ความปลอดภัยของเว็บไซต์แย่แค่ไหนส่งผลเสียต่อการจัดอันดับ SEO
เผยแพร่แล้ว: 2020-12-19“ ความปลอดภัยของเว็บไซต์” - พูดตามตรง: ครั้งสุดท้ายที่คุณคิดเกี่ยวกับเรื่องนี้อย่างจริงจังคือเมื่อใด ครั้งสุดท้ายที่คุณหรือทีม SEO ของคุณใช้เวลาสองวินาทีกับแนวโน้มความปลอดภัยล่าสุดสำหรับเว็บไซต์?
บริษัท ต่างๆอาจใช้จ่ายเงินหลายพันล้านดอลลาร์ในการทำ SEO ในขณะนี้ แต่ส่วนใหญ่ขององค์กรที่มีเว็บไซต์ไม่ได้คิดถึงความปลอดภัยของเว็บไซต์
เหตุใดความปลอดภัยของเว็บจึงมีความสำคัญ
ในฐานะผู้ประกอบการคุณอาจใช้เงินหลายร้อยหรือหลายพันดอลลาร์ในช่วงหลายปีในการทำการตลาดและ SEO แต่ลิงก์ที่อ่อนแอที่สุดในห่วงโซ่การตลาดดิจิทัลคือความปลอดภัยของเว็บไซต์อย่างชัดเจน:
- การสำรวจล่าสุดของ Google แสดงให้เห็นว่าชาวอเมริกันรู้น้อยกว่าที่พวกเขาเชื่อเกี่ยวกับความปลอดภัยของเว็บไซต์: 55% ของชาวอเมริกันที่มีอายุมากกว่า 16 ปีให้คะแนน A หรือ B ในด้านความปลอดภัยและความปลอดภัยทางออนไลน์ แต่ 70% ของพวกเขาระบุ อย่างผิด ๆ ว่าเว็บไซต์ที่ปลอดภัยมีลักษณะอย่างไร .
- การสำรวจโพลแฮร์ริสจากมีนาคม 2019 แสดงให้เห็นว่า 97% ของผู้ที่เข้าร่วมโครงการจะได้รับ Millennials ที่หนึ่งอย่างน้อยหกออกมาจากคำถามเกี่ยวกับความปลอดภัยของเว็บไซต์ที่ไม่ถูกต้อง
- การโจมตีของ Ransomware (ซอฟต์แวร์ที่เป็นอันตรายประเภทหนึ่งที่ออกแบบมาเพื่อบล็อกการเข้าถึงระบบคอมพิวเตอร์จนกว่าจะมีการจ่ายเงินจำนวนหนึ่ง) เพิ่มขึ้น 195% ในธุรกิจขนาดเล็กและขนาดกลาง ณ ไตรมาสแรกของปี 2019
ความจริงที่น่าเศร้าก็คือไม่มีใครกังวลเรื่องความปลอดภัยของเว็บไซต์จนกว่าพวกเขาจะเผชิญกับภัยคุกคามที่แท้จริงของการโจมตีของมัลแวร์หรือแรนซัมแวร์ ในขณะที่แต่ละคนมีวิธีที่ง่ายและราคาไม่แพงหลายวิธีในการรักษาความปลอดภัยบนเว็บ แต่ธุรกิจขนาดเล็กและ บริษัท ขนาดใหญ่มองว่าเป็นต้นทุนที่พวกเขาไม่ต้องการจ่ายและกระบวนการที่ซับซ้อนที่พวกเขาไม่ต้องการเรียนรู้ดังนั้นจึงไม่ ยินดีที่จะทำงานเชิงรุก
ด้วยภัยคุกคามนี้ที่ปรากฏในทุกธุรกิจและไซต์บริการจึงมีความสำคัญมากขึ้นทุกวันในการลงทุนเวลาและเงินในการรักษาความปลอดภัยของเว็บไซต์ เนื่องจากหากเว็บไซต์ของคุณถูกบุกรุกธุรกิจทั้งหมดของคุณจะถูกบุกรุก
ดำน้ำลึก:
- 9 เทคนิค SEO ที่มีประสิทธิภาพเพื่อกระตุ้นการเข้าชมอินทรีย์ในปี 2019
- อะไรคือข้อผิดพลาดที่ใหญ่ที่สุดของเว็บไซต์ที่ทำให้อันดับ SEO ของฉันลดลง?
