Как слабая безопасность веб-сайта негативно влияет на рейтинг SEO

«Безопасность веб-сайтов» - давайте будем честными: когда вы в последний раз серьезно задумывались об этом? Когда вы или ваша команда SEO в последний раз уделяли две секунды последним тенденциям безопасности веб-сайтов?

Компании могут тратить миллиарды долларов на SEO прямо сейчас, но значительный процент предприятий, у которых есть веб-сайты, даже не думают о безопасности веб-сайтов.

Почему важна веб-безопасность

Как предприниматель, вы, вероятно, потратили сотни или даже тысячи долларов за годы на маркетинг и SEO, но самым слабым звеном в цепочке цифрового маркетинга явно является безопасность веб-сайта:

• Недавний опрос Google показывает, что американцы знают о безопасности веб-сайтов меньше, чем они думают: 55% американцев старше 16 ставят себе пятерку в области онлайн-безопасности и защиты, но 70% из них ошибочно определили, как выглядит безопасный веб-сайт. .
• Опрос Harris Poll, проведенный в марте 2019 года, показывает, что 97% участвующих миллениалов неправильно задают хотя бы один из шести вопросов о безопасности веб-сайтов .
• Число атак программ-вымогателей (разновидность вредоносного программного обеспечения, предназначенного для блокировки доступа к компьютерной системе до тех пор, пока не будет выплачена денежная сумма) увеличилось на 195% на предприятиях малого и среднего бизнеса по состоянию на первый квартал 2019 года.

Печальная правда заключается в том, что никто по-настоящему не заботится о безопасности веб-сайтов, пока не столкнется с реальной угрозой атак вредоносных программ или программ-вымогателей. В то время как у людей есть несколько простых и доступных способов оставаться в безопасности в Интернете, малый бизнес и даже более крупные компании видят в этом затраты, которые они не хотят платить, и сложный процесс, которому они не хотят учиться, поэтому они не готовы быть активными.

Поскольку эта угроза нависла над каждым бизнесом и сервисом, с каждым днем ​​становится все более важным вкладывать время и деньги в безопасность веб-сайтов. Потому что, если ваш сайт будет скомпрометирован, будет скомпрометирован весь ваш бизнес.

Погрузитесь глубже:

• 9 эффективных методов SEO для увеличения органического трафика в 2019 году
• Какие самые большие ошибки веб-сайта снижают мой рейтинг в поисковых системах?
• Как блокчейн может помочь в предотвращении цифрового мошенничества
• Глава 1: Объяснение блокчейна: лучшая одноранговая сеть

Первый шаг к безопасному веб-сайту

Основы безопасности веб-сайтов начинаются с SSL / TLS на существующем HTTP.

• SSL расшифровывается как Secure Sockets Layer и, короче говоря, это стандартная технология для обеспечения безопасности интернет-соединения и защиты любых конфиденциальных данных, которые пересылаются между двумя системами, не позволяя злоумышленникам читать и изменять любую передаваемую информацию, включая потенциальные личные данные.
• TLS означает безопасность транспортного уровня и представляет собой обновленную, более безопасную версию SSL. Мы по-прежнему называем наши сертификаты безопасности SSL, потому что это более часто используемый термин, но когда вы покупаете SSL у Symantec, вы фактически покупаете самые последние сертификаты TLS.

В чем разница между HTTP и HTTPS? Согласно SEOPressor:

• HTTP означает протокол передачи гипертекста . По сути, он обеспечивает связь между различными системами. Чаще всего он используется для передачи данных с веб-сервера в браузер, чтобы пользователи могли просматривать веб-страницы. Это протокол, который использовался практически на всех ранних веб-сайтах.
• HTTPS означает безопасный протокол передачи гипертекста . Проблема с обычным протоколом HTTP заключается в том, что информация, которая передается от сервера к браузеру, не зашифрована, что означает, что ее легко украсть . Протоколы HTTPS исправляют это с помощью сертификата SSL , который помогает создать безопасное зашифрованное соединение между сервером и браузером, тем самым защищая потенциально конфиденциальную информацию от кражи при ее передаче между сервером и браузером:

Переход с HTTP на HTTPS не является сложным и трудоемким (см. «Как добавить HTTPS на ваш сайт» ниже). С HTTPS и серверы, и клиенты могут продолжать общаться таким же образом, но с полным шифрованием своих запросов и ответов (то есть данных):

Однако не все безопасно с этим дополнительным уровнем шифрования. Сертификация SSL не гарантирует полной безопасности. Даже сайты HTTPS сталкиваются с изрядной долей фишинговых атак.

Это причина того, что вам необходимо принять адекватные меры для обеспечения безопасности вашего сайта, а не просто полагаться на HTTPS для полной безопасности сайта.

