Comment une mauvaise sécurité du site Web a un impact négatif sur le classement SEO

«Sécurité du site Web» - soyons honnêtes ici: à quand remonte la dernière fois que vous y avez sérieusement pensé? À quand remonte la dernière fois que vous ou votre équipe SEO avez passé deux secondes sur les dernières tendances en matière de sécurité pour les sites Web?

Les entreprises dépensent peut-être des milliards de dollars en référencement à l'heure actuelle, mais un pourcentage important d'entreprises disposant de sites Web ne pensent même pas à la sécurité des sites Web.

Pourquoi la sécurité Web est importante

En tant qu'entrepreneur, vous avez probablement dépensé des centaines, voire des milliers de dollars au fil des ans en marketing et en référencement, mais le maillon le plus faible de la chaîne de marketing numérique est clairement la sécurité du site Web:

• Une récente enquête Google montre que les Américains en savent moins qu'ils ne le croient sur la sécurité des sites Web: 55% des Américains de plus de 16 ans se donnent un A ou B en matière de sécurité en ligne, mais 70% d'entre eux ont mal identifié à quoi ressemble un site Web sûr. .
• Un sondage Harris Poll de mars 2019 montre que 97% des milléniaux participants reçoivent au moins une question sur six sur la sécurité du site Web .
• Les attaques de ransomware (un type de logiciel malveillant conçu pour bloquer l'accès à un système informatique jusqu'à ce qu'une somme d'argent soit payée) ont augmenté de 195% sur les petites et moyennes entreprises à partir du premier trimestre de 2019.

La triste vérité est que personne ne se soucie vraiment de la sécurité du site Web jusqu'à ce qu'il soit confronté à une menace réelle d'attaques de logiciels malveillants ou de ransomwares. Alors que les individus disposent de plusieurs moyens simples et abordables de rester en sécurité sur le Web, les petites entreprises et même les grandes entreprises considèrent que c'est un coût qu'elles ne veulent pas payer et un processus complexe qu'elles ne veulent pas apprendre, elles ne le sont donc pas. disposé à être proactif.

Avec cette menace qui plane sur chaque entreprise et site de service, il devient de plus en plus critique chaque jour d'investir du temps et de l'argent dans la sécurité du site Web. Parce que si votre site Web est compromis, toute votre entreprise est compromise.

Plongez plus profondément:

• 9 techniques de référencement efficaces pour générer du trafic organique en 2019
• Quelles sont les plus grandes erreurs de site Web qui réduisent mon classement SEO?
• Comment la blockchain peut contribuer à prévenir la fraude numérique
• Chapitre 1: Explication de la blockchain: l'ultime réseau peer-to-peer

Premier pas vers un site Web sécurisé

Les bases de la sécurité des sites Web commencent par SSL / TLS sur votre HTTP existant.

• SSL signifie Secure Sockets Layer et, en bref, c'est la technologie standard pour garder une connexion Internet sécurisée et protéger toutes les données sensibles envoyées entre deux systèmes, empêchant les criminels de lire et de modifier les informations transférées, y compris les détails personnels potentiels.
• TLS signifie Transport Layer Security et n'est qu'une version mise à jour et plus sécurisée de SSL. Nous appelons toujours nos certificats de sécurité SSL car il s'agit d'un terme plus couramment utilisé, mais lorsque vous achetez SSL auprès de Symantec, vous achetez en fait les certificats TLS les plus à jour.

Quelle est la différence entre HTTP et HTTPS? Selon SEOPressor:

• HTTP signifie Hypertext Transfer Protocol . Au plus basique, il permet la communication entre différents systèmes. Il est le plus souvent utilisé pour transférer des données d'un serveur Web vers un navigateur afin de permettre aux utilisateurs d'afficher des pages Web. C'est le protocole qui a été utilisé pour pratiquement tous les premiers sites Web.
• HTTPS signifie Hypertext Transfer Protocol Secure . Le problème avec le protocole HTTP standard est que les informations qui circulent du serveur au navigateur ne sont pas cryptées, ce qui signifie qu'elles peuvent être facilement volées . Les protocoles HTTPS y remédient en utilisant un certificat SSL , qui permet de créer une connexion cryptée sécurisée entre le serveur et le navigateur, protégeant ainsi les informations potentiellement sensibles contre le vol lors de leur transfert entre le serveur et le navigateur:

