Como a segurança do site ruim afeta negativamente as classificações de SEO

“Segurança do site” - vamos ser honestos: quando foi a última vez que você pensou seriamente nisso? Quando foi a última vez que você ou sua equipe de SEO gastaram dois segundos nas últimas tendências de segurança para sites?

As empresas podem estar gastando bilhões de dólares em SEO agora, mas uma porcentagem significativa de empresas com sites nem mesmo pensa na segurança de sites.

Por que a segurança da web é importante

Como empreendedor, você provavelmente gastou centenas ou mesmo milhares de dólares ao longo dos anos em marketing e SEO, mas o elo mais fraco na cadeia de marketing digital é claramente a segurança do site:

• Uma pesquisa recente do Google mostra que os americanos sabem menos do que acreditam sobre segurança de sites: 55% dos americanos com mais de 16 anos se classificam como A ou B em segurança e proteção on-line, mas 70% deles identificaram erroneamente a aparência de um site seguro .
• Uma pesquisa Harris Poll de março de 2019 mostra que 97% dos participantes da geração do milênio acertam pelo menos uma das seis perguntas sobre segurança de sites .
• Ataques de ransomware (um tipo de software malicioso projetado para bloquear o acesso a um sistema de computador até que uma quantia em dinheiro seja paga) aumentaram 195% em pequenas e médias empresas a partir do primeiro trimestre de 2019.

A triste verdade é que ninguém realmente se preocupa com a segurança do site até que enfrente uma ameaça real de ataques de malware ou ransomware. Embora os indivíduos tenham várias maneiras fáceis e acessíveis de se manterem seguros na web, as pequenas e até mesmo grandes empresas veem isso como um custo que não querem pagar e um processo complexo que não querem aprender, portanto não dispostos a ser proativos.

Com essa ameaça pairando sobre todos os sites de negócios e serviços, está se tornando mais crítico a cada dia investir tempo e dinheiro na segurança do site. Porque se o seu site for comprometido, todo o seu negócio ficará comprometido.

Mergulhe mais fundo:

• 9 técnicas eficazes de SEO para direcionar o tráfego orgânico em 2019
• Quais são os maiores erros de site que estão reduzindo meu ranking de SEO?
• Como o Blockchain pode ser fundamental na prevenção de fraude digital
• Capítulo 1: Blockchain explicado: a rede ponto a ponto final

Primeiro passo para um site seguro

As noções básicas de segurança de sites começam com SSL / TLS em seu HTTP existente.

• SSL significa Secure Sockets Layer e, em suma, é a tecnologia padrão para manter uma conexão de internet segura e proteger todos os dados sensíveis que estão sendo enviados entre dois sistemas, evitando que criminosos leiam e modifiquem qualquer informação transferida, incluindo possíveis detalhes pessoais.
• TLS significa Transport Layer Security e é apenas uma versão atualizada e mais segura do SSL. Ainda nos referimos aos nossos certificados de segurança como SSL porque é um termo mais comumente usado, mas quando você compra SSL da Symantec, na verdade, compra os certificados TLS mais atualizados.

Qual é a diferença entre HTTP e HTTPS? De acordo com SEOPressor:

• HTTP significa protocolo de transferência de hipertexto . Em sua forma mais básica, permite a comunicação entre diferentes sistemas. É mais comumente usado para transferir dados de um servidor da web para um navegador, a fim de permitir que os usuários visualizem páginas da web. É o protocolo que foi usado basicamente para todos os primeiros sites.
• HTTPS significa Hypertext Transfer Protocol Secure . O problema com o protocolo HTTP regular é que as informações que fluem do servidor para o navegador não são criptografadas, o que significa que podem ser facilmente roubadas . Os protocolos HTTPS resolvem isso usando um certificado SSL , que ajuda a criar uma conexão criptografada segura entre o servidor e o navegador, protegendo assim informações potencialmente confidenciais de serem roubadas durante sua transferência entre o servidor e o navegador:

Mudar de HTTP para HTTPS não é complicado nem demorado (consulte “Como adicionar HTTPS ao seu site” abaixo). Com HTTPS, os servidores e clientes podem continuar conversando da mesma maneira, mas com criptografia completa de suas solicitações e respostas (ou seja, dados):

No entanto, nem tudo está seguro e protegido com essa camada extra de criptografia. A certificação SSL não garante segurança total. Mesmo os sites HTTPS enfrentam seu quinhão de ataques de phishing.

Esta é a razão pela qual você precisa tomar medidas adequadas para manter seu site seguro e não apenas confiar em HTTPS para segurança completa do site.