- Blockchain เป็นเครื่องมือในการป้องกันการฉ้อโกงทางดิจิทัลได้อย่างไร
- บทที่ 1: Blockchain อธิบาย: สุดยอดเครือข่าย Peer-to-Peer
ขั้นตอนแรกสู่เว็บไซต์ที่ปลอดภัย
พื้นฐานของการรักษาความปลอดภัยเว็บไซต์เริ่มต้นด้วย SSL / TLS บน HTTP ที่คุณมีอยู่
- SSL ย่อมาจาก Secure Sockets Layer และเรียกสั้น ๆ ว่าเป็นเทคโนโลยีมาตรฐานในการรักษาการเชื่อมต่ออินเทอร์เน็ตให้ปลอดภัยและปกป้องข้อมูลสำคัญใด ๆ ที่ถูกส่งระหว่างสองระบบป้องกันอาชญากรจากการอ่านและแก้ไขข้อมูลที่ถ่ายโอนรวมถึงรายละเอียดส่วนบุคคลที่อาจเกิดขึ้น
- TLS ย่อมาจาก Transport Layer Security และเป็นเพียง SSL เวอร์ชันที่อัปเดตและปลอดภัยยิ่งขึ้น เรายังคงอ้างถึงใบรับรองความปลอดภัยของเราว่า SSL เนื่องจากเป็นคำที่ใช้บ่อยกว่า แต่เมื่อคุณซื้อ SSL จาก Symantec คุณกำลังซื้อใบรับรอง TLS ที่เป็นปัจจุบันที่สุด
HTTP และ HTTPS แตกต่างกันอย่างไร ตาม SEOPressor:
- HTTP ย่อมาจาก Hypertext Transfer Protocol โดยพื้นฐานที่สุดแล้วจะช่วยให้สามารถสื่อสารระหว่างระบบต่างๆได้ โดยทั่วไปจะใช้เพื่อถ่ายโอนข้อมูลจากเว็บเซิร์ฟเวอร์ไปยังเบราว์เซอร์เพื่อให้ผู้ใช้สามารถดูหน้าเว็บได้ เป็นโปรโตคอลที่ใช้สำหรับเว็บไซต์แรก ๆ ทั้งหมด
- HTTPS ย่อมาจาก Hypertext Transfer Protocol Secure ปัญหาเกี่ยวกับโปรโตคอล HTTP ปกติคือข้อมูลที่ไหลจากเซิร์ฟเวอร์ไปยังเบราว์เซอร์ไม่ได้รับการเข้ารหัสซึ่งหมายความว่าสามารถ ขโมยได้ง่าย โปรโตคอล HTTPS แก้ไขปัญหานี้โดยใช้ ใบรับรอง SSL ซึ่งช่วยสร้างการเชื่อมต่อที่เข้ารหัสอย่างปลอดภัยระหว่างเซิร์ฟเวอร์และเบราว์เซอร์ดังนั้นจึงป้องกันข้อมูลที่มีความละเอียดอ่อนที่อาจเกิดขึ้นจากการถูกขโมยเมื่อโอนระหว่างเซิร์ฟเวอร์และเบราว์เซอร์:
การเปลี่ยนจาก HTTP เป็น HTTPS นั้นไม่ยุ่งยากและใช้เวลานาน (ดู“ วิธีเพิ่ม HTTPS ในเว็บไซต์ของคุณ” ด้านล่าง) ด้วย HTTPS ทั้งเซิร์ฟเวอร์และไคลเอ็นต์สามารถสนทนาต่อไปในลักษณะเดียวกัน แต่ด้วยการเข้ารหัสคำขอและการตอบกลับโดยสมบูรณ์ (เช่นข้อมูล):
อย่างไรก็ตามไม่ใช่ทั้งหมดที่ปลอดภัยด้วยการเข้ารหัสชั้นพิเศษนั้น การรับรอง SSL ไม่รับประกันความปลอดภัยที่สมบูรณ์ แม้แต่เว็บไซต์ HTTPS ก็ต้องเผชิญกับการโจมตีแบบฟิชชิง
นี่คือเหตุผลที่คุณต้องใช้มาตรการที่เหมาะสมเพื่อให้ไซต์ของคุณปลอดภัยและไม่เพียง แต่พึ่งพา HTTPS เพื่อความปลอดภัยของไซต์อย่างสมบูรณ์
ดำน้ำลึก:
- วิธีออกแบบ UX ของเว็บไซต์หรือแอปเพื่อเพิ่ม Conversion
- 9 ผู้ให้บริการเว็บโฮสติ้งที่ดีที่สุด
HTTPS เป็นสัญญาณการจัดอันดับหรือไม่?
