In che modo una scarsa sicurezza del sito Web influisce negativamente sulle classifiche SEO

"Sicurezza del sito web" - siamo onesti qui: quando è stata l'ultima volta che ci hai pensato seriamente? Quando è stata l'ultima volta che tu o il tuo team SEO avete trascorso due secondi sulle ultime tendenze di sicurezza per i siti web?

Le aziende potrebbero spendere miliardi di dollari in SEO in questo momento, ma una percentuale significativa di aziende con siti web non pensa nemmeno alla sicurezza del sito web.

Perché la sicurezza web è importante

Come imprenditore, probabilmente hai speso centinaia o addirittura migliaia di dollari nel corso degli anni in marketing e SEO, ma l'anello più debole nella catena del marketing digitale è chiaramente la sicurezza del sito web:

• Un recente sondaggio di Google mostra che gli americani sanno meno di quanto credono sulla sicurezza dei siti web: il 55% degli americani di età superiore ai 16 anni si dà un A o B in sicurezza e protezione online, ma il 70% di loro ha erroneamente identificato l'aspetto di un sito web sicuro .
• Un sondaggio Harris Poll di marzo 2019 mostra che il 97% dei Millennial partecipanti ha sbagliato almeno una domanda su sei sulla sicurezza del sito web .
• Gli attacchi ransomware (un tipo di software dannoso progettato per bloccare l'accesso a un sistema informatico fino al pagamento di una somma di denaro) sono aumentati del 195% nelle piccole e medie imprese a partire dal primo trimestre del 2019.

La triste verità è che nessuno si preoccupa davvero della sicurezza del sito Web fino a quando non si trova di fronte a una reale minaccia di attacchi di malware o ransomware. Mentre le persone hanno diversi modi semplici e convenienti per rimanere al sicuro sul Web, le piccole imprese e anche le aziende più grandi lo vedono come un costo che non vogliono pagare e un processo complesso che non vogliono imparare, quindi non lo sono disposto ad essere proattivo.

Con questa minaccia che incombe su ogni azienda e sito di servizi, sta diventando ogni giorno più critico investire tempo e denaro nella sicurezza del sito web. Perché se il tuo sito web è compromesso, tutta la tua attività è compromessa.

Immergiti più in profondità:

• 9 tecniche SEO efficaci per indirizzare il traffico organico nel 2019
• Quali sono i maggiori errori del sito web che stanno abbassando il mio ranking SEO?
• In che modo la blockchain può essere determinante nella prevenzione delle frodi digitali
• Capitolo 1: Blockchain Explained: The Ultimate Peer-to-Peer Network

Primo passo verso un sito web sicuro

Le basi della sicurezza del sito Web iniziano con SSL / TLS sul tuo HTTP esistente.

• SSL sta per Secure Sockets Layer e, in breve, è la tecnologia standard per mantenere sicura una connessione Internet e salvaguardare i dati sensibili che vengono inviati tra due sistemi, impedendo ai criminali di leggere e modificare qualsiasi informazione trasferita, inclusi potenziali dettagli personali.
• TLS sta per Transport Layer Security ed è solo una versione aggiornata e più sicura di SSL. Ci riferiamo ancora ai nostri certificati di sicurezza come SSL perché è un termine più comunemente usato, ma quando acquisti SSL da Symantec stai effettivamente acquistando i certificati TLS più aggiornati.

Qual è la differenza tra HTTP e HTTPS? Secondo SEOPressor:

• HTTP sta per Hypertext Transfer Protocol . Nella sua forma più elementare, consente la comunicazione tra diversi sistemi. È più comunemente utilizzato per trasferire dati da un server web a un browser per consentire agli utenti di visualizzare le pagine web. È il protocollo utilizzato praticamente per tutti i primi siti Web.
• HTTPS è l' acronimo di Hypertext Transfer Protocol Secure . Il problema con il normale protocollo HTTP è che le informazioni che fluiscono dal server al browser non sono crittografate, il che significa che possono essere facilmente rubate . I protocolli HTTPS risolvono questo problema utilizzando un certificato SSL , che aiuta a creare una connessione crittografata sicura tra il server e il browser, proteggendo così il furto di informazioni potenzialmente sensibili quando vengono trasferite tra il server e il browser:

Il passaggio da HTTP a HTTPS non è né complicato né dispendioso in termini di tempo (vedere "Come aggiungere HTTPS al sito Web" di seguito). Con HTTPS, sia i server che i client possono continuare a conversare nello stesso modo, ma con la crittografia completa delle loro richieste e risposte (cioè i dati):

Tuttavia, non tutto è sicuro e protetto con quel livello aggiuntivo di crittografia. La certificazione SSL non garantisce la sicurezza completa. Anche i siti HTTPS devono affrontare la loro giusta quota di attacchi di phishing.

Questo è il motivo per cui è necessario adottare misure adeguate per mantenere il proprio sito sicuro e non solo fare affidamento su HTTPS per la completa sicurezza del sito.

Immergiti più in profondità:

• Come progettare la UX di un sito web o di un'app per aumentare le conversioni
• 9 migliori provider di hosting web

HTTPS è un segnale di ranking?

Il passaggio da HTTP a HTTPS è un passaggio semplice che può portare avanti la tua attività sulle SERP di Google, perché Google contrassegna ogni sito come "non sicuro" a meno che non disponga di una certificazione HTTPS.

All'inizio, HTTPS era un segnale di ranking leggero e poi, nel tempo, Google ha dato più peso a HTTPS come segnale di ranking. A partire da agosto 2014, Google ha annunciato che HTTPS è un segnale di ranking:

Oggi, HTTPS è il simbolo della fiducia e della sicurezza, influenzando direttamente l'UX e la SEO di un sito. Infatti, a partire da luglio 2018, tutti i visitatori di siti senza un certificato TLS ricevono una notifica "non sicuro" da Google:

Queste notifiche hanno portato i siti Web senza il livello SSL aggiuntivo a ridurre il traffico e i tassi di conversione. Ora è sicuro dire che è diventato un aspetto significativo della SEO tecnica.

Immergiti più in profondità:

• 7 trucchi SEO per aumentare la tua classifica nel 2019
• 17 migliori strumenti SEO gratuiti (o freemium) per migliorare il tuo posizionamento
• Come (e perché) creare una struttura di contenuti efficace per un posizionamento migliore
• Cos'è la SEO aziendale? (Definizione, esempi e strumenti!)

Come aggiungere HTTPS al tuo sito web

Ecco alcuni semplici passaggi che puoi seguire per passare da HTTP a HTTPS:

Acquista un certificato SSL

L'acquisto di un certificato SSL non è così difficile. Innanzitutto, verifica con la tua società di web hosting. Il tuo piano di hosting include un certificato? Se il prezzo e il tipo di certificato sono conformi alle tue esigenze, chiedi loro di aggiungerlo al tuo servizio.

In alternativa, puoi cercare le autorità di certificazione. Cerca prezzi e tipi di certificati preferibili. Quindi, acquista e verifica il tuo certificato. I certificati SSL possono essere di vari tipi, inclusi DV, OV, EV, Multi-sito Web e caratteri jolly.

Il CertWizard di Digicert può guidarti attraverso il tipo di certificato SSL di cui hai bisogno:

Verifica e installa il certificato

Dopo aver acquistato il certificato SSL che soddisfa i tuoi requisiti, è il momento di verificarlo. La verifica può richiedere da un paio di minuti ad alcuni giorni, a seconda del tipo di certificato.

Dopo aver ricevuto la parola dall'autorità di certificazione, scarica i file.

Il processo di installazione dipenderà dall'origine del certificato. I servizi di web hosting in genere si occupano dell'installazione e semplificano i passaggi per il webmaster.