Mergulhe mais fundo:

• Como projetar a UX de um site ou aplicativo para aumentar as conversões
• 9 melhores provedores de hospedagem na web

HTTPS é um sinal de classificação?

Mudar de HTTP para HTTPS é uma etapa simples que pode levar seus negócios adiante nas SERPs do Google, porque o Google sinaliza cada site como “inseguro”, a menos que tenha uma certificação HTTPS.

No início, HTTPS era um sinal de classificação leve e, com o tempo, o Google deu mais peso ao HTTPS como um sinal de classificação. Em agosto de 2014, o Google anunciou que HTTPS é um sinal de classificação:

Hoje, HTTPS é o garoto-propaganda da confiança e da segurança, influenciando diretamente a UX e o SEO de um site. Na verdade, a partir de julho de 2018, todos os visitantes de sites sem um certificado TLS recebem uma notificação "não seguro" do Google:

Essas notificações resultaram em sites sem a camada SSL extra vendo tráfego reduzido e taxas de conversão. Agora é seguro dizer que se tornou um aspecto significativo do SEO técnico.

Mergulhe mais fundo:

• 7 dicas de SEO para impulsionar sua classificação em 2019
• 17 melhores ferramentas de SEO grátis (ou freemium) para melhorar sua classificação
• Como (e por que) criar uma estrutura de conteúdo eficaz para uma melhor classificação
• O que é SEO empresarial? (Definição, exemplos e ferramentas!)

Como adicionar HTTPS ao seu site

Aqui estão algumas etapas fáceis que você pode seguir para mudar de HTTP para HTTPS:

Adquira um certificado SSL

Adquirir um certificado SSL não é tão difícil. Primeiro, verifique com sua empresa de hospedagem na web. Seu plano de hospedagem inclui um certificado? Se o preço e o tipo de certificado estiverem de acordo com seus requisitos, converse com eles sobre como adicioná-los ao seu serviço.

Como alternativa, você pode procurar autoridades de certificação. Procure preços e tipos de certificado preferíveis. Em seguida, compre e verifique seu certificado. Os certificados SSL podem ser de vários tipos, incluindo DV, OV, EV, Multi-site da Web e curingas.

O CertWizard da Digicert pode orientá-lo sobre que tipo de certificado SSL você precisa:

Verifique e instale o certificado

Depois de adquirir o certificado SSL que atende aos seus requisitos, é hora de verificá-lo. A verificação pode levar de alguns minutos a alguns dias, dependendo do tipo de certificado.

Depois de receber a palavra da autoridade de certificação, baixe os arquivos.

O processo de instalação dependerá da fonte do seu certificado. Os serviços de hospedagem na Web normalmente assumem a instalação e agilizam as etapas para o webmaster.

Veja como você pode instalar o certificado adquirido fora do seu serviço de hospedagem na web:

• Faça login em sua conta de gerente de hospedagem na web.
• Vá para a opção “Instalar certificado SSL”.
• Insira o certificado SSL, seu nome de domínio que precisa do SSL e sua chave (sua Autoridade de Certificação deve fornecer a chave e o certificado SSL).
• Clique em “Instalar”.

Valide o certificado SSL

A próxima etapa é a validação e, para isso, você precisa se desconectar do gerenciador de hospedagem e da interface do editor do site. Em seguida, verifique a barra de endereço - ela mostra a tag HTTPS? Além do endereço HTTPS, você deve ver o seguinte:

• Um cadeado verde na barra de endereço
• Seu nome comercial (certificados EV)
• Uma barra de endereço verde (certificados EV)

• O selo de segurança local de confiança ou crachá de confiança (dependendo do tipo de certificado e autoridade de certificação):

Você deve usar uma ferramenta de verificação de SSL para garantir o status de segurança do seu site.

Atualize os links do seu site

Instalar o certificado SSL por meio do painel de controle deve alternar seu site HTTP para HTTPS perfeitamente. Além das páginas principais do site, você precisa verificar outro conteúdo que tenha links para o seu site:

• Postagens em mídias sociais e biografias
• Blogs de hospedagem do conteúdo do seu site
• Perfis de marketing e venda na web
• Perfis de fórum online
• Sites de parceiros que contêm um link direto para o logotipo de seu site

Nota: Lembre-se de que suas antigas mídias sociais, postagens de blog e links incorporados ainda podem direcionar o tráfego para a versão HTTP do site, portanto, você precisa vasculhar manualmente suas postagens externas anteriores para corrigir esses links antigos.