การเปลี่ยนจาก HTTP ไปเป็น HTTPS เป็นขั้นตอนง่ายๆที่จะทำให้ธุรกิจของคุณก้าวไปข้างหน้าใน SERP ของ Google ได้เนื่องจาก Google ตั้งค่าสถานะว่าทุกไซต์ "ไม่ปลอดภัย" เว้นแต่จะมีการรับรอง HTTPS
ในตอนแรก HTTPS เป็นสัญญาณการจัดอันดับที่มีน้ำหนักเบาและเมื่อเวลาผ่านไป Google ให้น้ำหนักกับ HTTPS มากขึ้นในฐานะสัญญาณการจัดอันดับ เมื่อเดือนสิงหาคม 2014 Google ได้ประกาศว่า HTTPS เป็นสัญญาณการจัดอันดับ:
ปัจจุบัน HTTPS เป็นลูกโปสเตอร์แห่งความไว้วางใจและความปลอดภัยซึ่งมีอิทธิพลโดยตรงต่อ UX และ SEO ของไซต์ ในความเป็นจริง ณ เดือนกรกฎาคม 2018 ผู้เยี่ยมชมไซต์ทั้งหมดที่ไม่มีใบรับรอง TLS จะได้รับการแจ้งเตือน "ไม่ปลอดภัย" จาก Google:
การแจ้งเตือนเหล่านี้ส่งผลให้เว็บไซต์ที่ไม่มีเลเยอร์ SSL พิเศษลดการเข้าชมและอัตรา Conversion ตอนนี้ปลอดภัยที่จะกล่าวได้ว่ามันกลายเป็นสิ่งสำคัญของ SEO ทางเทคนิค
ดำน้ำลึก:
- 7 SEO Hacks เพื่อเพิ่มอันดับของคุณในปี 2019
- 17 เครื่องมือ SEO ฟรีที่ดีที่สุด (หรือ Freemium) เพื่อปรับปรุงอันดับของคุณ
- วิธี (และทำไม) ในการสร้างโครงสร้างเนื้อหาที่มีประสิทธิภาพเพื่อการจัดอันดับที่ดีขึ้น
- Enterprise SEO คืออะไร? (นิยามตัวอย่างและเครื่องมือ!)
วิธีเพิ่ม HTTPS ในเว็บไซต์ของคุณ
ต่อไปนี้เป็นขั้นตอนง่ายๆที่คุณสามารถทำตามเพื่อเปลี่ยนจาก HTTP เป็น HTTPS:
ซื้อใบรับรอง SSL
การซื้อใบรับรอง SSL ไม่ใช่เรื่องยาก ขั้นแรกตรวจสอบกับ บริษัท เว็บโฮสติ้งของคุณ แผนบริการโฮสติ้งของคุณมีใบรับรองหรือไม่? หากราคาและประเภทใบรับรองเป็นไปตามข้อกำหนดของคุณโปรดปรึกษาพวกเขาเกี่ยวกับการเพิ่มในบริการของคุณ
หรือคุณสามารถมองหาผู้ออกใบรับรอง มองหาราคาและประเภทใบรับรองที่ต้องการ จากนั้นซื้อและตรวจสอบใบรับรองของคุณ ใบรับรอง SSL สามารถมีได้หลายประเภท ได้แก่ DV, OV, EV, Multi-website และ wildcards
CertWizard ของ Digicert สามารถแนะนำคุณเกี่ยวกับใบรับรอง SSL ประเภทใดที่คุณต้องการ:
ตรวจสอบและติดตั้งใบรับรอง
เมื่อคุณซื้อใบรับรอง SSL ที่ตรงตามข้อกำหนดของคุณแล้วก็ถึงเวลาตรวจสอบ การตรวจสอบอาจใช้เวลาสองถึงสามนาทีถึงสองสามวันขึ้นอยู่กับประเภทใบรับรองของคุณ
หลังจากที่คุณได้รับคำรับรองจากหน่วยงานรับรองของคุณแล้วให้ดาวน์โหลดไฟล์
