Vishing

Wie können Sie feststellen, ob Ihre Website einer Fälschung einer standortübergreifenden Anfrage unterliegt? Hier sind die Richtlinien von OWASP zur Identifizierung eines CSRF.

So stoppen Sie CSRP-Angriffe

HTTPS reicht nicht aus, um CSRF-Angriffe zu stoppen. Der Site-Administrator muss den Formularen einen Hash hinzufügen, die Formulare und die URL pro Anforderung nicht überprüfen und den Referrer-Header in der HTTP-Anforderung vom Client überprüfen. Weitere Schritte umfassen das Hinzufügen einer Sitzungskennung zu ViewState for.NET-Skripten.

Wie kann sich ein Hack auf den organischen Verkehr und die Suchmaschinenoptimierung einer Website auswirken?

Angreifer unterscheiden nicht zwischen Websites hinsichtlich ihrer Größe und des Datenverkehrs für Angriffe. So kann es sich sowohl auf Ihren Traffic als auch auf Ihre SEO auswirken:

Blacklisting

Blacklisting - wenn Ihre Website aus dem Suchmaschinenindex entfernt wird - ist eine der schwerwiegendsten Folgen von Malware-Angriffen. Da die meisten Websites keine Benachrichtigung erhalten, können sie wiederholt auf Ransomware- und Malware-Angriffe ausgerichtet werden. Einige Websites weisen dauerhafte Sicherheitslücken auf, die sie für SQL-Injektionen, XSS-, CSRF- und Phishing-Angriffe anfällig machen.

Wenn Sie keine Benachrichtigung erhalten, kann dies zu einem kontinuierlichen Verlust von Geld, Ansehen und Besuchern führen, wenn Google das anomale Verhalten erkennt und die Website auf eine schwarze Liste setzt. Sich auf der schwarzen Liste zu befinden, ist das Ende des gesamten Datenverkehrs und der Suchmaschinenoptimierung für jede Website. Es ist jedoch eine Möglichkeit, mit einer sauberen Site von Anfang an zu beginnen.

Fehler beim Crawlen

Scraper-Bots crawlen Websites, um Inhalte zu kratzen, Suchmaschinen-Bots zu blockieren und Datendiebstahl zu betreiben. Ihre SERP-Rangliste kann auch einen Treffer erzielen, wenn Scraper-Bots doppelte Inhalte an einem anderen Ort erstellen. Sie können 404- und 503-Fehler in Ihrer Google Search Console verursachen. Sie sind für die Erstellung ressourcenintensiver Endlosschleifen verantwortlich.

Wenn Sie doppelte Inhalte gefunden haben, reichen Sie eine DMCA-Beschwerde bei Google ein. Die routinemäßige Analyse von Protokolldateien mit Premium-Tools kann eine umfassende Liste von Bots erstellen, die Ihre Site crawlen. Identifizieren Sie ihre Quelle, um die guten Bots von den schlechten zu trennen.

Tiefer tauchen: Google hört auf, Robots.txt zu unterstützen Noindex: Was das für Sie bedeutet

SEO Spam

Kriminelle Hacker können SEO-Spam durch SQL-Injektionen erreichen, was dazu führen kann, dass Ihre Website auf die schwarze Liste gesetzt wird oder die Darstellung Ihrer Website in den Google-SERPs vollständig geändert wird. Sie können auch die Geschwindigkeit Ihrer Website verringern, was eines der Top-Ranking-Signale ist.

Sie benötigen Sicherheits-Plug-Ins und SEO-Tools, mit denen böswillige Aktivitäten in Echtzeit auf Ihrer Website erkannt werden können. Das Patchen der Sicherheitslücken ist unbedingt erforderlich. Schauen Sie sich kostenpflichtige Plattformen an, die eine umfassende Überwachung von Websites bieten, z. B. Sucuri, ein Branchenführer für WordPress-Sicherheit (es handelt sich um einen kostenpflichtigen Dienst, der jedoch nur eingeschränkt kostenloses WordPress-Scannen bietet).

Abschließende Gedanken

Letztendlich dürfen Sie Google nicht zu Ihrem Antivirenprogramm machen. Google kennzeichnet unzuverlässige Websites und listet diejenigen auf, die eine Bedrohung für die Nutzer darstellen. Das Verlassen auf die Updates von Google ist jedoch keine proaktive Methode, um die Sicherheit und SEO Ihrer Website zu gewährleisten.

Wenn Sie Ihre SEO verbessern und Ihren Website-Verkehr verbessern möchten, beginnen Sie immer mit HTTPS. Denken Sie dann darüber nach, in ein Website-Überwachungssystem zu investieren, das über die SSL-Zertifizierung Ihrer Website hinaus überwacht.