Der Web-Sicherheitsleitfaden, den jeder SEO lesen muss

Veröffentlicht: 2018-05-09

seo-web-security

Die Web-Sicherheit ist ein großes Problem, das Geschäftsleute nachts wach hält. Stellen Sie sich vor, Sie wachen mit der Realität auf, dass die Website Ihres Kunden gehackt wird. Das bedeutet nicht nur, dass Ihr Geschäft als SEO-Experte weg ist, sondern auch, dass es eine mühsame Aufgabe sein wird, die Website wieder auf Kurs zu bringen.

Traditionell wurde die Website-Sicherheit von SEO getrennt, abgesehen von einigen grundlegenden Verantwortlichkeiten seitens der SEO-Service-Experten (z. B. keine Links zu und von bösartigen Websites zu erstellen). Da die Trennlinien zwischen verschiedenen Aspekten des World Wide Web und des Geschäfts immer kleiner werden, kann kein SEO-Experte die Website-Sicherheit mehr ignorieren. Dieser Leitfaden ist ein Versuch, an der Oberfläche dieser Diskussion vorbeizukratzen und einige wertvolle Einblicke in den Prozess zu gewinnen.

Warum die Mühe?

Nun, stellen Sie sich vor, Ihre Website oder die Ihres Kunden wird neben dem Suchergebnis von einer unappetitlichen Warnung von Google begleitet.

Dies geschieht im Allgemeinen, wenn die Bots von Google glauben, dass Ihre Website möglicherweise schädlichen Code enthält, der beispielsweise Malware auf den Computern der Besucher installieren könnte. Die Gründe könnten jedoch tiefer gehen. Eine entsprechende Benachrichtigung finden Sie auch in Ihrem Google Search Console-Konto.

clip_image002

Dies ist nur eine der möglichen sicherheitsrelevanten Warnungen, die Google zusammen mit Ihren Suchergebnissen veröffentlichen könnte. Das Support-Portal von Google enthält eine erweiterte Liste anderer Nachrichten; Hier ist eine Abbildung.

clip_image004

Ich würde niemals die Sicherheit meines Computers riskieren, indem ich eine so gekennzeichnete Website besuche; wirst du? Niemand wird es tun, und das wird Ihre gesamte SEO-Arbeit in eine tiefe Grube reißen! Übernehmen Sie stattdessen die vollständige Kontrolle über jeden Aspekt der Standortsicherheit die eng mit SEO verknüpft sind.

Haben Sie eine sichere Website über HTTPS

Es ist klar, dass Google HTTPS-Websites als viel sicherer behandelt als andere. So macht das HTTPS-Protokoll den Austausch von Webinformationen sicherer.

clip_image005

Seit 2016 markiert der Chrome-Browser ausdrücklich Nicht-HTTPS-Web

Websites als unsicher. Grund genug für jeden SEO-Experten, seine Kunden dazu zu drängen, alles Notwendige zu tun, um sofort auf das HTTPS-Ökosystem umzusteigen.

Nun, ist die Website Ihres Kunden sicher? Hier ist ein 2-Stufen-Check:

i) Stellen Sie sicher, dass das SSL-Zertifikat ordnungsgemäß auf dem Server installiert ist

Geben Sie https://www.[Name Ihrer Website].com ein und drücken Sie die Eingabetaste. Wenn in der Taskleiste ein Schlosssymbol angezeigt wird, bedeutet dies, dass SSL erkannt wird. Andernfalls erhalten Sie eine Fehlermeldung wie diese:

clip_image007

ii) Stellen Sie sicher, dass die URL der Website an ihre HTTPS-Versionen übertragen werden

Geben Sie http://www.[Name Ihrer Website].com ein und drücken Sie die Eingabetaste. Wenn Ihre Serverkonfiguration in Bezug auf die Umleitungsregeln richtig eingerichtet ist, wird die Seite automatisch auf https://www.[Name Ihrer Website].com umgeleitet. Wenn dies nicht der Fall ist, liegt ein Problem vor, das sofort behoben werden muss.

