Jak słabe bezpieczeństwo witryny negatywnie wpływa na rankingi SEO

„Bezpieczeństwo strony internetowej” - bądźmy szczerzy: kiedy ostatnio poważnie o tym myślałeś? Kiedy ostatnio Ty lub Twój zespół SEO spędziliście dwie sekundy na najnowszych trendach bezpieczeństwa witryn internetowych?

Firmy mogą obecnie wydawać miliardy dolarów na pozycjonowanie, ale znaczny odsetek przedsiębiorstw, które mają strony internetowe, nawet nie myśli o bezpieczeństwie witryn.

Dlaczego bezpieczeństwo w sieci jest ważne

Jako przedsiębiorca prawdopodobnie wydałeś przez lata setki, a nawet tysiące dolarów na marketing i SEO, ale najsłabszym ogniwem w łańcuchu marketingu cyfrowego jest oczywiście bezpieczeństwo witryny:

• Niedawna ankieta Google pokazuje, że Amerykanie wiedzą mniej niż sądzą o bezpieczeństwie witryn internetowych: 55% Amerykanów w wieku powyżej 16 lat przyznaje sobie ocenę A lub B w zakresie bezpieczeństwa online, ale 70% z nich błędnie określiło, jak wygląda bezpieczna witryna .
• Z ankiety przeprowadzonej przez Harris Poll z marca 2019 r. Wynika, że ​​97% uczestniczących pokoleń milenialsów otrzymuje co najmniej jedno z sześciu pytań dotyczących bezpieczeństwa witryny internetowej .
• Ataki ransomware (rodzaj złośliwego oprogramowania zaprojektowanego w celu blokowania dostępu do systemu komputerowego do czasu zapłacenia określonej kwoty) wzrosły o 195% w przypadku małych i średnich firm od pierwszego kwartału 2019 roku.

Smutna prawda jest taka, że ​​nikt tak naprawdę nie przejmuje się bezpieczeństwem witryn internetowych, dopóki nie stanie w obliczu rzeczywistego zagrożenia atakami złośliwego oprogramowania lub ransomware. Podczas gdy osoby fizyczne mają kilka łatwych i niedrogich sposobów na zachowanie bezpieczeństwa w sieci, małe firmy, a nawet większe firmy postrzegają to jako koszt, którego nie chcą płacić, oraz złożony proces, którego nie chcą się uczyć, więc nie są chcą być proaktywni.

Ponieważ zagrożenie to zagraża każdej firmie i każdej witrynie usługowej, każdego dnia coraz ważniejsze staje się inwestowanie czasu i pieniędzy w bezpieczeństwo witryn internetowych. Ponieważ jeśli Twoja witryna zostanie naruszona, cała Twoja firma zostanie zagrożona.

Zanurkuj głębiej:

• 9 skutecznych technik SEO zwiększających ruch organiczny w 2019 r
• Jakie są największe błędy w witrynie, które obniżają mój ranking SEO?
• Jak Blockchain może odegrać kluczową rolę w zapobieganiu oszustwom cyfrowym
• Rozdział 1: Poradnik Blockchain: Najlepsza sieć peer-to-peer

Pierwszy krok w kierunku bezpiecznej witryny internetowej

Podstawy bezpieczeństwa witryny zaczynają się od SSL / TLS na istniejącym HTTP.

• SSL to skrót od Secure Sockets Layer i, w skrócie, jest to standardowa technologia zapewniająca bezpieczeństwo połączenia internetowego i ochronę wszelkich wrażliwych danych przesyłanych między dwoma systemami, uniemożliwiając przestępcom odczyt i modyfikację wszelkich przesyłanych informacji, w tym potencjalnych danych osobowych.
• TLS to skrót od Transport Layer Security i jest po prostu zaktualizowaną, bezpieczniejszą wersją SSL. Nadal nazywamy nasze certyfikaty bezpieczeństwa SSL, ponieważ jest to częściej używany termin, ale kupując SSL od firmy Symantec, w rzeczywistości kupujesz najbardziej aktualne certyfikaty TLS.