Passer de HTTP à HTTPS n'est ni compliqué ni chronophage (voir «Comment ajouter HTTPS à votre site Web» ci-dessous). Avec HTTPS, les serveurs et les clients peuvent continuer à converser de la même manière, mais avec un cryptage complet de leurs demandes et réponses (c'est-à-dire des données):

Cependant, tout n'est pas sûr et sécurisé avec cette couche supplémentaire de cryptage. La certification SSL n'assure pas une sécurité complète. Même les sites HTTPS sont confrontés à leur juste part d'attaques de phishing.

C'est la raison pour laquelle vous devez prendre des mesures adéquates pour assurer la sécurité de votre site et ne pas simplement compter sur HTTPS pour une sécurité complète du site.

Plongez plus profondément:

• Comment concevoir l'UX d'un site Web ou d'une application pour augmenter les conversions
• 9 meilleurs fournisseurs d'hébergement Web

HTTPS est-il un signal de classement?

Passer de HTTP à HTTPS est une étape simple qui peut faire avancer votre entreprise sur les SERP de Google, car Google marque chaque site comme «dangereux» à moins qu'il ne dispose d'une certification HTTPS.

Au début, HTTPS était un signal de classement léger, puis au fil du temps, Google a accordé plus de poids au HTTPS en tant que signal de classement. En août 2014, Google a annoncé que HTTPS était un signal de classement:

Aujourd'hui, HTTPS est l'enfant d'affiche de la confiance et de la sécurité, influençant directement l'UX et le référencement d'un site. En fait, depuis juillet 2018, tous les visiteurs des sites sans certificat TLS reçoivent une notification «non sécurisé» de Google:

Ces notifications ont permis aux sites Web sans couche SSL supplémentaire de réduire le trafic et les taux de conversion. Maintenant, il est prudent de dire qu'il est devenu un aspect important du référencement technique.

Plongez plus profondément:

• 7 astuces SEO pour booster votre classement en 2019
• 17 meilleurs outils de référencement gratuits (ou freemium) pour améliorer votre classement
• Comment (et pourquoi) créer une structure de contenu efficace pour un meilleur classement
• Qu'est-ce que le référencement d'entreprise? (Définition, exemples et outils!)

Comment ajouter HTTPS à votre site Web

Voici quelques étapes simples que vous pouvez suivre pour passer de HTTP à HTTPS:

Achetez un certificat SSL

L'achat d'un certificat SSL n'est pas si difficile. Tout d'abord, vérifiez auprès de votre société d'hébergement Web. Votre plan d'hébergement comprend-il un certificat? Si la tarification et le type de certificat sont conformes à vos exigences, demandez-leur de l'ajouter à votre service.

Vous pouvez également rechercher des autorités de certification. Recherchez les prix et les types de certificats préférables. Ensuite, achetez et vérifiez votre certificat. Les certificats SSL peuvent être de différents types, y compris DV, OV, EV, multi-site Web et des caractères génériques.

CertWizard de Digicert peut vous guider à travers le type de certificat SSL dont vous avez besoin:

Vérifiez et installez le certificat

Une fois que vous avez acheté le certificat SSL qui répond à vos exigences, il est temps de le vérifier. La vérification peut prendre entre quelques minutes et quelques jours, selon votre type de certificat.

Après avoir reçu un mot de votre autorité de certification, téléchargez les fichiers.

Le processus d'installation dépendra de la source de votre certificat. Les services d'hébergement Web prennent généralement en charge l'installation et rationalisent les étapes pour le webmaster.