ขั้นตอนการติดตั้งจะขึ้นอยู่กับแหล่งที่มาของใบรับรองของคุณ โดยทั่วไปบริการเว็บโฮสติ้งจะเข้าควบคุมการติดตั้งและปรับปรุงขั้นตอนสำหรับผู้ดูแลเว็บ
วิธีติดตั้งใบรับรองที่ซื้อจากภายนอกบริการเว็บโฮสติ้งมีดังนี้
- ลงชื่อเข้าใช้บัญชีผู้จัดการเว็บโฮสติ้งของคุณ
- ไปที่ตัวเลือก“ ติดตั้งใบรับรอง SSL”
- ป้อนใบรับรอง SSL ชื่อโดเมนของคุณที่ต้องใช้ SSL และคีย์ของคุณ (ผู้ออกใบรับรองควรให้คีย์และใบรับรอง SSL แก่คุณ)
- คลิกที่ "ติดตั้ง"
ตรวจสอบใบรับรอง SSL
ขั้นตอนต่อไปคือการตรวจสอบความถูกต้องและคุณต้องออกจากระบบผู้จัดการเว็บโฮสติ้งและอินเทอร์เฟซตัวแก้ไขเว็บไซต์ จากนั้นตรวจสอบแถบที่อยู่ - แสดงแท็ก HTTPS หรือไม่ นอกเหนือจากที่อยู่ HTTPS แล้วคุณจะเห็นสิ่งต่อไปนี้:
- แม่กุญแจสีเขียวในแถบที่อยู่
- ชื่อธุรกิจของคุณ (ใบรับรอง EV)
- แถบที่อยู่สีเขียว (ใบรับรอง EV)
- ตราประทับความน่าเชื่อถือหรือตราความน่าเชื่อถือในสถานที่ (ขึ้นอยู่กับประเภทใบรับรองและผู้ออกใบรับรอง):
คุณควรใช้เครื่องมือตรวจสอบ SSL ในกรณีที่ตรวจสอบสถานะความปลอดภัยของเว็บไซต์ของคุณ
อัปเดตลิงค์เว็บไซต์ของคุณ
การติดตั้งใบรับรอง SSL ผ่านแผงควบคุมควรเปลี่ยนไซต์ HTTP ของคุณเป็น HTTPS อย่างราบรื่น นอกเหนือจากหน้าเว็บไซต์หลักคุณต้องตรวจสอบเนื้อหาอื่น ๆ ที่มีลิงก์ไปยังไซต์ของคุณ:
- โพสต์โซเชียลมีเดียและไบออส
- บล็อกของการโฮสต์เนื้อหาไซต์ของคุณ
- โปรไฟล์การตลาดและการขายทั่วทั้งเว็บ
- โปรไฟล์ฟอรัมออนไลน์
- เว็บไซต์พันธมิตรที่มีลิงก์โดยตรงไปยังโลโก้เว็บไซต์ของคุณ
หมายเหตุ: โปรดทราบว่าโซเชียลมีเดียบล็อกโพสต์และลิงก์ที่ฝังไว้อาจยังคงนำการเข้าชมไปยังไซต์เวอร์ชัน HTTP ดังนั้นคุณต้องรวบรวมโพสต์นอกไซต์ที่ผ่านมาด้วยตนเองเพื่อแก้ไขลิงก์เก่าเหล่านี้
Dive Deeper: วิธีแก้ไขปัญหา SEO บนเว็บไซต์ที่พบบ่อย 15 ข้อ
อัปเดตแผนผังไซต์ของคุณ
การสร้างแผนผังไซต์ XML ใหม่ไม่ใช่เรื่องท้าทาย คุณสามารถทำได้จากบัญชี Google Analytics ของคุณ ตรวจสอบ URL เริ่มต้นของเว็บไซต์ของคุณใน "การตั้งค่าพร็อพเพอร์ตี้" ใต้ตัวเลือก "พร็อพเพอร์ตี้" ของบัญชีผู้ดูแลระบบของคุณ
อัปเดต http: // เป็น https: // และบันทึกการเปลี่ยนแปลง