Jaka jest różnica między HTTP a HTTPS? Zgodnie z SEOPressor:

• HTTP to skrót od Hypertext Transfer Protocol . W najprostszym przypadku umożliwia komunikację między różnymi systemami. Jest najczęściej używany do przesyłania danych z serwera internetowego do przeglądarki, aby umożliwić użytkownikom przeglądanie stron internetowych. Jest to protokół, który był używany w zasadzie we wszystkich wczesnych witrynach internetowych.
• HTTPS to skrót od Hypertext Transfer Protocol Secure . Problem ze zwykłym protokołem HTTP polega na tym, że informacje przesyłane z serwera do przeglądarki nie są szyfrowane, co oznacza, że ​​można je łatwo ukraść . Protokoły HTTPS rozwiązują ten problem za pomocą certyfikatu SSL , który pomaga stworzyć bezpieczne, szyfrowane połączenie między serwerem a przeglądarką, chroniąc w ten sposób potencjalnie wrażliwe informacje przed kradzieżą podczas przesyłania między serwerem a przeglądarką:

Przejście z HTTP na HTTPS nie jest ani skomplikowane, ani czasochłonne (patrz „Jak dodać HTTPS do swojej witryny” poniżej). Dzięki HTTPS zarówno serwery, jak i klienci mogą kontynuować konwersację w ten sam sposób, ale z pełnym szyfrowaniem ich żądań i odpowiedzi (tj. Danych):

Jednak nie wszystko jest bezpieczne dzięki tej dodatkowej warstwie szyfrowania. Certyfikacja SSL nie zapewnia pełnego bezpieczeństwa. Nawet witryny HTTPS mają spory udział w atakach phishingowych.

To jest powód, dla którego musisz podjąć odpowiednie środki, aby zapewnić bezpieczeństwo swojej witryny, a nie polegać tylko na HTTPS w celu zapewnienia pełnego bezpieczeństwa witryny.

Zanurkuj głębiej:

• Jak zaprojektować UX witryny lub aplikacji w celu zwiększenia konwersji
• 9 najlepszych dostawców usług hostingowych

Czy HTTPS to sygnał rankingowy?

Przejście z HTTP na HTTPS jest prostym krokiem, który może poprowadzić Twoją firmę do przodu w SERPach Google, ponieważ Google oznacza każdą witrynę jako „niebezpieczną”, chyba że ma ona certyfikat HTTPS.

Początkowo HTTPS był słabym sygnałem rankingowym, a z czasem Google położył większą wagę na HTTPS jako sygnale rankingowym. W sierpniu 2014 r. Google ogłosił, że HTTPS to sygnał rankingowy:

Dzisiaj HTTPS jest dzieckiem zaufania i bezpieczeństwa, bezpośrednio wpływającym na UX i SEO witryny. W rzeczywistości od lipca 2018 r. Wszyscy odwiedzający witryny bez certyfikatu TLS otrzymują od Google powiadomienie „niezabezpieczone”:

Te powiadomienia spowodowały, że witryny bez dodatkowej warstwy SSL widziały zmniejszony ruch i współczynniki konwersji. Teraz można śmiało powiedzieć, że stało się to istotnym aspektem technicznego SEO.

Zanurkuj głębiej:

• 7 hacków SEO, które poprawią Twój ranking w 2019 roku
• 17 najlepszych darmowych (lub darmowych) narzędzi SEO, które poprawią Twój ranking
• Jak (i ​​dlaczego) stworzyć skuteczną strukturę treści w celu uzyskania lepszego rankingu
• Co to jest SEO dla przedsiębiorstw? (Definicja, przykłady i narzędzia!)

Jak dodać HTTPS do swojej witryny

Oto kilka prostych kroków, które możesz wykonać, aby przełączyć się z HTTP na HTTPS:

Kup certyfikat SSL

Zakup certyfikatu SSL nie jest taki trudny. Najpierw skontaktuj się z firmą hostingową. Czy Twój plan hostingowy zawiera certyfikat? Jeśli cena i typ certyfikatu są zgodne z Twoimi wymaganiami, porozmawiaj z nimi o dodaniu go do swojej usługi.

Alternatywnie możesz poszukać urzędów certyfikacji. Poszukaj preferowanych cen i typów certyfikatów. Następnie kup i zweryfikuj swój certyfikat. Certyfikaty SSL mogą być różnych typów, w tym DV, OV, EV, Multi-website i wildcards.

Digicert's CertWizard pomoże Ci określić, jakiego typu certyfikatu SSL potrzebujesz:

Sprawdź i zainstaluj certyfikat

Po zakupie certyfikatu SSL, który spełnia Twoje wymagania, czas go zweryfikować. Weryfikacja może zająć od kilku minut do kilku dni, w zależności od typu certyfikatu.

Po otrzymaniu wiadomości od urzędu certyfikacji pobierz pliki.

Proces instalacji będzie zależał od źródła certyfikatu. Usługi hostingowe zazwyczaj przejmują instalację i upraszczają czynności dla webmastera.