Voici comment vous pouvez installer votre certificat acheté en dehors de votre service d'hébergement Web:

• Connectez-vous à votre compte de gestionnaire d'hébergement Web.
• Accédez à l'option «Installer le certificat SSL».
• Entrez le certificat SSL, votre nom de domaine qui a besoin du SSL et votre clé (votre autorité de certification doit vous fournir la clé et le certificat SSL).
• Cliquez sur «Installer».

Validez le certificat SSL

L'étape suivante est la validation, et pour cela, vous devez vous déconnecter de votre gestionnaire d'hébergement Web et de l'interface de l'éditeur de site Web. Ensuite, vérifiez la barre d'adresse - affiche-t-elle la balise HTTPS? Outre l'adresse HTTPS, vous devriez voir ce qui suit:

• Un cadenas vert dans la barre d'adresse
• Nom de votre entreprise (certificats EV)
• Une barre d'adresse verte (certificats EV)

• Le sceau de sécurité sur site ou le badge de confiance (selon le type de certificat et l'autorité de certification):

Vous devez utiliser un outil de vérification SSL au cas où pour assurer l'état de la sécurité de votre site Web.

Mettez à jour les liens de votre site Web

L'installation du certificat SSL via le panneau de contrôle devrait faire basculer votre site HTTP vers HTTPS de manière transparente. Outre les pages principales du site, vous devez vérifier les autres contenus contenant des liens vers votre site:

• Publications et biographies sur les réseaux sociaux
• Blogs d'hébergement du contenu de votre site
• Profils de marketing et de vente sur le Web
• Profils de forum en ligne
• Sites Web partenaires qui comportent un lien direct vers le logo de votre site

Remarque: gardez à l'esprit que vos anciens médias sociaux, vos articles de blog et vos liens intégrés peuvent toujours diriger le trafic vers la version HTTP du site, vous devez donc parcourir manuellement vos anciens messages hors site pour corriger ces anciens liens.

Dive Deeper: Comment résoudre 15 problèmes de référencement technique courants sur site

Mettez à jour votre plan de site

La création d'un nouveau plan de site XML n'est pas un défi. Vous pouvez le faire depuis votre compte Google Analytics. Vérifiez l'URL par défaut de votre site Web dans les «Paramètres de la propriété» sous l'option «Propriété» de votre compte administrateur.

Mettez à jour http: // en https: // et enregistrez la modification.

Pour mettre à jour le plan du site, accédez aux outils pour les webmasters:

• Accédez à la Search Console
• Cliquez sur paramètres - l'icône d'engrenage en haut à droite
• Sélectionnez "changement d'adresse"

Google vous guidera à travers les prochaines étapes de mise à jour du plan du site, y compris la sélection du nouveau site et la confirmation de 301 redirections. Appuyez sur «Soumettre» une fois que vous avez terminé les modifications.

L'acquisition et l'installation d'un certificat HTTPS est assez simple pour tous les utilisateurs du site Web. Les étapes que nous avons décrites ci-dessus sont pertinentes pour toutes les versions de WordPress et de quelques autres plates-formes CMS.

Si vous avez un fournisseur de services d'hébergement Web fiable, vous devriez lui parler pour une installation rapide et une migration transparente de votre site de HTTP vers HTTPS en ajustant votre plan d'hébergement.

Qu'y a-t-il au-delà du HTTPS dans le domaine de la cybersécurité?

Bien que HTTPS soit essentiel, ce n'est pas tout à la sécurité du site Web. Les sites Web sont confrontés à de nombreux types de menaces de cybersécurité lors de leur exécution, tels que:

1) Injections SQL

Une injection SQL est une technique d'injection de code et une technique de référencement négatif néfaste qu'un hacker criminel (ou votre concurrent) peut déployer pour faire tomber votre site. L'attaquant accède au backend de votre base de données en injectant des codes dans le contenu vulnérable ou corrompu de la base de données via une entrée de page Web (comme un utilisateur saisissant son «nom d'utilisateur» avec une instruction SQL). C'est toujours l'une des menaces les plus courantes car elle est très efficace.

Cela peut affecter tout site Web utilisant des serveurs MySQL, Oracle et SQL.