หากต้องการอัปเดตแผนผังเว็บไซต์ไปที่เครื่องมือของผู้ดูแลเว็บ:
- ไปที่ Search Console
- คลิกที่การตั้งค่า - ไอคอนรูปเฟืองที่ด้านบนขวา
- เลือก "เปลี่ยนที่อยู่"
Google จะนำคุณผ่านขั้นตอนต่อไปในการอัปเดตแผนผังเว็บไซต์รวมถึงการเลือกไซต์ใหม่และยืนยันการเปลี่ยนเส้นทาง 301 กด "ส่ง" เมื่อคุณทำการเปลี่ยนแปลงเสร็จสิ้น
การรับและติดตั้งใบรับรอง HTTPS นั้นค่อนข้างตรงไปตรงมาสำหรับผู้ใช้เว็บไซต์ทั้งหมด ขั้นตอนที่เราได้อธิบายไว้ข้างต้นเกี่ยวข้องกับ WordPress ทุกเวอร์ชันและแพลตฟอร์ม CMS อื่น ๆ ด้วยเช่นกัน
หากคุณมีผู้ให้บริการเว็บโฮสติ้งที่เชื่อถือได้คุณควรพูดคุยกับพวกเขาเพื่อการติดตั้งอย่างรวดเร็วและการย้ายเว็บไซต์ของคุณจาก HTTP ไปยัง HTTPS อย่างราบรื่นโดยการปรับแผนการโฮสต์ของคุณ
สิ่งที่อยู่นอกเหนือจาก HTTPS ในขอบเขตของความปลอดภัยทางไซเบอร์?
แม้ว่า HTTPS จะมีความสำคัญ แต่ก็ไม่ได้มีเพียงแค่ความปลอดภัยของเว็บไซต์เท่านั้น เว็บไซต์ต้องเผชิญกับภัยคุกคามความปลอดภัยทางไซเบอร์หลายประเภทในขณะที่ทำงานเช่น:
1) การฉีด SQL
การแทรก SQL เป็นเทคนิคการแทรกโค้ดและเทคนิค SEO เชิงลบที่ชั่วร้ายซึ่งแฮกเกอร์อาชญากร (หรือคู่แข่งของคุณ) อาจปรับใช้เพื่อทำให้ไซต์ของคุณล่มสลาย ผู้โจมตีสามารถเข้าถึงแบ็กเอนด์ของฐานข้อมูลของคุณได้โดยการฉีดรหัสลงในเนื้อหาฐานข้อมูลที่มีช่องโหว่หรือเสียหายผ่านการป้อนข้อมูลหน้าเว็บ (เช่นผู้ใช้ป้อน "ชื่อผู้ใช้" ด้วยคำสั่ง SQL) ยังคงเป็นหนึ่งในภัยคุกคามที่พบบ่อยเนื่องจากมีประสิทธิภาพสูง
อาจส่งผลต่อเว็บไซต์ใด ๆ ที่ใช้เซิร์ฟเวอร์ MySQL, Oracle และ SQL
วิธีตรวจสอบว่าเว็บไซต์ของคุณอยู่ภายใต้การโจมตีของ SQL Injection หรือไม่
เพื่อป้องกันการโจมตีด้วยการแทรก SQL คุณสามารถเรียกใช้การสแกนช่องโหว่โดยใช้โปรแกรมซอฟต์แวร์ป้องกันไวรัสที่น่าเชื่อถือ ตรวจสอบว่าเว็บไซต์กำลังประสบกับการโจมตีโดยใช้เครื่องมือเช่น SQL Injection Test Online หรือไม่
ปฏิบัติตามกฎเหล่านี้เพื่อป้องกันการโจมตี SQL injection:
- คุณไม่ควรรวมอินพุตโดยตรง แต่ต้องล้างข้อมูลอินพุตทั้งหมด
- ให้สิทธิ์การเข้าถึงที่จำเป็นสำหรับบัญชีที่ใช้สำหรับเชื่อมต่อกับฐานข้อมูลเท่านั้น
- อย่าแสดงคำสั่ง SQL ในข้อความแสดงข้อผิดพลาด ใช้ข้อความทั่วไปแทน
