網站安全性差如何對SEO排名產生負面影響

“網站安全” –坦白地說：您上一次認真考慮該問題的時間是什麼時候？ 您或您的SEO團隊最後一次是什麼時候花了兩秒鐘時間了解網站的最新安全趨勢？

公司目前可能在SEO上花費了數十億美元，但是有網站的企業中有相當大的一部分甚至沒有考慮網站安全性。

為什麼網絡安全很重要

作為一名企業家，您多年來可能在營銷和SEO上花費了數百甚至數千美元，但是數字營銷鏈中最薄弱的環節顯然是網站安全性：

• Google最近的一項調查顯示，美國人對網站安全的了解比他們想像的要少：55％的16歲以上美國人對自己的在線安全性給予A或B的評價，但是70％的人錯誤地確定了安全網站的外觀。
• 哈里斯民意調查於2019年3月進行的一項調查顯示，參與網站的97％千禧一代在網站安全錯誤問題中至少得到六分之一。
• 截至2019年第一季度，勒索軟件攻擊（一種旨在阻止支付一定金額之前阻止訪問計算機系統的惡意軟件）上升了195％。

可悲的事實是，除非有人面對惡意軟件或勒索軟件攻擊的真正威脅，否則沒人真正擔心網站安全。 儘管個人有幾種簡便且負擔得起的方式來確保網絡安全，但小型企業甚至大型公司都將其視為他們不願支付的費用和不願學習的複雜過程，因此他們不會願意主動。

隨著這種威脅隱現在每個業務和服務站點上，每天花費更多的時間和金錢來保護網站安全變得越來越重要。 因為如果您的網站遭到入侵，那麼您的整個業務都會受到損害。

深入了解：

• 9種有效的SEO技術在2019年推動有機流量
• 什麼是降低我的SEO排名的最大網站錯誤？
• 區塊鏈如何在防止數字欺詐方面發揮作用
• 第1章：區塊鏈解釋：終極的點對點網絡

邁向安全網站的第一步

網站安全性的基礎始於現有HTTP上的SSL / TLS。

• SSL代表安全套接字層，簡而言之，它是保持Internet連接安全並保護在兩個系統之間發送的任何敏感數據的標準技術，可防止犯罪分子讀取和修改任何傳輸的信息，包括潛在的個人詳細信息。
• TLS代表傳輸層安全性，它只是SSL的更新，更安全的版本。 我們仍然將安全證書稱為SSL，因為它是一個更常用的術語，但是當您從Symantec購買SSL時，實際上是在購買最新的TLS證書。

HTTP和HTTPS有什麼區別？ 根據SEOPressor：

• HTTP代表超文本傳輸協議。 最基本的說，它允許不同系統之間的通信。 它最常用於將數據從Web服務器傳輸到瀏覽器，以允許用戶查看網頁。 基本上所有早期網站都使用了該協議。
• HTTPS代表安全超文本傳輸協議。 常規HTTP協議的問題在於，從服務器流向瀏覽器的信息未加密，因此很容易被盜。 HTTPS協議使用SSL證書對此進行了補救，該SSL證書有助於在服務器和瀏覽器之間創建安全的加密連接，從而防止潛在的敏感信息在服務器和瀏覽器之間傳輸時被盜：

從HTTP切換到HTTPS既不復雜也不費時（請參見下面的“如何向您的網站添加HTTPS”）。 借助HTTPS，服務器和客戶端都可以以相同的方式繼續進行對話，但對其請求和響應（即數據）進行完全加密：

但是，使用額外的加密層並不是所有人都安全。 SSL認證不能確保完全的安全性。 甚至HTTPS站點也面臨著相當一部分的網絡釣魚攻擊。

這就是為什麼您需要採取適當的措施來確保站點安全，而不僅僅是依靠HTTPS來獲得完整的站點安全性的原因。

深入了解：

• 如何設計網站或應用的用戶體驗以增加轉化
• 9個最佳Web託管提供商

HTTPS是排名信號嗎？

從HTTP切換到HTTPS是一個簡單的步驟，可以使您的業務繼續在Google的SERP上進行，因為Google會將每個站點標記為“不安全”，除非它具有HTTPS認證。

起初，HTTPS是一個輕量級的排名信號，然後隨著時間的流逝，Google更加重視HTTPS作為排名信號。 截至2014年8月，Google宣布HTTPS已成為排名指標：

如今，HTTPS已成為信任和安全性的代表，直接影響站點的UX和SEO。 實際上，截至2018年7月，所有未獲得TLS證書的訪問者都會收到Google的“不安全”通知：

這些通知導致網站沒有額外的SSL層，從而降低了流量和轉化率。 現在可以肯定地說，它已成為技術SEO的重要方面。

深入了解：

• 7個SEO黑客可在2019年提升您的排名
• 17個最佳免費（或免費）SEO工具，以提高您的排名
• 如何（以及為什麼）創建有效的內容結構以獲得更好的排名
• 什麼是企業SEO？ （定義，示例和工具！）