Dive Deeper: como corrigir 15 problemas técnicos comuns de SEO no local

Atualize seu Sitemap

Gerar um novo mapa do site XML não é um desafio. Você pode fazer isso em sua conta do Google Analytics. Verifique o URL padrão do seu site nas “Configurações da propriedade” na opção “Propriedade” da sua conta de administrador.

Atualize o http: // para https: // e salve a alteração.

Para atualizar o mapa do site, visite as Ferramentas do Google para webmasters:

• Vá para o Search Console
• Clique em configurações - o ícone de engrenagem no canto superior direito
• Selecione “mudança de endereço”

O Google o guiará pelas próximas etapas de atualização do mapa do site, incluindo a seleção do novo site e a confirmação de redirecionamentos 301. Clique em “Enviar” quando terminar de fazer as alterações.

Adquirir e instalar um certificado HTTPS é bastante simples para todos os usuários do site. As etapas que descrevemos acima são pertinentes a todas as versões do WordPress e também a algumas outras plataformas CMS.

Se você tem um provedor de serviços de hospedagem na web confiável, deve falar com eles para uma instalação rápida e uma migração perfeita de seu site de HTTP para HTTPS, ajustando seu plano de hospedagem.

O que está além do HTTPS no reino da cibersegurança?

Embora HTTPS seja essencial, ele não é tudo para a segurança de um site. Os sites enfrentam muitos tipos diferentes de ameaças à segurança cibernética durante a execução, como:

1) Injeções de SQL

Uma injeção de SQL é uma técnica de injeção de código e uma técnica nefasta de SEO negativo que um hacker criminoso (ou seu concorrente) pode implantar para derrubar seu site. O invasor obtém acesso ao backend de seu banco de dados injetando códigos no conteúdo do banco de dados vulnerável ou corrompido por meio de entrada de página da web (como um usuário inserindo seu “nome de usuário” com uma instrução SQL). Ainda é uma das ameaças mais comuns porque é altamente eficaz.

Pode afetar qualquer site que use servidores MySQL, Oracle e SQL.

Como verificar se o seu site está sob um ataque de injeção de SQL

Para evitar ataques de injeção de SQL, você pode executar varreduras de vulnerabilidade usando programas de software antivírus confiáveis. Descubra se o site está sofrendo um ataque usando uma ferramenta como o SQL Injection Test Online.

Siga estas regras para evitar ataques de injeção de SQL:

• Você nunca deve incluir a entrada diretamente, mas higienizar todas as entradas.
• Forneça apenas os direitos de acesso necessários para contas usadas para conexão com o banco de dados.
• Não exiba instruções SQL em mensagens de erro; em vez disso, use uma mensagem genérica.

2) Configurações incorretas de segurança

As configurações incorretas de segurança podem incluir a falta de um certificado SSL, mas geralmente abrangem mais fatores. Eles cobrem quase todos os tipos de vulnerabilidades que resultam da falta de manutenção e atualização de aplicativos de sites.

Uma configuração incorreta de segurança pode surgir de plug-ins desatualizados ou de complementos não autorizados de terceiros para um site. Eles podem fornecer uma janela para invasores explorarem informações confidenciais em um banco de dados da web. Além disso, a segurança do banco de dados pode ser comprometida por meio de abuso de privilégios de usuário, autenticação fraca ou práticas inadequadas de backup de dados. Além de resultar em ataques de ransomware bem-sucedidos, isso também pode resultar no desligamento completo do site.

Como reforçar a segurança adequada do site

A segurança do site começa com HTTPS. No entanto, você precisa examinar mais a fundo o estado de seus plug-ins, atualizar seu mecanismo CMS e instalar o software de segurança em seu site. A configuração segura precisa ser implementada no aplicativo, servidor de aplicativo, estrutura, servidor de banco de dados, servidor da web e níveis de plataforma.

Essas são as vulnerabilidades mais comuns que podem afetar qualquer site hoje. Atualizar seu site para HTTPS pode não ser suficiente para impedir esses ataques, então você precisa pensar além dos certificados SSL para manter o banco de dados do seu site e os usuários seguros.

3) Cross-Site Scripting (XSS)

O XSS inclui a injeção de scripts maliciosos em sites e é outra tática de SEO negativa. O invasor utiliza um aplicativo da web para enviar código malicioso ao usuário na forma de script de navegador.

O usuário desavisado do site confiável provavelmente clicará no código, o que dá ao código acesso aos cookies do usuário, informações confidenciais do navegador e tokens de sessão. Os scripts XSS também podem reescrever o conteúdo das páginas do site em HTML.