2) การกำหนดค่าผิดพลาดในการรักษาความปลอดภัย
การกำหนดค่าความปลอดภัยผิดพลาดอาจรวมถึงการขาดใบรับรอง SSL แต่โดยทั่วไปแล้วจะมีปัจจัยมากกว่านี้ ครอบคลุมช่องโหว่เกือบทุกประเภทซึ่งเป็นผลมาจากการขาดการบำรุงรักษาและการอัปเดตแอปพลิเคชันเว็บไซต์
การกำหนดค่าความปลอดภัยผิดพลาดอาจเกิดขึ้นจากปลั๊กอินที่ล้าสมัยหรือเป็นโปรแกรมเสริมของบุคคลที่สามที่ไม่ได้รับอนุญาตในเว็บไซต์ พวกเขาสามารถจัดเตรียมหน้าต่างสำหรับผู้โจมตีเพื่อใช้ประโยชน์จากข้อมูลที่ละเอียดอ่อนในฐานข้อมูลบนเว็บ นอกจากนี้ความปลอดภัยของฐานข้อมูลอาจถูกบุกรุกผ่านการละเมิดสิทธิ์ของผู้ใช้การตรวจสอบสิทธิ์ที่อ่อนแอหรือการสำรองข้อมูลที่ไม่ดี นอกเหนือจากผลในการโจมตีแรนซัมแวร์ที่ประสบความสำเร็จแล้วยังส่งผลให้เว็บไซต์ปิดโดยสมบูรณ์
วิธีการเสริมสร้างความปลอดภัยของเว็บไซต์ที่เหมาะสม
ความปลอดภัยของเว็บไซต์เริ่มต้นด้วย HTTPS อย่างไรก็ตามคุณต้องดูลึกลงไปในสถานะของปลั๊กอินอัปเดตเอ็นจิ้น CMS ของคุณและติดตั้งซอฟต์แวร์ความปลอดภัยบนไซต์ของคุณ การกำหนดค่าที่ปลอดภัยจะต้องดำเนินการในระดับแอปพลิเคชันเซิร์ฟเวอร์แอปพลิเคชันเฟรมเวิร์กเซิร์ฟเวอร์ฐานข้อมูลเว็บเซิร์ฟเวอร์และระดับแพลตฟอร์ม
นี่คือช่องโหว่ที่พบบ่อยที่สุดที่อาจส่งผลกระทบต่อเว็บไซต์ใด ๆ ในปัจจุบัน การอัปเดตไซต์ของคุณเป็น HTTPS อาจไม่เพียงพอที่จะหยุดการโจมตีเหล่านี้ดังนั้นคุณต้องคิดให้ไกลกว่าใบรับรอง SSL เพื่อให้ฐานข้อมูลเว็บไซต์และผู้ใช้ของคุณปลอดภัย
3) การเขียนสคริปต์ข้ามไซต์ (XSS)
XSS รวมถึงการแทรกสคริปต์ที่เป็นอันตรายลงในเว็บไซต์และเป็นอีกหนึ่งกลวิธี SEO เชิงลบ ผู้โจมตีใช้ประโยชน์จากเว็บแอปพลิเคชันเพื่อส่งรหัสที่เป็นอันตรายไปยังผู้ใช้ในรูปแบบของสคริปต์เบราว์เซอร์
ผู้ใช้ที่ไม่สงสัยของไซต์ที่เชื่อถือได้มีแนวโน้มที่จะคลิกที่โค้ดซึ่งทำให้โค้ดสามารถเข้าถึงคุกกี้ของผู้ใช้ข้อมูลที่ละเอียดอ่อนด้านเบราว์เซอร์และโทเค็นเซสชัน สคริปต์ XSS ยังสามารถเขียนเนื้อหาของหน้าเว็บไซต์ HTML ได้อีกด้วย
วิธีตรวจสอบว่าเว็บไซต์ของคุณอยู่ภายใต้การโจมตีของ XSS หรือไม่
ใช้เครื่องมือเช่น XSS Scanner:
จะทำอย่างไรเพื่อป้องกันการโจมตี XSS
การเข้ารหัสเอาต์พุตขึ้นอยู่กับบริบทเป็นสิ่งจำเป็นเพื่อป้องกันการรักษาความปลอดภัย XSS เว็บไซต์สมัยใหม่ส่วนใหญ่มีตัวกรอง XSS อย่างไรก็ตามต้องใช้การเข้ารหัส URL ที่ถูกต้อง