Погрузитесь глубже:

• Как разработать UX веб-сайта или приложения для увеличения конверсии
• 9 лучших провайдеров веб-хостинга

HTTPS - это сигнал ранжирования?

Переход с HTTP на HTTPS - это простой шаг, который может продвинуть ваш бизнес в поисковой выдаче Google, потому что Google помечает каждый сайт как «небезопасный», если он не имеет сертификата HTTPS.

Сначала HTTPS был легким сигналом ранжирования, а затем со временем Google придал большее значение HTTPS как сигналу ранжирования. В августе 2014 года Google объявил, что HTTPS является сигналом ранжирования:

Сегодня HTTPS - это пример доверия и безопасности, напрямую влияющий на UX и SEO сайта. Фактически, по состоянию на июль 2018 года все посетители сайтов без сертификата TLS получают от Google уведомление «небезопасно»:

Эти уведомления привели к тому, что веб-сайты без дополнительного уровня SSL увидели снижение трафика и коэффициента конверсии. Теперь можно с уверенностью сказать, что это стало важным аспектом технического SEO.

Погрузитесь глубже:

• 7 SEO-приемов для повышения вашего рейтинга в 2019 году
• 17 лучших бесплатных (или бесплатных) инструментов SEO для улучшения вашего рейтинга
• Как (и почему) создать эффективную структуру контента для лучшего ранжирования
• Что такое корпоративное SEO? (Определение, примеры и инструменты!)

Как добавить HTTPS на свой сайт

Вот несколько простых шагов, которые вы можете выполнить, чтобы переключиться с HTTP на HTTPS:

Купить SSL-сертификат

Приобрести сертификат SSL не так уж и сложно. Во-первых, проконсультируйтесь с вашей хостинговой компанией. Есть ли в вашем тарифном плане сертификат? Если цены и тип сертификата соответствуют вашим требованиям, поговорите с ними о добавлении сертификата в вашу службу.

Кроме того, вы можете поискать центры сертификации. Ищите предпочтительные цены и типы сертификатов. Затем приобретите и подтвердите свой сертификат. Сертификаты SSL могут быть разных типов, включая DV, OV, EV, Multi-website и wildcards.

CertWizard от Digicert поможет вам выбрать нужный тип SSL-сертификата:

Проверить и установить сертификат

После того, как вы приобрели сертификат SSL, который соответствует вашим требованиям, пора его проверить. Проверка может занять от пары минут до нескольких дней, в зависимости от типа вашего сертификата.

После получения сообщения от центра сертификации загрузите файлы.

Процесс установки будет зависеть от источника вашего сертификата. Службы веб-хостинга обычно берут на себя установку и оптимизируют действия веб-мастера.

Вот как вы можете установить сертификат, приобретенный не на вашем хостинге:

• Войдите в свой аккаунт менеджера веб-хостинга.
• Перейдите к опции «Установить сертификат SSL».
• Введите сертификат SSL, ваше доменное имя, для которого требуется SSL, и ваш ключ (ваш центр сертификации должен предоставить вам ключ и сертификат SSL).
• Щелкните «Установить».

Подтвердите сертификат SSL

Следующим шагом является проверка, и для этого вам необходимо выйти из интерфейса менеджера веб-хостинга и редактора веб-сайтов. Затем проверьте адресную строку - отображается ли тег HTTPS? Помимо адреса HTTPS, вы должны увидеть следующее:

• Зеленый замок в адресной строке
• Название вашей компании (сертификаты EV)
• Зеленая адресная строка (сертификаты электромобилей)

• Знак доверия или значок доверия на месте (в зависимости от типа сертификата и центра сертификации):

Вы должны использовать инструмент проверки SSL на всякий случай, чтобы проверить статус безопасности вашего сайта.

Обновите ссылки на ваш сайт

Установка SSL-сертификата через панель управления должна легко переключить ваш HTTP-сайт на HTTPS. Помимо основных страниц сайта, вам необходимо проверить другой контент, который имеет ссылки на ваш сайт:

• Сообщения в социальных сетях и биографии
• Блоги размещения контента вашего сайта
• Профили маркетинга и продаж в Интернете
• Профили форума онлайн
• Партнерские сайты, на которых есть прямая ссылка на логотип вашего сайта.

Примечание: имейте в виду, что ваши старые социальные сети, сообщения в блогах и встроенные ссылки могут по-прежнему направлять трафик на HTTP-версию сайта, поэтому вам нужно вручную просмотреть свои прошлые публикации за пределами сайта, чтобы исправить эти старые ссылки.

Погрузитесь глубже: как исправить 15 распространенных технических проблем SEO на месте

Обновите свой Sitemap

Создать новую карту сайта в формате XML не составляет труда. Вы можете сделать это из своей учетной записи Google Analytics. Проверьте URL-адрес вашего веб-сайта по умолчанию в разделе «Настройки ресурса» в разделе «Свойство» вашей учетной записи администратора.

