不十分なWebサイトセキュリティがSEOランキングにどのように悪影響を与えるか
公開: 2020-12-19「ウェブサイトのセキュリティ」–ここで正直に言いましょう。最後に真剣に考えたのはいつですか。 あなたまたはあなたのSEOチームがウェブサイトの最新のセキュリティトレンドに2秒間費やしたのはいつでしたか?
企業は現在SEOに数十億ドルを費やしている可能性がありますが、Webサイトを持つ企業のかなりの割合がWebサイトのセキュリティについてさえ考えていません。
Webセキュリティが重要な理由
起業家として、あなたはおそらくマーケティングとSEOに何百ドル、あるいは何千ドルも費やしてきましたが、デジタルマーケティングチェーンの最も弱いリンクは明らかにウェブサイトのセキュリティです。
- 最近のGoogleの調査によると、アメリカ人はウェブサイトのセキュリティについて信じているほど知識がありません。16歳以上のアメリカ人の55%は、オンラインの安全性とセキュリティについてAまたはBを挙げていますが、70%は、安全なウェブサイトがどのようなものかを誤って特定しています。 。
- 2019年3月のハリス世論調査によると、参加しているミレニアル世代の97%が、ウェブサイトのセキュリティに関する6つの質問のうち少なくとも1つを間違って受け取っています。
- ランサムウェア攻撃(金額が支払われるまでコンピュータシステムへのアクセスをブロックするように設計された悪意のあるソフトウェアの一種)は、2019年の第1四半期の時点で、中小企業で195%増加しています。
悲しい真実は、マルウェアやランサムウェア攻撃の本当の脅威に直面するまで、誰もWebサイトのセキュリティについて本当に気にすることはないということです。 個人はウェブ上で安全を維持するためのいくつかの簡単で手頃な方法を持っていますが、中小企業やさらに大企業は、彼らが支払いたくないコストと彼らが学びたくない複雑なプロセスとして見ているので、そうではありません積極的になることをいとわない。
この脅威がすべてのビジネスおよびサービスサイトに迫っているため、Webサイトのセキュリティに時間とお金を投資することが日々ますます重要になっています。 あなたのウェブサイトが危険にさらされると、あなたのビジネス全体が危険にさらされるからです。
深く掘り下げる:
- 2019年にオーガニックトラフィックを促進するための9つの効果的なSEO手法
- 私のSEOランキングを下げている最大のウェブサイトの間違いは何ですか?
- ブロックチェーンがデジタル詐欺の防止にどのように役立つか
- 第1章:ブロックチェーンの説明:究極のピアツーピアネットワーク
安全なウェブサイトへの第一歩
Webサイトのセキュリティの基本は、既存のHTTPでのSSL / TLSから始まります。
- SSLはSecureSockets Layerの略で、インターネット接続を安全に保ち、2つのシステム間で送信される機密データを保護し、犯罪者が転送された情報(潜在的な個人情報を含む)を読み取ったり変更したりするのを防ぐための標準テクノロジーです。
- TLSはTransportLayer Securityの略で、SSLの更新されたより安全なバージョンです。 セキュリティ証明書は、より一般的に使用される用語であるため、引き続きSSLと呼びますが、SymantecからSSLを購入する場合、実際には最新のTLS証明書を購入することになります。
HTTPとHTTPSの違いは何ですか? SEOPressorによると:
- HTTPはHypertextTransferProtocolの略です。 最も基本的には、異なるシステム間の通信が可能になります。 これは、ユーザーがWebページを表示できるようにするために、Webサーバーからブラウザーにデータを転送するために最も一般的に使用されます。 これは、基本的にすべての初期のWebサイトで使用されていたプロトコルです。
- HTTPSは、 Hypertext Transfer ProtocolSecureの略です。 通常のHTTPプロトコルの問題は、サーバーからブラウザに流れる情報が暗号化されていないことです。つまり、簡単に盗まれる可能性があります。 HTTPSプロトコルは、 SSL証明書を使用してこれを修正します。これにより、サーバーとブラウザーの間に安全な暗号化接続が作成され、サーバーとブラウザー間で転送される機密情報が盗まれるのを防ぐことができます。
HTTPからHTTPSへの切り替えは、複雑でも時間もかかりません(以下の「WebサイトにHTTPSを追加する方法」を参照)。 HTTPSを使用すると、サーバーとクライアントの両方が同じ方法で会話を続けることができますが、要求と応答(つまりデータ)が完全に暗号化されます。
ただし、その追加の暗号化レイヤーですべてが安全であるとは限りません。 SSL認定は、完全なセキュリティを保証するものではありません。 HTTPSサイトでさえ、フィッシング攻撃のかなりの部分に直面しています。
これが、完全なサイトセキュリティをHTTPSに依存するだけでなく、サイトを安全に保つために適切な対策を講じる必要がある理由です。
深く掘り下げる:
- コンバージョンを増やすためにウェブサイトまたはアプリのUXを設計する方法
- 9つの最高のウェブホスティングプロバイダー
HTTPSはランキングシグナルですか?