Ecco come puoi installare il tuo certificato acquistato dall'esterno del tuo servizio di web hosting:

• Accedi al tuo account di gestore di hosting web.
• Vai all'opzione "Installa certificato SSL".
• Inserisci il certificato SSL, il tuo nome di dominio che richiede SSL e la tua chiave (la tua autorità di certificazione dovrebbe fornirti la chiave e il certificato SSL).
• Fare clic su "Installa".

Convalida il certificato SSL

Il passaggio successivo è la convalida e, per questo, è necessario disconnettersi dal gestore di hosting web e dall'interfaccia dell'editor del sito web. Quindi, controlla la barra degli indirizzi: mostra il tag HTTPS? Oltre all'indirizzo HTTPS, dovresti vedere quanto segue:

• Un lucchetto verde nella barra degli indirizzi
• Il nome della tua attività (certificati EV)
• Una barra degli indirizzi verde (certificati EV)

• Il sigillo di sicurezza in loco o il badge di fiducia (a seconda del tipo di certificato e dell'autorità di certificazione):

Dovresti utilizzare uno strumento di verifica SSL per ogni evenienza per garantire lo stato della sicurezza del tuo sito web.

Aggiorna i link del tuo sito web

L'installazione del certificato SSL tramite il pannello di controllo dovrebbe far passare il tuo sito HTTP a HTTPS senza problemi. Oltre alle pagine principali del sito, devi controllare altri contenuti che hanno collegamenti al tuo sito:

• Post e biografie sui social media
• Blog di hosting del contenuto del tuo sito
• Profili di marketing e vendita sul web
• Profili del forum online
• Siti web partner che portano un collegamento diretto al logo del tuo sito

Nota: tieni presente che i tuoi vecchi social media, post di blog e link incorporati potrebbero ancora indirizzare il traffico alla versione HTTP del sito, quindi devi setacciare manualmente i tuoi post passati fuori sito per correggere questi vecchi link.

Approfondisci: come risolvere 15 problemi tecnici SEO comuni in loco

Aggiorna la tua Sitemap

La generazione di una nuova mappa del sito XML non è una sfida. Puoi farlo dal tuo account Google Analytics. Controlla l'URL predefinito del tuo sito web nelle "Impostazioni proprietà" sotto l'opzione "Proprietà" del tuo account amministratore.

Aggiorna http: // in https: // e salva la modifica.

Per aggiornare la mappa del sito, visita Strumenti per i Webmaster:

• Vai a Search Console
• Fai clic su Impostazioni: l'icona dell'ingranaggio in alto a destra
• Seleziona "cambio di indirizzo"

Google ti guiderà attraverso i passaggi successivi dell'aggiornamento della mappa del sito, inclusa la selezione del nuovo sito e la conferma dei reindirizzamenti 301. Premi "Invia" una volta terminate le modifiche.

L'acquisizione e l'installazione di un certificato HTTPS è abbastanza semplice per tutti gli utenti del sito web. I passaggi che abbiamo descritto sopra sono pertinenti a tutte le versioni di WordPress e anche ad alcune altre piattaforme CMS.

Se disponi di un provider di servizi di hosting web affidabile, dovresti parlare con loro per un'installazione rapida e una migrazione senza problemi del tuo sito da HTTP a HTTPS modificando il tuo piano di hosting.

Cosa c'è oltre HTTPS nel regno della sicurezza informatica?

Sebbene HTTPS sia essenziale, non è tutto ciò che serve per la sicurezza del sito web. I siti web affrontano molti diversi tipi di minacce alla sicurezza informatica durante l'esecuzione, come ad esempio:

1) Iniezioni SQL

Una SQL injection è una tecnica di iniezione di codice e una nefasta tecnica SEO negativa che un hacker criminale (o un tuo concorrente) può utilizzare per far crollare il tuo sito. L'autore dell'attacco ottiene l'accesso al back-end del database iniettando codici nel contenuto del database vulnerabile o danneggiato tramite l'input di una pagina Web (ad esempio, un utente che inserisce il proprio "nome utente" con un'istruzione SQL). È ancora una delle minacce più comuni perché è altamente efficace.

Può influire su qualsiasi sito Web che utilizza server MySQL, Oracle e SQL.