Обновите http: // до https: // и сохраните изменения.

Чтобы обновить карту сайта, посетите Инструменты для веб-мастеров:

• Зайдите в Search Console
• Нажмите на настройки - значок шестеренки в правом верхнем углу.
• Выберите «изменение адреса»

Google проведет вас через следующие шаги по обновлению карты сайта, включая выбор нового сайта и подтверждение переадресации 301. Нажмите «Отправить», как только закончите вносить изменения.

Получить и установить сертификат HTTPS довольно просто для всех пользователей веб-сайта. Описанные выше шаги применимы ко всем версиям WordPress, а также к некоторым другим платформам CMS.

Если у вас есть надежный поставщик услуг веб-хостинга, вы должны поговорить с ним, чтобы быстро установить и легко перенести свой сайт с HTTP на HTTPS, изменив свой план хостинга.

Что скрывается за HTTPS в сфере кибербезопасности?

Хотя HTTPS важен, это еще не все, что нужно для безопасности веб-сайта. Во время работы веб-сайты сталкиваются с множеством различных типов угроз кибербезопасности, таких как:

1) SQL-инъекции

SQL-инъекция - это метод внедрения кода и гнусный метод негативного SEO, который преступный хакер (или ваш конкурент) может использовать, чтобы вывести из строя ваш сайт. Злоумышленник получает доступ к серверной части вашей базы данных, вводя коды в уязвимое или поврежденное содержимое базы данных через ввод веб-страницы (например, пользователь вводит свое «имя пользователя» с помощью оператора SQL). Это по-прежнему одна из самых распространенных угроз, поскольку она очень эффективна.

Это может повлиять на любой веб-сайт, использующий серверы MySQL, Oracle и SQL.

Как проверить, не подвергся ли ваш сайт атаке с использованием SQL-инъекции

Чтобы предотвратить атаки с использованием SQL-инъекций, вы можете запустить сканирование уязвимостей с помощью надежных антивирусных программ. Узнайте, подвергается ли веб-сайт атаке, с помощью такого инструмента, как SQL Injection Test Online.

Следуйте этим правилам, чтобы предотвратить атаки с использованием SQL-инъекций:

• Никогда не следует включать ввод напрямую, а дезинфицировать все вводы.
• Предоставляйте необходимые права доступа только тем учетным записям, которые используются для подключения к базе данных.
• Не отображайте операторы SQL в сообщениях об ошибках; вместо этого используйте общее сообщение.

2) Неверные конфигурации в безопасности

Неправильная конфигурация безопасности может включать отсутствие сертификата SSL, но обычно они связаны с большим количеством факторов. Они охватывают практически все типы уязвимостей, возникающие из-за отсутствия обслуживания и обновления приложений веб-сайтов.

Неправильная конфигурация системы безопасности может возникнуть из-за устаревших подключаемых модулей или сторонних, неавторизованных надстроек к веб-сайту. Они могут предоставить злоумышленникам окно для использования конфиденциальной информации в веб-базе данных. Кроме того, безопасность базы данных может быть поставлена ​​под угрозу из-за злоупотребления правами пользователя, слабой аутентификации или плохой практики резервного копирования данных. Помимо успешных атак программ-вымогателей, это также может привести к полному закрытию веб-сайта.

Как усилить надлежащую безопасность веб-сайта

Безопасность веб-сайтов начинается с HTTPS. Однако вам нужно глубже изучить состояние ваших плагинов, обновить движок CMS и установить программное обеспечение безопасности на свой сайт. Безопасная конфигурация должна быть реализована на уровне приложения, сервера приложений, инфраструктуры, сервера базы данных, веб-сервера и платформы.

Это наиболее распространенные уязвимости, которые сегодня могут повлиять на любой веб-сайт. Обновления вашего сайта до HTTPS может быть недостаточно, чтобы остановить эти атаки, поэтому вам нужно подумать не только о SSL-сертификатах, чтобы обеспечить безопасность вашей базы данных сайта и пользователей.

3) Межсайтовый скриптинг (XSS)

XSS включает внедрение вредоносных скриптов на веб-сайты и является еще одной негативной тактикой SEO. Злоумышленник использует веб-приложение для отправки пользователю вредоносного кода в виде сценария браузера.

Ничего не подозревающий пользователь доверенного сайта, скорее всего, нажмет на код, который дает коду доступ к файлам cookie пользователя, конфиденциальной информации на стороне браузера и токенам сеанса. Сценарии XSS также могут переписывать содержимое HTML-страниц веб-сайта.