Comment vérifier si votre site Web est soumis à une attaque par injection SQL

Pour éviter les attaques par injection SQL, vous pouvez exécuter des analyses de vulnérabilité à l'aide de programmes antivirus fiables. Découvrez si le site Web subit une attaque à l'aide d'un outil tel que SQL Injection Test Online.

Suivez ces règles pour empêcher les attaques par injection SQL:

• Vous ne devez jamais inclure l'entrée directement, mais nettoyer toutes les entrées.
• Fournissez uniquement les droits d'accès nécessaires aux comptes utilisés pour la connexion à la base de données.
• N'affichez pas les instructions SQL dans les messages d'erreur; à la place, utilisez un message générique.

2) Mauvaise configuration en matière de sécurité

Les erreurs de configuration de sécurité peuvent inclure l'absence de certificat SSL, mais elles englobent généralement plus de facteurs. Ils couvrent presque tous les types de vulnérabilités résultant du manque de maintenance et de mise à jour des applications du site Web.

Une mauvaise configuration de sécurité peut provenir de plug-ins obsolètes ou de compléments tiers non autorisés sur un site Web. Ils peuvent fournir une fenêtre permettant aux attaquants d'exploiter des informations sensibles dans une base de données Web. De plus, la sécurité de la base de données peut être compromise par un abus de privilèges utilisateur, une authentification faible ou de mauvaises pratiques de sauvegarde des données. Outre le succès des attaques de ransomwares, cela peut également entraîner l'arrêt complet du site Web.

Comment renforcer la sécurité du site Web

La sécurité du site Web commence par HTTPS. Cependant, vous devez examiner de plus près l'état de vos plug-ins, mettre à jour votre moteur CMS et installer un logiciel de sécurité sur votre site. La configuration sécurisée doit être mise en œuvre au niveau de l'application, du serveur d'applications, de l'infrastructure, du serveur de base de données, du serveur Web et de la plate-forme.

Ce sont les vulnérabilités les plus courantes qui peuvent affecter n'importe quel site Web aujourd'hui. La mise à jour de votre site vers HTTPS peut ne pas être suffisante pour arrêter ces attaques, vous devez donc penser au-delà des certificats SSL pour protéger la base de données de votre site Web et les utilisateurs.

3) Scripts intersites (XSS)

XSS inclut l'injection de scripts malveillants dans les sites Web et constitue une autre tactique de référencement négative. L'attaquant utilise une application Web pour envoyer un code malveillant à l'utilisateur sous la forme d'un script de navigateur.

L'utilisateur sans méfiance du site de confiance est susceptible de cliquer sur le code, ce qui donne un accès par code aux cookies de l'utilisateur, aux informations sensibles côté navigateur et aux jetons de session. Les scripts XSS peuvent également réécrire le contenu des pages de sites Web HTML.

Comment vérifier si votre site Web est sous une attaque XSS

Utilisez un outil tel que XSS Scanner:

Que faire pour empêcher les attaques XSS

Un codage de sortie dépendant du contexte est nécessaire pour empêcher toute sécurité XSS. La plupart des sites Web modernes contiennent un filtre XSS. Cependant, ils nécessitent l'application correcte du codage URL.

Les webmasters doivent autoriser uniquement les liens avec des protocoles sur liste blanche tels que https: // s o aucun script avec des schémas d'URL tels que javascript: // ne reste interdit.

4) Falsification de requêtes intersites

CSRF oblige l'utilisateur à effectuer des actions auxquelles il n'a peut-être pas pensé. Il s'agit d'une attaque malveillante qui cible les demandes de changement d'état sur site.

Tirer parti de l'ingénierie sociale permet au pirate informatique criminel de tromper l'utilisateur final pour qu'il exécute les actions des enchères de l'attaquant. Cela peut inclure le transfert de fonds, la fourniture de mots de passe ou la modification de leur adresse e-mail. Si la victime est l'administrateur d'un site Web, une attaque CSRF peut compromettre les fonctions du site Web de toute l'entreprise.