HTTPからHTTPSへの切り替えは、GoogleのSERPでビジネスを進めることができる簡単な手順です。これは、HTTPS認定がない限り、Googleはすべてのサイトに「安全ではない」というフラグを立てるためです。
当初、HTTPSは軽量のランキングシグナルでしたが、その後、GoogleはランキングシグナルとしてHTTPSを重視するようになりました。 2014年8月の時点で、GoogleはHTTPSがランキングシグナルであることを発表しました。
今日、HTTPSは信頼とセキュリティの子孫であり、サイトのUXとSEOに直接影響を与えています。 実際、2018年7月の時点で、TLS証明書のないサイトへのすべての訪問者は、Googleから「安全ではない」通知を受け取ります。
これらの通知により、追加のSSLレイヤーのないWebサイトでは、トラフィックとコンバージョン率が低下しています。 今では、それが技術的なSEOの重要な側面になっていると言っても過言ではありません。
深く掘り下げる:
- 2019年にあなたのランキングを上げるための7つのSEOハック
- ランキングを向上させるための17の最高の無料(またはフリーミアム)SEOツール
- より良いランキングのために効果的なコンテンツ構造を作成する方法(および理由)
- エンタープライズSEOとは何ですか? (定義、例、ツール!)
あなたのウェブサイトにHTTPSを追加する方法
HTTPからHTTPSに切り替えるための簡単な手順は次のとおりです。
SSL証明書を購入する
SSL証明書の購入はそれほど難しくありません。 まず、ウェブホスティング会社に確認してください。 ホスティングプランには証明書が含まれていますか? 価格と証明書の種類が要件に準拠している場合は、サービスへの追加について話し合ってください。
または、認証局を探すこともできます。 望ましい価格設定と証明書の種類を探します。 次に、証明書を購入して確認します。 SSL証明書には、DV、OV、EV、マルチWebサイト、ワイルドカードなど、さまざまな種類があります。
DigicertのCertWizardは、必要なSSL証明書の種類を案内します。
証明書を確認してインストールする
要件を満たすSSL証明書を購入したら、それを確認します。 証明書の種類にもよりますが、確認には数分から数日かかる場合があります。
認証局から連絡を受けたら、ファイルをダウンロードします。
インストールプロセスは、証明書のソースによって異なります。 Webホスティングサービスは通常、インストールを引き継ぎ、Webマスターの手順を合理化します。
Webホスティングサービスの外部から購入した証明書をインストールする方法は次のとおりです。
- Webホスティングマネージャーアカウントにログインします。
- 「SSL証明書のインストール」オプションに移動します。
- SSL証明書、SSLを必要とするドメイン名、およびキーを入力します(認証局からキーとSSL証明書が提供されます)。
- 「インストール」をクリックします。
SSL証明書を検証する
次のステップは検証です。そのためには、WebホスティングマネージャーとWebサイトエディターインターフェイスからログアウトする必要があります。 次に、アドレスバーを確認します– HTTPSタグが表示されていますか? HTTPSアドレスとは別に、次のように表示されます。
- アドレスバーの緑色の南京錠
- あなたの会社名(EV証明書)
- 緑のアドレスバー(EV証明書)
- オンサイトの信頼のセキュリティシールまたは信頼バッジ(証明書の種類と認証局によって異なります):
Webサイトのセキュリティのステータスを確認する場合に備えて、SSLチェッカーツールを使用する必要があります。
あなたのウェブサイトのリンクを更新する
コントロールパネルからSSL証明書をインストールすると、HTTPサイトがHTTPSにシームレスに切り替わります。 メインサイトのページとは別に、サイトへのリンクがある他のコンテンツを確認する必要があります。
- ソーシャルメディアの投稿と経歴
- あなたのサイトのコンテンツをホストするブログ