Como verificar se o seu site está sob um ataque XSS

Use uma ferramenta como o XSS Scanner:

O que fazer para prevenir ataques XSS

A codificação de saída dependente do contexto é necessária para evitar qualquer segurança XSS. A maioria dos sites modernos contém um filtro XSS. No entanto, eles exigem a aplicação correta da codificação de URL.

Os webmasters precisam permitir apenas links com protocolos permitidos como https: // s o nenhum script com esquemas de URL como javascript: // permanece bloqueado.

4) Falsificação de solicitação entre sites

O CSRF força o usuário a realizar ações que ele ou ela não pretendia. É um ataque malicioso que visa as solicitações de mudança de estado no local.

O aproveitamento da engenharia social permite que o hacker criminoso engane o usuário final, levando-o a executar ações conforme as ordens do invasor. Pode incluir transferência de fundos, fornecimento de senhas ou alteração de endereço de e-mail. Se a vítima for o administrador de um site, um ataque CSRF pode comprometer as funções do site de toda a empresa.

E se você acha que é muito inteligente para ser enganado, pense novamente. Confira estes 6 tipos comuns de ataques de engenharia social do Norton:

• Isca
• Phishing / Spear phishing
• Hack de email e spam de contato
• Pretexting
• Quid pro quo
• Vishing

Como você pode saber se o seu site está sob uma falsificação de solicitação entre sites? Aqui estão as diretrizes do OWASP para identificar um CSRF.

Como parar ataques CSRP

HTTPS não é suficiente para impedir ataques CSRF. O administrador do site precisa adicionar um hash aos formulários, nonce por solicitação aos formulários e URL, e verificar o cabeçalho do referenciador na solicitação HTTP do cliente. Outras etapas incluem adicionar um identificador de sessão ao script ViewState for.NET.

Como um hack pode afetar o tráfego orgânico e o SEO de um site?

Os invasores não fazem distinção entre sites em termos de tamanho e tráfego para ataques. Veja como isso pode afetar seu tráfego e SEO:

Na lista negra

A lista negra - quando seu site é removido do índice dos mecanismos de pesquisa - é uma das consequências mais graves dos ataques de malware. Como a maioria dos sites não recebe nenhuma notificação, eles podem ser alvo de ataques de ransomware e malware repetidamente. Vários sites têm vulnerabilidades persistentes que os tornam sujeitos a injeções de SQL, XSS, CSRF e ataques de phishing.

Não receber qualquer notificação pode significar uma perda contínua de dinheiro, reputação e visitantes quando o Google identifica o comportamento anômalo e coloca o site na lista negra. Encontrar-se na lista negra é o fim de todo o tráfego e SEO de qualquer site. No entanto, é uma maneira de começar do zero com um site limpo.

Erros de rastreamento

Scraper bots rastreiam sites para extrair conteúdo, bloquear robôs de mecanismos de pesquisa e se envolver em roubo de dados. Suas classificações de SERP também podem ser afetadas quando os robôs de raspagem criam conteúdo duplicado em outro local. Eles podem criar erros 404 e 503 em seu Google Search Console. Eles são responsáveis ​​por criar loops infinitos com uso intensivo de recursos.

Ao encontrar conteúdo duplicado, registre uma reclamação de DMCA com o Google. A análise de rotina de arquivos de log com ferramentas premium pode produzir uma lista exaustiva de bots rastreando seu site. Identifique sua origem para separar os bots bons dos ruins.

Mergulhe mais fundo: Google deixará de oferecer suporte a Robots.txt Noindex: O que isso significa para você

Spam de SEO

Hackers criminosos podem obter spam de SEO por meio de injeções de SQL, o que pode resultar na lista negra de seu site ou na alteração completa de como seu site aparece nas SERPs do Google. Eles também podem reduzir a velocidade do seu site, que é um dos principais sinais de classificação.

Você precisa de plug-ins de segurança e ferramentas de SEO que possam detectar atividades maliciosas em tempo real em seu site. Corrigir as vulnerabilidades é absolutamente essencial. Confira as plataformas pagas que oferecem monitoramento completo de sites, como a Sucuri, líder do setor em segurança WordPress (é um serviço pago, mas oferece digitalização limitada em WordPress gratuitamente).

Pensamentos finais

No fim das contas, você não deve fazer do Google seu antivírus. O Google sinaliza sites não confiáveis ​​e coloca na lista negra aqueles que representam uma ameaça para os usuários, mas confiar nas atualizações do Google não é uma forma proativa de cuidar da segurança e do SEO do seu site.

Se você deseja aprimorar seu SEO e melhorar o tráfego do seu site, sempre comece com HTTPS. Então, pense em investir em um sistema de vigilância de sites que monitore além da certificação SSL do seu site.