Oto jak możesz zainstalować certyfikat zakupiony spoza Twojej usługi hostingowej:

• Zaloguj się na swoje konto menedżera hostingu.
• Przejdź do opcji „Zainstaluj certyfikat SSL”.
• Wprowadź certyfikat SSL, nazwę domeny, która wymaga SSL i Twój klucz (Twój urząd certyfikacji powinien dostarczyć Ci klucz i certyfikat SSL).
• Kliknij „Zainstaluj”.

Sprawdź poprawność certyfikatu SSL

Następnym krokiem jest walidacja iw tym celu musisz wylogować się ze swojego menedżera hostingu i interfejsu edytora witryny. Następnie sprawdź pasek adresu - czy wyświetla tag HTTPS? Oprócz adresu HTTPS powinieneś zobaczyć następujące informacje:

• Zielona kłódka na pasku adresu
• Nazwa Twojej firmy (certyfikaty EV)
• Zielony pasek adresu (certyfikaty EV)

• Lokalna pieczęć bezpieczeństwa lub identyfikator zaufania (w zależności od typu certyfikatu i urzędu certyfikacji):

Powinieneś użyć narzędzia do sprawdzania SSL na wszelki wypadek, aby zapewnić stan bezpieczeństwa swojej witryny.

Zaktualizuj łącza do swojej witryny

Zainstalowanie certyfikatu SSL za pośrednictwem panelu sterowania powinno bezproblemowo przełączyć witrynę HTTP na HTTPS. Oprócz głównych stron witryny musisz sprawdzić inne treści, które zawierają linki do Twojej witryny:

• Posty i biografie w mediach społecznościowych
• Blogi dotyczące hostowania zawartości Twojej witryny
• Profile marketingowe i sprzedażowe w internecie
• Profile forum online
• Witryny partnerskie, które zawierają bezpośredni link do logo Twojej witryny

Uwaga: pamiętaj, że Twoje stare media społecznościowe, posty na blogach i osadzone linki mogą nadal kierować ruch do wersji HTTP witryny, więc musisz ręcznie przejrzeć poprzednie posty poza witryną, aby naprawić te stare linki.

Dive Deeper: Jak naprawić 15 typowych technicznych problemów z SEO w witrynie

Zaktualizuj swoją mapę witryny

Wygenerowanie nowej mapy witryny XML nie jest wyzwaniem. Możesz to zrobić ze swojego konta Google Analytics. Sprawdź domyślny adres URL swojej witryny w „Ustawieniach usługi” w opcji „Usługa” na koncie administratora.

Zaktualizuj http: // do https: // i zapisz zmianę.

Aby zaktualizować mapę witryny, odwiedź Narzędzia dla webmasterów:

• Przejdź do Search Console
• Kliknij ustawienia - ikona koła zębatego w prawym górnym rogu
• Wybierz „zmiana adresu”

Google przeprowadzi Cię przez kolejne etapy aktualizacji mapy witryny, w tym wybór nowej witryny i potwierdzenie przekierowań 301. Kliknij „Prześlij” po zakończeniu wprowadzania zmian.

Uzyskanie i zainstalowanie certyfikatu HTTPS jest dość proste dla wszystkich użytkowników witryny. Kroki, które opisaliśmy powyżej, dotyczą wszystkich wersji WordPressa i kilku innych platform CMS.

Jeśli masz niezawodnego dostawcę usług hostingowych, powinieneś porozmawiać z nim o szybkiej instalacji i bezproblemowej migracji Twojej witryny z HTTP do HTTPS poprzez dostosowanie planu hostingowego.

Co kryje się poza protokołem HTTPS w dziedzinie cyberbezpieczeństwa?

Chociaż HTTPS jest niezbędny, to nie wszystko, co należy zrobić, jeśli chodzi o bezpieczeństwo witryny. Podczas działania strony internetowe napotykają wiele różnych rodzajów zagrożeń cyberbezpieczeństwa, takich jak:

1) Zastrzyki SQL

Wstrzyknięcie SQL to technika wstrzykiwania kodu i nikczemna negatywna technika SEO, którą haker (lub konkurent) może zastosować w celu zablokowania witryny. Osoba atakująca uzyskuje dostęp do zaplecza Twojej bazy danych, wstrzykując kody do wrażliwej lub uszkodzonej zawartości bazy danych za pośrednictwem danych wejściowych na stronie internetowej (np. Użytkownik wprowadzający swoją „nazwę użytkownika” za pomocą instrukcji SQL). Wciąż jest jednym z najczęstszych zagrożeń, ponieważ jest bardzo skuteczny.