- Web全体のマーケティングおよび販売プロファイル
- オンラインのフォーラムプロファイル
- サイトのロゴに直接リンクしているパートナーWebサイト
注:古いソーシャルメディア、ブログ投稿、埋め込みリンクは引き続きトラフィックをHTTPバージョンのサイトに誘導する可能性があるため、過去のオフサイト投稿を手動で調べてこれらの古いリンクを修正する必要があることに注意してください。
さらに深く掘り下げる:15の一般的なオンサイト技術SEO問題を修正する方法
サイトマップを更新する
新しいXMLサイトマップを生成することは困難ではありません。 あなたはあなたのGoogleAnalyticsアカウントからそうすることができます。 管理者アカウントの[プロパティ]オプションの下にある[プロパティ設定]で、WebサイトのデフォルトURLを確認してください。
http://をhttps://に更新し、変更を保存します。
サイトマップを更新するには、ウェブマスターツールにアクセスしてください。
- SearchConsoleに移動します
- 設定をクリックします–右上の歯車アイコン
- 「住所変更」を選択
Googleは、新しいサイトの選択や301リダイレクトの確認など、サイトマップを更新する次の手順を案内します。 変更が完了したら、[送信]をクリックします。
HTTPS証明書の取得とインストールは、すべてのWebサイトユーザーにとって非常に簡単です。 上記の手順は、WordPressのすべてのバージョンと他のいくつかのCMSプラットフォームにも関連しています。
信頼できるウェブホスティングサービスプロバイダーがある場合は、ホスティングプランを調整して、サイトをHTTPからHTTPSにすばやくインストールし、シームレスに移行するために、プロバイダーに相談する必要があります。
サイバーセキュリティの領域でHTTPSを超えて何がありますか?
HTTPSは不可欠ですが、Webサイトのセキュリティに必要なのはそれだけではありません。 Webサイトは、実行中に次のようなさまざまな種類のサイバーセキュリティの脅威に直面します。
1)SQLインジェクション
SQLインジェクションは、コードインジェクション手法であり、犯罪者のハッカー(または競合他社)がサイトをダウンさせるために展開する可能性のある悪質なネガティブSEO手法です。 攻撃者は、Webページ入力(ユーザーがSQLステートメントで「ユーザー名」を入力するなど)を介して脆弱または破損したデータベースコンテンツにコードを挿入することにより、データベースのバックエンドにアクセスします。 非常に効果的であるため、依然として最も一般的な脅威の1つです。
MySQL、Oracle、SQLサーバーを使用するすべてのWebサイトに影響を与える可能性があります。
WebサイトがSQLインジェクション攻撃を受けているかどうかを確認する方法
SQLインジェクション攻撃を防ぐために、信頼できるウイルス対策ソフトウェアプログラムを使用して脆弱性スキャンを実行できます。 SQLインジェクションテストオンラインなどのツールを使用して、Webサイトが攻撃を受けているかどうかを確認します。
SQLインジェクション攻撃を防ぐには、次のルールに従ってください。
- 入力を直接含めることは絶対にしないでください。ただし、すべての入力をサニタイズしてください。
- データベースへの接続に使用されるアカウントにのみ必要なアクセス権を提供します。
- エラーメッセージにSQLステートメントを表示しないでください。 代わりに、一般的なメッセージを使用してください。
2)セキュリティの設定ミス
セキュリティの設定ミスにはSSL証明書の欠如が含まれる場合がありますが、通常はより多くの要因が含まれます。 これらは、Webサイトアプリケーションのメンテナンスと更新の欠如に起因するほぼすべてのタイプの脆弱性をカバーしています。