Et si vous pensez que vous êtes trop intelligent pour être trompé, détrompez-vous. Découvrez ces 6 types courants d'attaques d'ingénierie sociale de Norton:

• Appâtage
• Phishing / Spear phishing
• Piratage d'e-mails et spam de contact
• Prétexte
• Quiproquo
• Vishing

Comment savoir si votre site Web fait l'objet d'une falsification de demande intersite? Voici les directives de l'OWASP pour identifier un CSRF.

Comment arrêter les attaques CSRP

HTTPS ne suffit pas pour arrêter les attaques CSRF. L'administrateur du site doit ajouter un hachage aux formulaires, nonce par demande aux formulaires et à l'URL, et vérifier l'en-tête du référent dans la requête HTTP du client. D'autres étapes incluent l'ajout d'un identificateur de session à la création de scripts ViewState for.NET.

Comment un piratage peut-il affecter le trafic organique et le référencement d'un site Web?

Les attaquants ne font pas de distinction entre les sites en termes de taille et de trafic d'attaques. Voici comment cela peut avoir un impact à la fois sur votre trafic et votre référencement:

Liste noire

La mise sur liste noire - lorsque votre site Web est supprimé de l'index des moteurs de recherche - est l'une des conséquences les plus graves des attaques de logiciels malveillants. Étant donné que la plupart des sites Web ne reçoivent aucune notification, ils peuvent être ciblés à plusieurs reprises pour des attaques de ransomwares et de logiciels malveillants. Plusieurs sites Web présentent des vulnérabilités persistantes qui les rendent sujets aux injections SQL, XSS, CSRF et aux attaques de phishing.

Ne pas recevoir de notification peut entraîner une perte continue d'argent, de réputation et de visiteurs lorsque Google détecte le comportement anormal et met le site sur une liste noire. Se retrouver sur la liste noire est la fin de tout trafic et référencement pour n'importe quel site Web. Cependant, c'est une façon de commencer à zéro avec un site propre.

Erreurs lors de l'exploration

Les robots Scraper explorent les sites pour récupérer du contenu, bloquer les robots des moteurs de recherche et se livrer au vol de données. Votre classement SERP peut également prendre un coup lorsque les robots grattoirs créent du contenu en double sur un autre emplacement. Ils peuvent créer des erreurs 404 et 503 dans votre Google Search Console. Ils sont responsables de la création de boucles infinies gourmandes en ressources.

Après avoir trouvé du contenu en double, déposez une réclamation DMCA auprès de Google. L'analyse de routine des fichiers journaux avec des outils premium peut produire une liste exhaustive des robots explorant votre site. Identifiez leur source pour séparer les bons robots des mauvais.

Plongez plus profondément: Google arrête de prendre en charge Robots.txt Noindex: ce que cela signifie pour vous

Spam SEO

Les pirates informatiques criminels peuvent obtenir du spam SEO via des injections SQL, ce qui peut entraîner la mise sur liste noire de votre site Web ou une modification complète de la façon dont votre site apparaît dans les SERPs Google. Ils peuvent également réduire la vitesse de votre site Web, qui est l'un des principaux signaux de classement.

Vous avez besoin de plug-ins de sécurité et d'outils de référencement capables de détecter les activités malveillantes en temps réel sur votre site. Corriger les vulnérabilités est absolument essentiel. Découvrez les plates-formes payantes qui offrent une surveillance saine des sites Web, telles que Sucuri, un leader du secteur de la sécurité WordPress (c'est un service payant, mais ils offrent une analyse gratuite limitée de WordPress).

Dernières pensées

En fin de compte, vous ne devez pas faire de Google votre antivirus. Google signale les sites non fiables et met en liste noire ceux qui constituent une menace pour les utilisateurs, mais se fier aux mises à jour de Google n'est pas un moyen proactif de prendre soin de la sécurité et du référencement de votre site.

Si vous souhaitez améliorer votre référencement et améliorer le trafic de votre site Web, commencez toujours par HTTPS. Ensuite, pensez à investir dans un système de surveillance de site Web qui surveille au-delà de la certification SSL de votre site.