Come verificare se il tuo sito web è sottoposto a un attacco SQL Injection

Per prevenire attacchi di iniezione SQL, è possibile eseguire scansioni di vulnerabilità utilizzando programmi software antivirus affidabili. Scopri se il sito web sta subendo un attacco utilizzando uno strumento come SQL Injection Test Online.

Segui queste regole per prevenire attacchi di SQL injection:

• Non dovresti mai includere l'input direttamente, ma disinfetta tutti gli input.
• Fornire solo i diritti di accesso necessari agli account utilizzati per la connessione al database.
• Non visualizzare le istruzioni SQL nei messaggi di errore; utilizza invece un messaggio generico.

2) Errori di configurazione nella sicurezza

Le configurazioni errate della sicurezza possono includere la mancanza di un certificato SSL, ma in genere comprendono più fattori. Coprono quasi tutti i tipi di vulnerabilità derivanti dalla mancanza di manutenzione e aggiornamento delle applicazioni del sito web.

Un errore di configurazione della sicurezza può derivare da plug-in non aggiornati o da componenti aggiuntivi non autorizzati di terze parti a un sito Web. Possono fornire agli aggressori una finestra per sfruttare le informazioni sensibili in un database web. Inoltre, la sicurezza del database può essere compromessa tramite abuso dei privilegi dell'utente, autenticazione debole o pratiche di backup dei dati inadeguate. Oltre a provocare attacchi ransomware riusciti, ciò può anche comportare la chiusura completa del sito web.

Come rafforzare la corretta sicurezza del sito web

La sicurezza del sito Web inizia con HTTPS. Tuttavia, è necessario esaminare più a fondo lo stato dei plug-in, aggiornare il motore CMS e installare il software di sicurezza sul sito. La configurazione sicura deve essere implementata a livello di applicazione, server di applicazioni, framework, server di database, server Web e piattaforma.

Queste sono le vulnerabilità più comuni che possono interessare qualsiasi sito web oggi. L'aggiornamento del tuo sito a HTTPS potrebbe non essere sufficiente per fermare questi attacchi, quindi devi andare oltre i certificati SSL per mantenere al sicuro il database del tuo sito web e gli utenti.

3) Cross-Site Scripting (XSS)

XSS include l'iniezione di script dannosi nei siti Web ed è un'altra tattica SEO negativa. L'autore dell'attacco utilizza un'applicazione Web per inviare all'utente codice dannoso sotto forma di script del browser.

È probabile che l'utente ignaro del sito attendibile faccia clic sul codice, che fornisce l'accesso tramite codice ai cookie dell'utente, alle informazioni sensibili sul lato del browser e ai token di sessione. Gli script XSS possono anche riscrivere il contenuto delle pagine del sito Web HTML.

Come verificare se il tuo sito web è sottoposto a un attacco XSS

Utilizza uno strumento come XSS Scanner:

Cosa fare per prevenire gli attacchi XSS

La codifica dell'output dipendente dal contesto è necessaria per prevenire qualsiasi sicurezza XSS. La maggior parte dei siti Web moderni contiene un filtro XSS. Tuttavia, richiedono la corretta applicazione della codifica URL.

I webmaster devono consentire solo i collegamenti con protocolli autorizzati come https: // s o nessuno script con schemi URL come javascript: // rimane bloccato.

4) Falsificazione di richieste tra siti

CSRF obbliga l'utente a eseguire azioni che potrebbe non aver previsto. È un attacco dannoso che prende di mira le richieste di cambiamento di stato in loco.

Sfruttare l'ingegneria sociale consente all'hacker criminale di indurre l'utente finale a eseguire le azioni dell'offerta dell'aggressore. Può includere il trasferimento di fondi, fornire password o modificare il loro indirizzo email. Se la vittima è l'amministratore di un sito Web, un attacco CSRF può compromettere le funzionalità del sito Web dell'intera azienda.