セキュリティの設定ミスは、Webサイトへの古いまたはサードパーティの無許可のアドオンであるプラグインから発生する可能性があります。 攻撃者がWebデータベース内の機密情報を悪用するためのウィンドウを提供できます。 さらに、データベースのセキュリティは、ユーザー特権の悪用、認証の弱さ、またはデータのバックアップ方法の不備によって危険にさらされる可能性があります。 ランサムウェア攻撃が成功するだけでなく、Webサイトが完全にシャットダウンする可能性もあります。
適切なウェブサイトのセキュリティを強化する方法
WebサイトのセキュリティはHTTPSから始まります。 ただし、プラグインの状態を詳しく調べ、CMSエンジンを更新し、サイトにセキュリティソフトウェアをインストールする必要があります。 安全な構成は、アプリケーション、アプリケーションサーバー、フレームワーク、データベースサーバー、Webサーバー、およびプラットフォームレベルで実装する必要があります。
これらは、今日のWebサイトに影響を与える可能性のある最も一般的な脆弱性です。 サイトをHTTPSに更新するだけではこれらの攻撃を阻止できない可能性があるため、Webサイトのデータベースとユーザーを安全に保つためにSSL証明書を超えて考える必要があります。
3)クロスサイトスクリプティング(XSS)
XSSには、悪意のあるスクリプトのWebサイトへの挿入が含まれており、これはSEOのもう1つの否定的な戦術です。 攻撃者はWebアプリケーションを利用して、悪意のあるコードをブラウザスクリプトの形式でユーザーに送信します。
信頼できるサイトの疑いを持たないユーザーがコードをクリックする可能性があります。これにより、ユーザーのCookie、機密性の高いブラウザー側の情報、およびセッショントークンにコードがアクセスできるようになります。 XSSスクリプトは、HTMLWebサイトページのコンテンツを書き換えることもできます。
WebサイトがXSS攻撃を受けているかどうかを確認する方法
XSSスキャナーなどのツールを使用します。
XSS攻撃を防ぐために何をすべきか
XSSセキュリティを防ぐには、コンテキスト依存の出力エンコーディングが必要です。 最近のほとんどのWebサイトには、XSSフィルターが含まれています。 ただし、URLエンコードを正しく適用する必要があります。
ウェブマスターは、 https://のようなホワイトリストに登録されたプロトコルのリンクのみを許可する必要があります。sojavascript://のようなURLスキームのスクリプトは禁止されたままになりません。
4)クロスサイトリクエストフォージェリ
CSRFは、ユーザーに意図しないアクションを実行するように強制します。 これは、オンサイトで状態を変更するリクエストを標的とする悪意のある攻撃です。
ソーシャルエンジニアリングを活用することで、犯罪者のハッカーはエンドユーザーをだまして攻撃者の入札のアクションを実行させることができます。 これには、資金の送金、パスワードの提供、または電子メールアドレスの変更が含まれます。 被害者がWebサイトの管理者である場合、CSRF攻撃は、会社全体のWebサイト機能を危険にさらす可能性があります。
そして、あなたが騙されるには頭が良すぎると思うなら、もう一度考えてみてください。 ノートンからのこれらの一般的な6種類のソーシャルエンジニアリング攻撃を確認してください。
- 餌
- フィッシング/スピアフィッシング
- メールハッキングと連絡先スパム
- プレテキスト
- Quid pro quo
- ビッシング
あなたのウェブサイトがクロスサイトリクエストフォージェリの下にあるかどうかをどうやって知ることができますか? CSRFを特定するためのOWASPのガイドラインは次のとおりです。
CSRP攻撃を阻止する方法
HTTPSはCSRF攻撃を阻止するのに十分ではありません。 サイト管理者は、フォームにハッシュを追加し、フォームとURLにリクエストごとのナンスを追加し、クライアントからのHTTPリクエストのリファラーヘッダーを確認する必要があります。 その他の手順には、ViewStatefor.NETスクリプトへのセッション識別子の追加が含まれます。
ハッキングはWebサイトのオーガニックトラフィックとSEOにどのように影響しますか?