ผู้ดูแลเว็บต้องอนุญาตเฉพาะลิงก์ที่มีโปรโตคอลที่อนุญาตพิเศษเช่น https: // s o ไม่มีสคริปต์ที่มีรูปแบบ URL เช่น javascript: // ยังคงถูกระงับ
4) การปลอมแปลงคำขอข้ามไซต์
CSRF บังคับให้ผู้ใช้ดำเนินการที่เขาหรือเธออาจไม่ได้ตั้งใจ เป็นการโจมตีที่มุ่งร้ายซึ่งกำหนดเป้าหมายไปยังคำขอที่เปลี่ยนแปลงสถานะในไซต์
การใช้ประโยชน์จากวิศวกรรมสังคมช่วยให้แฮ็กเกอร์อาชญากรสามารถหลอกล่อผู้ใช้ปลายทางให้ดำเนินการตามการเสนอราคาของผู้โจมตี อาจรวมถึงการโอนเงินการให้รหัสผ่านหรือการเปลี่ยนที่อยู่อีเมล หากเหยื่อเป็นผู้ดูแลเว็บไซต์การโจมตี CSRF อาจทำให้การทำงานของเว็บไซต์ของทั้ง บริษัท เสียหายได้
และถ้าคุณคิดว่าตัวเองฉลาดเกินไปที่จะโดนหลอกลองคิดใหม่ ตรวจสอบการโจมตีทางวิศวกรรมสังคม 6 ประเภทที่พบบ่อยจาก Norton:
- การหลอกลวง
- ฟิชชิ่ง / Spear phishing
- การแฮ็กอีเมลและการติดต่อสแปม
- การอ้างสิทธิ์
- Quid Pro quo
- Vishing
คุณจะรู้ได้อย่างไรว่าเว็บไซต์ของคุณถูกปลอมแปลงคำขอข้ามไซต์? นี่คือแนวทางของ OWASP เพื่อระบุ CSRF
วิธีหยุดการโจมตี CSRP
HTTPS ไม่เพียงพอที่จะหยุดการโจมตี CSRF ผู้ดูแลไซต์จำเป็นต้องเพิ่มแฮชลงในแบบฟอร์มโดยไม่ต้องร้องขอตามคำขอในแบบฟอร์มและ URL และตรวจสอบส่วนหัวผู้อ้างอิงในคำขอ HTTP จากไคลเอ็นต์ ขั้นตอนอื่น ๆ ได้แก่ การเพิ่มตัวระบุเซสชันในการเขียนสคริปต์ ViewState for.NET
การแฮ็กสามารถส่งผลกระทบต่อการเข้าชมและ SEO ของเว็บไซต์ได้อย่างไร
ผู้โจมตีจะไม่แยกแยะระหว่างไซต์ในแง่ของขนาดและปริมาณการใช้งานสำหรับการโจมตี นี่คือวิธีที่สามารถส่งผลกระทบต่อการเข้าชมและ SEO ของคุณ:
การขึ้นบัญชีดำ
การขึ้นบัญชีดำ - เมื่อเว็บไซต์ของคุณถูกลบออกจากดัชนีของเครื่องมือค้นหา - เป็นหนึ่งในผลกระทบร้ายแรงจากการโจมตีของมัลแวร์ เนื่องจากเว็บไซต์ส่วนใหญ่ไม่ได้รับการแจ้งเตือนใด ๆ จึงสามารถกำหนดเป้าหมายซ้ำ ๆ สำหรับการโจมตีของแรนซัมแวร์และมัลแวร์ เว็บไซต์หลายแห่งมีช่องโหว่ถาวรซึ่งทำให้มีแนวโน้มที่จะถูกฉีด SQL, XSS, CSRF และฟิชชิ่ง