Może mieć wpływ na każdą witrynę korzystającą z serwerów MySQL, Oracle i SQL.

Jak sprawdzić, czy Twoja witryna jest pod atakiem typu SQL Injection

Aby zapobiec atakom polegającym na wstrzykiwaniu SQL, można uruchomić skanowanie luk w zabezpieczeniach przy użyciu zaufanego oprogramowania antywirusowego. Dowiedz się, czy witryna jest celem ataku, korzystając z narzędzia takiego jak SQL Injection Test Online.

Postępuj zgodnie z tymi regułami, aby zapobiec atakom polegającym na iniekcji SQL:

• Nigdy nie należy dołączać danych wejściowych bezpośrednio, ale oczyścić wszystkie dane wejściowe.
• Zapewnij tylko niezbędne prawa dostępu do kont używanych do łączenia się z bazą danych.
• Nie wyświetlaj instrukcji SQL w komunikatach o błędach; zamiast tego użyj ogólnej wiadomości.

2) Błędne konfiguracje w zabezpieczeniach

Błędne konfiguracje zabezpieczeń mogą obejmować brak certyfikatu SSL, ale zazwyczaj obejmują więcej czynników. Obejmują prawie wszystkie rodzaje luk, które wynikają z braku utrzymania i aktualizacji aplikacji internetowych.

Błędna konfiguracja zabezpieczeń może wynikać z nieaktualnych wtyczek lub nieautoryzowanych dodatków innych firm do witryny internetowej. Mogą stanowić okno dla napastników do wykorzystania poufnych informacji w internetowej bazie danych. Ponadto bezpieczeństwo bazy danych może zostać naruszone przez nadużycie uprawnień użytkownika, słabe uwierzytelnianie lub nieodpowiednie praktyki tworzenia kopii zapasowych danych. Oprócz pomyślnych ataków ransomware może to również spowodować całkowite zamknięcie witryny.

Jak wzmocnić właściwe bezpieczeństwo witryny internetowej

Bezpieczeństwo witryny zaczyna się od HTTPS. Musisz jednak dokładniej przyjrzeć się stanowi wtyczek, zaktualizować silnik CMS i zainstalować oprogramowanie zabezpieczające w swojej witrynie. Bezpieczną konfigurację należy wdrożyć na poziomie aplikacji, serwera aplikacji, struktury, serwera bazy danych, serwera WWW i platformy.

Są to najczęstsze luki w zabezpieczeniach, które mogą wpływać obecnie na każdą witrynę internetową. Zaktualizowanie witryny do HTTPS może nie wystarczyć, aby powstrzymać te ataki, więc musisz pomyśleć poza certyfikatami SSL, aby chronić bazę danych witryny i użytkowników.

3) Cross-Site Scripting (XSS)

XSS obejmuje wstrzykiwanie złośliwych skryptów do witryn internetowych i jest kolejną negatywną taktyką SEO. Atakujący wykorzystuje aplikację internetową do wysyłania szkodliwego kodu do użytkownika w postaci skryptu przeglądarki.

Niczego nie podejrzewający użytkownik zaufanej witryny prawdopodobnie kliknie kod, który daje dostęp do plików cookie użytkownika, poufnych informacji po stronie przeglądarki i tokenów sesji. Skrypty XSS mogą również przepisać zawartość stron HTML.

Jak sprawdzić, czy Twoja witryna jest atakowana przez XSS

Skorzystaj z narzędzia takiego jak XSS Scanner:

Co zrobić, aby zapobiec atakom XSS

Kodowanie wyjściowe zależne od kontekstu jest niezbędne, aby zapobiec wszelkim zabezpieczeniom XSS. Większość nowoczesnych witryn internetowych zawiera filtr XSS. Wymagają jednak prawidłowego zastosowania kodowania adresów URL.

Webmasterzy muszą zezwalać tylko na linki z białymi protokołami, takimi jak https: // s lub żadne skrypty ze schematami URL, takie jak javascript: //, pozostają zablokowane.

4) Fałszerstwo żądań między lokacjami

CSRF zmusza użytkownika do wykonywania działań, których nie zamierzał. Jest to złośliwy atak, którego celem są żądania zmieniające stan w witrynie.

Wykorzystanie inżynierii społecznej pozwala hakerowi na oszukanie użytkownika końcowego w celu wykonania działań zgodnie z ofertą napastnika. Może to obejmować przelew środków, podanie haseł lub zmianę adresu e-mail. Jeśli ofiara jest administratorem witryny, atak CSRF może zagrozić funkcjom witryny całej firmy.