攻撃者は、サイトのサイズと攻撃のトラフィックに関してサイトを区別しません。 トラフィックとSEOの両方にどのように影響するかを次に示します。
ブラックリストへの登録
ブラックリスト-あなたのウェブサイトが検索エンジンのインデックスから削除されたとき-マルウェア攻撃の最も深刻な結果の一つです。 ほとんどのWebサイトは通知を受け取らないため、ランサムウェアやマルウェアの攻撃の標的になる可能性があります。 いくつかのWebサイトには永続的な脆弱性があり、SQLインジェクション、XSS、CSRF、およびフィッシング攻撃を受けやすくなっています。
通知を受け取らなかった場合、Googleが異常な動作を発見し、サイトをブラックリストに登録したときに、金銭、評判、訪問者が継続的に失われる可能性があります。 ブラックリストに載っている自分を見つけることは、あらゆるWebサイトのすべてのトラフィックとSEOの終わりです。 しかし、それはきれいな場所で正方形から始める一つの方法です。
クロールのエラー
スクレーパーボットはサイトをクロールしてコンテンツをスクレイプし、検索エンジンボットをブロックし、データの盗難に関与します。 スクレーパーボットが別の場所に重複コンテンツを作成すると、SERPランキングもヒットする可能性があります。 Google SearchConsoleで404エラーと503エラーが発生する可能性があります。 それらは、リソースを大量に消費する無限ループを作成する責任があります。
重複するコンテンツを見つけたら、GoogleにDMCAの申し立てを行います。 プレミアムツールを使用してログファイルを定期的に分析すると、サイトをクロールするボットの完全なリストが作成されます。 ソースを特定して、良いボットと悪いボットを分離します。
Dive Deeper:GoogleがRobots.txtのサポートを停止Noindex:それがあなたにとって何を意味するか
SEOスパム
犯罪者のハッカーはSQLインジェクションを通じてSEOスパムを実行する可能性があり、その結果、Webサイトがブラックリストに登録されたり、GoogleSERPでのサイトの表示方法が完全に変更されたりする可能性があります。 また、トップランクのシグナルの1つであるWebサイトの速度を低下させる可能性もあります。
サイトでの悪意のあるアクティビティをリアルタイムで発見できるセキュリティプラグインとSEOツールが必要です。 脆弱性にパッチを当てることは絶対に不可欠です。 WordPressセキュリティの業界リーダーであるSucuriなどのWebサイトの健全な監視を提供する有料プラットフォームをチェックしてください(これは有料サービスですが、無料で限定されたWordPressスキャンを提供します)。
最終的な考え
結局のところ、Googleをアンチウイルスにしてはいけません。 Googleは信頼性の低いサイトにフラグを立て、ユーザーに脅威を与えるサイトをブラックリストに登録しますが、Googleの更新に依存することは、サイトのセキュリティとSEOを事前に管理する方法ではありません。
SEOを強化し、Webサイトのトラフィックを改善したい場合は、常にHTTPSから始めてください。 次に、サイトのSSL認証を超えて監視するWebサイト監視システムへの投資を検討してください。