E se pensi di essere troppo intelligente per essere ingannato, ripensaci. Dai un'occhiata a questi 6 tipi comuni di attacchi di ingegneria sociale da Norton:

• Baiting
• Phishing / Spear phishing
• Email hacking e contatto spamming
• Pretesto
• Quid pro quo
• Vishing

Come puoi sapere se il tuo sito web è sottoposto a una richiesta di contraffazione cross-site? Ecco le linee guida di OWASP per identificare un CSRF.

Come fermare gli attacchi CSRP

HTTPS non è sufficiente per fermare gli attacchi CSRF. L'amministratore del sito deve aggiungere un hash ai moduli, nonce per richiesta ai moduli e all'URL e controllare l'intestazione del referrer nella richiesta HTTP dal client. Altri passaggi includono l'aggiunta di un identificatore di sessione a ViewState for.NET scripting.

In che modo un hack può influire sul traffico organico e sulla SEO di un sito web?

Gli aggressori non discriminano tra i siti in termini di dimensioni e traffico per gli attacchi. Ecco come può influire sia sul tuo traffico che sulla SEO:

Inserimento nella lista nera

Lista nera - quando il tuo sito è stato rimosso dall'indice di motori di ricerca - è una delle più gravi conseguenze di attacchi malware. Poiché la maggior parte dei siti Web non riceve alcuna notifica, possono essere ripetutamente presi di mira per attacchi di ransomware e malware. Diversi siti Web presentano vulnerabilità persistenti che li rendono soggetti a iniezioni SQL, XSS, CSRF e attacchi di phishing.

Non ricevere alcuna notifica può significare una continua perdita di denaro, reputazione e visitatori quando Google rileva il comportamento anomalo e inserisce il sito nella blacklist. Trovarti nella lista nera è la fine di tutto il traffico e SEO per qualsiasi sito web. Tuttavia, è un modo per iniziare dal punto di partenza con un sito pulito.

Errori durante la scansione

I robot scraper eseguono la scansione dei siti per raschiare i contenuti, bloccare i robot dei motori di ricerca e compiere furti di dati. Le classifiche SERP possono anche subire un colpo quando i robot raschietti creano contenuti duplicati in un'altra posizione. Possono creare errori 404 e 503 nella tua Google Search Console. Sono responsabili della creazione di loop infiniti ad alta intensità di risorse.

Dopo aver trovato contenuti duplicati, presenta un reclamo DMCA a Google. L'analisi di routine dei file di registro con strumenti premium può produrre un elenco esaustivo di bot che eseguono la scansione del tuo sito. Identifica la loro fonte per separare i robot buoni da quelli cattivi.

Approfondisci: Google smette di supportare Robots.txt Noindex: cosa significa per te

SEO Spam

Gli hacker criminali possono ottenere spam SEO tramite iniezioni di SQL, che possono comportare l'inserimento nella lista nera del tuo sito web o la completa alterazione del modo in cui il tuo sito appare nelle SERP di Google. Possono anche ridurre la velocità del tuo sito web, che è uno dei migliori segnali di posizionamento.

Hai bisogno di plug-in di sicurezza e strumenti SEO in grado di individuare attività dannose in tempo reale sul tuo sito. L'applicazione di patch alle vulnerabilità è assolutamente essenziale. Dai un'occhiata alle piattaforme a pagamento che offrono un monitoraggio completo dei siti Web, come Sucuri, leader del settore nella sicurezza di WordPress (è un servizio a pagamento, ma offrono una scansione WordPress limitata gratuitamente).

Pensieri finali

Alla fine della giornata, non devi fare di Google il tuo antivirus. Google segnala i siti inaffidabili e inserisce in blacklist quelli che rappresentano una minaccia per gli utenti, ma fare affidamento sugli aggiornamenti di Google non è un modo proattivo per prendersi cura della sicurezza e della SEO del tuo sito.

Se vuoi migliorare il tuo SEO e migliorare il traffico del tuo sito web, inizia sempre con HTTPS. Quindi, pensa di investire in un sistema di sorveglianza del sito web che monitora oltre la certificazione SSL del tuo sito.