A jeśli uważasz, że jesteś zbyt sprytny, by dać się oszukać, pomyśl jeszcze raz. Zapoznaj się z 6 typowymi typami ataków socjotechnicznych Norton:

• Przynęta
• Phishing / Spear phishing
• Hakowanie e-maili i spamowanie kontaktów
• Pretexting
• Coś za coś
• Vishing

Skąd możesz wiedzieć, czy Twoja witryna jest pod fałszywym żądaniem między witrynami? Oto wytyczne OWASP dotyczące identyfikacji CSRF.

Jak powstrzymać ataki CSRP

HTTPS nie wystarczy, aby powstrzymać ataki CSRF. Administrator witryny musi dodać skrót do formularzy, numer jednorazowy na żądanie do formularzy i adresu URL oraz sprawdzić nagłówek strony odsyłającej w żądaniu HTTP od klienta. Inne kroki obejmują dodanie identyfikatora sesji do skryptów ViewState for.NET.

Jak włamanie może wpłynąć na ruch organiczny i SEO w witrynie?

Atakujący nie rozróżniają witryn pod względem ich rozmiaru i ruchu w celu przeprowadzenia ataków. Oto, jak może wpłynąć zarówno na ruch, jak i na SEO:

Czarna lista

Czarna lista - gdy witryna zostanie usunięta z indeksu wyszukiwarek - jest jedną z najpoważniejszych konsekwencji ataków złośliwego oprogramowania. Ponieważ większość witryn internetowych nie otrzymuje żadnego powiadomienia, mogą być wielokrotnie atakowane przez oprogramowanie ransomware i złośliwe oprogramowanie. Kilka witryn ma trwałe luki, które czynią je podatnymi na iniekcje SQL, XSS, CSRF i ataki phishingowe.

Brak powiadomienia może oznaczać ciągłą utratę pieniędzy, reputacji i odwiedzających, gdy Google wykryje anomalne zachowanie i umieści witrynę na czarnej liście. Znalezienie się na czarnej liście to koniec całego ruchu i SEO dla każdej witryny. Jednak jest to jeden ze sposobów, aby zacząć od kwadratu z czystym miejscem.

Błędy w indeksowaniu

Boty Scraper przeszukują witryny w celu pobierania treści, blokowania robotów wyszukiwarek i kradzieży danych. Twoje rankingi SERP mogą również zostać uderzone, gdy boty scraper utworzą zduplikowaną zawartość w innej lokalizacji. Mogą tworzyć błędy 404 i 503 w Google Search Console. Są odpowiedzialne za tworzenie nieskończonych pętli wymagających dużej ilości zasobów.

Po znalezieniu zduplikowanych treści złóż skargę DMCA do Google. Rutynowa analiza plików dziennika za pomocą narzędzi premium może stworzyć wyczerpującą listę botów indeksujących Twoją witrynę. Zidentyfikuj ich źródło, aby oddzielić dobre boty od złych.

Dive Deeper: Google przestanie wspierać Robots.txt Noindex: Co to oznacza dla Ciebie

Spam SEO

Przestępcy hakerzy mogą uzyskać spam SEO poprzez wstrzyknięcia SQL, co może spowodować umieszczenie Twojej witryny na czarnej liście lub całkowitą zmianę jej wyglądu w wyszukiwarkach Google. Mogą również zmniejszyć szybkość witryny, co jest jednym z najważniejszych sygnałów w rankingu.

Potrzebujesz wtyczek zabezpieczających i narzędzi SEO, które mogą wykryć złośliwą aktywność w Twojej witrynie w czasie rzeczywistym. Naprawianie luk jest absolutnie niezbędne. Sprawdź płatne platformy, które oferują pełnowartościowe monitorowanie stron internetowych, takie jak Sucuri, lider w branży bezpieczeństwa WordPress (jest to usługa płatna, ale oferują ograniczone skanowanie WordPress za darmo).

Końcowe przemyślenia

Ostatecznie nie możesz uczynić Google swoim programem antywirusowym. Google oznacza niewiarygodne witryny i umieszcza na czarnych listach te, które stanowią zagrożenie dla użytkowników, ale poleganie na aktualizacjach Google nie jest proaktywnym sposobem dbania o bezpieczeństwo witryny i SEO.

Jeśli chcesz ulepszyć swoje SEO i poprawić ruch w witrynie, zawsze zaczynaj od HTTPS. Następnie pomyśl o zainwestowaniu w system monitorowania witryn, który monitoruje Twoją witrynę poza certyfikatem SSL.