การไม่ได้รับการแจ้งเตือนใด ๆ อาจหมายถึงการสูญเสียเงินชื่อเสียงและผู้เยี่ยมชมอย่างต่อเนื่องเมื่อ Google พบพฤติกรรมที่ผิดปกติและขึ้นบัญชีดำไซต์ การพบว่าตัวเองอยู่ในบัญชีดำคือจุดสิ้นสุดของการเข้าชมและ SEO สำหรับเว็บไซต์ใด ๆ อย่างไรก็ตามเป็นวิธีหนึ่งในการเริ่มต้นจากสี่เหลี่ยมจัตุรัสที่มีไซต์ที่สะอาด
ข้อผิดพลาดในการรวบรวมข้อมูล
บ็อต Scraper จะรวบรวมข้อมูลไซต์เพื่อขูดเนื้อหาบล็อกบอทของเครื่องมือค้นหาและมีส่วนร่วมในการขโมยข้อมูล การจัดอันดับ SERP ของคุณอาจได้รับความนิยมเมื่อบอทมีดโกนสร้างเนื้อหาที่ซ้ำกันในตำแหน่งอื่น พวกเขาสามารถสร้างข้อผิดพลาด 404 และ 503 ใน Google Search Console ของคุณ พวกเขามีหน้าที่ในการสร้างการวนซ้ำแบบไม่สิ้นสุดที่ใช้ทรัพยากรอย่างเข้มข้น
เมื่อพบเนื้อหาที่ซ้ำกันให้ยื่นเรื่องร้องเรียน DMCA กับ Google การวิเคราะห์ไฟล์บันทึกเป็นประจำด้วยเครื่องมือระดับพรีเมียมสามารถสร้างรายการบ็อตที่รวบรวมข้อมูลไซต์ของคุณอย่างละเอียดถี่ถ้วน ระบุแหล่งที่มาเพื่อแยกบ็อตที่ดีออกจากบอทที่ไม่ดี
Dive Deeper: Google จะหยุดสนับสนุน Robots.txt Noindex: สิ่งที่มีความหมายสำหรับคุณ
สแปม SEO
แฮกเกอร์อาชญากรสามารถรับสแปม SEO ผ่านการฉีด SQL ซึ่งอาจส่งผลให้เว็บไซต์ของคุณขึ้นบัญชีดำหรือมีการเปลี่ยนแปลงลักษณะที่ไซต์ของคุณปรากฏใน Google SERPs ทั้งหมด นอกจากนี้ยังสามารถลดความเร็วเว็บไซต์ของคุณซึ่งเป็นสัญญาณอันดับต้น ๆ
คุณต้องมีปลั๊กอินความปลอดภัยและเครื่องมือ SEO ที่สามารถตรวจจับกิจกรรมที่เป็นอันตรายได้แบบเรียลไทม์บนไซต์ของคุณ การแก้ไขช่องโหว่เป็นสิ่งสำคัญอย่างยิ่ง ตรวจสอบแพลตฟอร์มแบบชำระเงินที่ให้การตรวจสอบเว็บไซต์ที่มีประโยชน์เช่น Sucuri ซึ่งเป็นผู้นำในอุตสาหกรรมด้านความปลอดภัยของ WordPress (เป็นบริการแบบชำระเงิน แต่เสนอการสแกน WordPress แบบ จำกัด ฟรี)
ความคิดสุดท้าย
ในตอนท้ายของวันคุณต้องไม่ทำให้ Google เป็นโปรแกรมป้องกันไวรัส Google ตั้งค่าสถานะไซต์ที่ไม่น่าเชื่อถือและขึ้นบัญชีดำไซต์ที่เป็นภัยคุกคามต่อผู้ใช้ แต่การอาศัยการอัปเดตของ Google ไม่ใช่วิธีเชิงรุกในการดูแลความปลอดภัยและ SEO ของไซต์ของคุณ
หากคุณต้องการปรับปรุง SEO ของคุณและปรับปรุงการเข้าชมเว็บไซต์ของคุณให้เริ่มต้นด้วย HTTPS เสมอ จากนั้นลองพิจารณาการลงทุนในระบบเฝ้าระวังเว็บไซต์ที่ตรวจสอบนอกเหนือจากการรับรอง SSL ของไซต์ของคุณ