Как проверить, не подвергся ли ваш сайт XSS-атаке

Используйте такой инструмент, как XSS Scanner:

Что делать, чтобы предотвратить атаки XSS

Кодирование вывода, зависящее от контекста, необходимо для предотвращения любой безопасности XSS. Большинство современных веб-сайтов содержат фильтр XSS. Однако они требуют правильного применения кодировки URL.

Веб-мастерам необходимо разрешить только ссылки с протоколами из белого списка, такими как https: //, поэтому скрипты со схемами URL, такими как javascript: //, запрещены.

4) Подделка межсайтовых запросов

CSRF вынуждает пользователя выполнять действия, которые он или она, возможно, не собирались делать. Это вредоносная атака, нацеленная на запросы на изменение состояния на месте.

Использование социальной инженерии позволяет хакеру-преступнику обмануть конечного пользователя и заставить его выполнить действия по приказу злоумышленника. Это может быть перевод средств, предоставление паролей или изменение адреса электронной почты. Если жертва является администратором веб-сайта, CSRF-атака может поставить под угрозу функции веб-сайта всей компании.

И если вы думаете, что слишком умны, чтобы вас обманули, подумайте еще раз. Ознакомьтесь с 6 распространенными типами атак социальной инженерии от Norton:

• Приманка
• Фишинг / целевой фишинг
• Взлом электронной почты и рассылка контактного спама
• Предтекст
• Услуга за услугу
• Вишинг

Как узнать, находится ли ваш сайт под подделкой межсайтовых запросов? Вот рекомендации OWASP по идентификации CSRF.

Как остановить атаки CSRP

HTTPS недостаточно, чтобы остановить атаки CSRF. Администратору сайта необходимо добавить хэш к формам, одноразовый идентификатор для каждого запроса к формам и URL, а также проверить заголовок реферера в HTTP-запросе от клиента. Другие шаги включают добавление идентификатора сеанса в ViewState для сценариев .NET.

Как взлом может повлиять на органический трафик веб-сайта и SEO?

Злоумышленники не делают различий между сайтами с точки зрения их размера и трафика для атак. Вот как это может повлиять на ваш трафик и SEO:

Занесение в черный список

Внесение в черный список - когда ваш сайт удаляется из индекса поисковых систем - является одним из самых серьезных последствий атак вредоносных программ. Поскольку большинство веб-сайтов не получают никаких уведомлений, они могут неоднократно становиться объектами атак программ-вымогателей и вредоносных программ. Некоторые веб-сайты имеют постоянные уязвимости, которые делают их уязвимыми для SQL-инъекций, XSS, CSRF и фишинговых атак.

Отсутствие уведомлений может означать постоянную потерю денег, репутации и посетителей, когда Google обнаруживает аномальное поведение и заносит сайт в черный список. Попадание в черный список - это конец всего трафика и SEO для любого сайта. Однако это один из способов начать с чистого листа.

Ошибки при сканировании

Боты-скребки сканируют сайты, чтобы очищать контент, блокировать ботов поисковых систем и участвовать в краже данных. Ваш рейтинг в поисковой выдаче также может пострадать, когда боты-скребки создают дублированный контент в другом месте. Они могут создавать ошибки 404 и 503 в вашей консоли поиска Google. Они несут ответственность за создание ресурсоемких бесконечных циклов.

Обнаружив дублирующийся контент, подайте жалобу DMCA в Google. Регулярный анализ файлов журнала с помощью дополнительных инструментов может составить исчерпывающий список ботов, сканирующих ваш сайт. Определите их источник, чтобы отделить хороших ботов от плохих.

Погрузитесь глубже: Google прекратит поддержку Robots.txt Noindex: что это значит для вас

SEO-спам

Преступные хакеры могут получить SEO-спам с помощью SQL-инъекций, что может привести к занесению вашего сайта в черный список или полному изменению того, как ваш сайт отображается в поисковой выдаче Google. Они также могут снизить скорость вашего сайта, что является одним из главных сигналов ранжирования.

Вам нужны плагины безопасности и инструменты SEO, которые могут обнаруживать вредоносную активность на вашем сайте в режиме реального времени. Устранение уязвимостей абсолютно необходимо. Обратите внимание на платные платформы, которые предлагают полноценный мониторинг веб-сайтов, такие как Sucuri, лидер отрасли в области безопасности WordPress (это платная услуга, но они предлагают ограниченное сканирование WordPress бесплатно).

Последние мысли

В конце концов, вы не должны делать Google своим антивирусом. Google помечает ненадежные сайты и заносит в черный список те, которые представляют угрозу для пользователей, но полагаться на обновления Google не является упреждающим способом заботиться о безопасности вашего сайта и поисковой оптимизации.

Если вы хотите улучшить свое SEO и увеличить посещаемость своего сайта, всегда начинайте с HTTPS. Затем подумайте об инвестировании в систему наблюдения за веб-сайтом, которая отслеживает не только SSL-сертификат вашего сайта.