如何將HTTPS添加到您的網站

您可以按照以下一些簡單的步驟從HTTP切換到HTTPS：

購買SSL證書

購買SSL證書並不難。 首先，請與您的網絡託管公司聯繫。 您的託管計劃中是否包含證書？ 如果價格和證書類型符合您的要求，請與他們聯繫以將其添加到您的服務中。

或者，您可以查找證書頒發機構。 尋找更優惠的價格和證書類型。 接下來，購買並驗證您的證書。 SSL證書可以有多種類型，包括DV，OV，EV，多網站和通配符。

Digicert的CertWizard可以引導您了解所需的SSL證書類型：

驗證並安裝證書

購買符合您要求的SSL證書後，就可以進行驗證了。 驗證可能需要幾分鐘到幾天的時間，具體取決於您的證書類型。

在您收到證書頒發機構的答復後，請下載文件。

安裝過程將取決於證書的來源。 網絡託管服務通常接管安裝並簡化網站管理員的步驟。

您可以通過以下方式安裝從網絡託管服務外部購買的證書：

• 登錄到您的網絡託管經理帳戶。
• 轉到“安裝SSL證書”選項。
• 輸入SSL證書，需要SSL的域名和密鑰（您的證書頒發機構應向您提供密鑰和SSL證書）。
• 點擊“安裝”。

驗證SSL證書

下一步是驗證，為此，您需要註銷Web託管管理器和網站編輯器界面。 然後，檢查地址欄-它顯示HTTPS標籤嗎？ 除了HTTPS地址，您還應該看到以下內容：

• 地址欄中的綠色掛鎖
• 您的公司名稱（EV證書）
• 綠色地址欄（EV證書）

• 信任的現場安全印章或信任徽章（取決於證書類型和證書頒發機構）：

您應該使用SSL檢查器工具以防萬一，以確保網站安全狀態。

更新您的網站鏈接

通過控制面板安裝SSL證書應該可以將HTTP站點無縫切換到HTTPS。 除了主站點頁面之外，您還需要檢查其他具有指向您站點鏈接的內容：

• 社交媒體帖子和簡歷
• 託管您的網站內容的博客
• 網絡營銷和銷售資料
• 在線論壇資料
• 直接鏈接到您的網站徽標的合作夥伴網站

注意：請記住，您的舊社交媒體，博客文章和嵌入式鏈接仍可能會將流量引導到網站的HTTP版本，因此您需要手動梳理過去的非現場帖子以修復這些舊鏈接。

深入研究：如何解決15個常見的現場SEO技術問題

更新您的站點地圖

生成新的XML網站地圖不是挑戰。 您可以通過Google Analytics（分析）帳戶進行操作。 在管理員帳戶“屬性”選項下的“屬性設置”中檢查網站的默認URL。

將http：//更新為https：//並保存更改。

要更新站點地圖，請訪問網站站長工具：

• 轉到搜索控制台
• 點擊設置-右上角的齒輪圖標
• 選擇“更改地址”

Google將帶您完成更新站點地圖的下一步，包括選擇新站點並確認301重定向。 完成更改後，點擊“提交”。

對於所有網站用戶而言，獲取和安裝HTTPS證書非常簡單。 我們上面描述的步驟與WordPress的所有版本以及其他一些CMS平台有關。

如果您有可靠的網絡託管服務提供商，則應與他們聯繫，以通過調整託管計劃快速安裝站點並將其從HTTP無縫遷移到HTTPS。

在網絡安全領域中，除了HTTPS之外還有什麼？

雖然HTTPS是必不可少的，但它並不是網站安全的全部。 網站在運行時面臨許多不同類型的網絡安全威脅，例如：

1）SQL注入

SQL注入是一種代碼注入技術，是一種惡意的負面SEO技術，犯罪黑客（或您的競爭對手）可能會部署這種技術來關閉您的網站。 攻擊者通過通過網頁輸入（例如，用戶使用SQL語句輸入“用戶名”）將代碼注入易受攻擊或損壞的數據庫內容中，從而可以訪問數據庫的後端。 它仍然非常有效，因此仍然是最常見的威脅之一。

它可能會影響使用MySQL，Oracle和SQL服務器的任何網站。

如何檢查您的網站是否受到SQL注入攻擊

為防止SQL注入攻擊，您可以使用可信賴的防病毒軟件程序運行漏洞掃描。 使用SQL Injection Online在線測試工具來確定網站是否正在遭受攻擊。

請遵循以下規則來防止SQL注入攻擊：

• 您永遠不要直接包含輸入內容，而要清除所有輸入內容。
• 僅提供對用於與數據庫連接的帳戶的必要訪問權限。
• 不要在錯誤消息中顯示SQL語句； 而是使用通用消息。

2）安全性配置錯誤

安全性錯誤配置可能包括缺少SSL證書，但它們通常包含更多因素。 它們涵蓋了幾乎所有類型的漏洞，這些漏洞是由於缺乏維護和更新網站應用程序而導致的。

過時的插件或第三方未經授權的網站插件會導致安全配置錯誤。 它們可以為攻擊者提供一個利用Web數據庫中敏感信息的窗口。 此外，數據庫安全可能會因濫用用戶權限，身份驗證不當或數據備份操作不當而受到損害。 除了成功導致勒索軟件攻擊之外，這還可能導致網站完全關閉。

如何加強適當的網站安全性

網站安全始於HTTPS。 但是，您需要更深入地了解插件的狀態，更新CMS引擎並在您的站點上安裝安全軟件。 安全配置需要在應用程序，應用程序服務器，框架，數據庫服務器，Web服務器和平台級別上實施。

這些是當今可能會影響任何網站的最常見漏洞。 將您的站點更新為HTTPS可能不足以阻止這些攻擊，因此您需要考慮SSL證書以外的內容，以保護您的網站數據庫和用戶安全。

3）跨站腳本（XSS）

XSS包括將惡意腳本注入網站，這是另一種負面的SEO策略。 攻擊者利用Web應用程序以瀏覽器腳本的形式向用戶發送惡意代碼。

受信任站點的毫無戒心的用戶很可能會單擊該代碼，從而使代碼可以訪問該用戶的Cookie，敏感的瀏覽器端信息和會話令牌。 XSS腳本還可以重寫HTML網站頁面的內容。

如何檢查您的網站是否受到XSS攻擊

使用諸如XSS Scanner之類的工具：

如何防止XSS攻擊

上下文相關的輸出編碼對於防止任何XSS安全是必需的。 大多數現代網站都包含XSS過濾器。 但是，它們要求正確應用URL編碼。

網站站長只需要允許具有白名單協議（例如https：//）的鏈接，就不能禁止具有javascript：//等URL方案的腳本。

4）跨站請求偽造

CSRF強制用戶執行他或她可能不想執行的操作。 這是一種針對現場狀態更改請求的惡意攻擊。

利用社會工程技術，犯罪黑客可以欺騙最終用戶執行攻擊者競標的行為。 它可以包括資金轉移，提供密碼或更改其電子郵件地址。 如果受害者是網站的管理員，則CSRF攻擊可能會損害整個公司的網站功能。

如果您認為自己太聰明了，就不會被欺騙，請再考慮一下。 查看Norton的以下6種常見的社會工程攻擊類型：

• 誘餌
• 網絡釣魚/魚叉式網絡釣魚
• 電子郵件黑客入侵和聯繫垃圾郵件
• 預先發短信
• 戒菸
• 許願

您如何知道您的網站是否受到跨站點偽造？ 這是OWASP識別CSRF的指南。

如何停止CSRP攻擊

HTTPS不足以阻止CSRF攻擊。 站點管理員需要將哈希添加到表單，將每個請求的隨機數添加到表單和URL，並檢查來自客戶端的HTTP請求中的引薦來源標頭。 其他步驟包括將會話標識符添加到ViewState for .NET腳本。

駭客如何影響網站的自然流量和SEO？

攻擊者不會根據攻擊的大小和流量來區分站點。 以下是它如何影響您的流量和SEO的方法：

黑名單

黑名單-當你的網站從搜索引擎索引中刪除-是的惡意軟件攻擊最嚴重的後果之一。 由於大多數網站都沒有收到任何通知，因此可以反復將其作為勒索軟件和惡意軟件攻擊的目標。 一些網站具有持續存在的漏洞，容易受到SQL注入，XSS，CSRF和網絡釣魚攻擊的攻擊。

如果Google發現異常行為並將該網站列入黑名單，則未收到任何通知可能會導致金錢，聲譽和訪問者的不斷損失。 在任何網站上，訪問量和SEO都已結束，這使您進入黑名單。 但是，這是從一個乾淨的場地開始的一種方法。

檢索錯誤

爬蟲程序機器人抓取網站以抓取內容，阻止搜索引擎機器人程序並從事數據盜竊。 當抓取漫遊器在另一個位置創建重複內容時，您的SERP排名也會受到影響。 他們可以在您的Google Search Console中創建404和503錯誤。 它們負責創建資源密集的無限循環。

找到重複的內容後，請向Google提交數字千年版權法案（DMCA）投訴。 使用高級工具對日誌文件進行常規分析可以生成詳盡的爬蟲程序列表。 確定其來源，以區分好機器人和壞機器人。

深入研究：Google停止支持Robots.txt Noindex：這對您意味著什麼

SEO垃圾郵件

犯罪黑客可以通過SQL注入來實現SEO垃圾郵件，這可能導致您的網站被列入黑名單或完全改變您的網站在Google SERP中的顯示方式。 它們還會降低您的網站速度，這是排名最高的信號之一。

您需要安全性插件和SEO工具，可以實時發現站點上的惡意活動。 修補漏洞是絕對必要的。 查看提供對網站進行有益監控的付費平台，例如WordPress安全行業的領先者Sucuri（這是一項付費服務，但它們免費提供有限的WordPress掃描）。

最後的想法

最終，您不得將Google設置為防病毒軟件。 Google會標記不可靠的網站，並將那些對用戶構成威脅的網站列入黑名單，但是依靠Google的更新並不是一種主動保護網站安全和SEO的主動方式。

如果要增強SEO並改善網站訪問量，請始終從HTTPS開始。 然後，考慮投資建立一個網站監視系統，該系統監視的不是您網站的SSL認證。