Hinweis: Obwohl WordPress als sehr sicher gilt, wurden in der jüngeren Vergangenheit außergewöhnlich viele Websites, die auf der Plattform basieren, gehackt. Die Sicherstellung der Aktivierung des HTTPS-Protokolls für Ihre WordPress-Websites kann daher nicht länger warten. Mit Plugins wie Really Simple SSL wird der obige 2-Schritte-Prozess für WP noch einfacher zu verwalten, wie in diesem sehr anschaulichen Tutorial zur Verwendung von HTTPS in WordPress erklärt wird .

Inhaltssicherheitsrichtlinie

Webmaster haben viel damit zu tun, die Website vor möglichen Angriffen zu schützen, insbesondere wenn Inhalte häufig aktualisiert werden, wie im Fall der Umnutzung von Inhalten oder regelmäßige Hinzufügung neuer Produkte wie bei E-Commerce-Sites. Zwei der häufigsten Angriffsformen sind Dateneinschleusungsangriffe und Cross-Site-Scripting-Angriffe. Jede zusätzliche Sicherheitsebene, die dazu beitragen kann, einen solchen Angriff abzuschwächen oder zu melden, ist die Mühe wert. Inhaltssicherheitsrichtlinie (CSP) ist genau diese Schicht. Es kann sowohl externe Skripte als auch Inline-Skripte aus nicht vertrauenswürdigen Quellen effektiv blockieren.

Als SEO-Experte können Sie ganz einfach prüfen, ob CSP für die Website Ihres Kunden vorhanden ist. CSP wird über einen HTTP-Header implementiert, der Regeln für alle Arten von Datenbeständen enthält. Ein HTTP-Header zum Zulassen von CSS und Skripts nur aus der Standardquelle (selbst) sieht beispielsweise so aus (wobei Google Analytics-Skript als Ausnahme zugelassen wird):

Inhaltssicherheitsrichtlinie: default-src 'self'; script-src „selbst“ https://www.google-analytics.com;

Wie kann man verhindern, dass eine Website gehackt wird?

Geben Sie Ihren Kunden nicht die Schuld, wenn sie Ihre Hilfe brauchen, um Hacker fernzuhalten, auch wenn dies nicht die Hauptaufgabe eines SEO ist. Betrachten Sie es als Chance; Sie investieren 5 % mehr und verbessern im Gegenzug die Immunität der Kunden-Websites gegen Hacker erheblich, was Ihnen schließlich weiterhin ihr Geschäft einbringt.

Hier ist eine kurze Liste mit Best Practices für die Website-Sicherheit, mit denen Sie die Website Ihrer Kunden vor Hackern schützen können.

  • Überprüfen Sie, ob die CMS-Software oder der Website-Builder-Code auf die neueste Version aktualisiert wurde.
  • Informieren Sie Ihren Kunden/deren Website-Administratoren über Spam, Brute-Force-Angriffe, Cross-Site-Scripting, SQL-Injections usw.
  • Passwörter oft ändern.
  • Verwenden Sie keine ungesicherten oder unbewiesenen Tools von Drittanbietern, um zur Analyse usw. auf die Website des Kunden zu verlinken.
  • Veröffentlichen Sie keine technischen Informationen auf Serverebene auf Fehlerseiten; Fehlerseiten sollten so etwas wie „Seite nicht gefunden“ sagen.
  • Aktivieren Sie die Validierung von Eingaben sowohl auf der Browserseite als auch auf der Serverseite, um sicherzustellen, dass schädliche Codes den Server nicht infizieren.
  • Wenn Ihre Kunden-Website Benutzern das Hochladen von Dateien erlaubt, empfehlen Sie Sicherheitskontrollen, um sicherzustellen, dass keine Skripte parallel hochgeladen werden.
  • Verwenden Sie eine Mischung aus Web-Sicherheitstools, um die Websites Ihrer Kunden zu schützen; mehr dazu später in der Anleitung.

Was tun, wenn Ihre Kundenseite gehackt wird?

In Ordnung; das Schlimmste ist passiert, was nun? Ihre Antwort hängt von der Art der Sicherheitslücke ab, die durch die Warnmeldung angezeigt werden könnte, die Google an das Suchergebnis Ihrer Website anhängt.

Um die Details zu überprüfen, melden Sie sich bei der Search Console an, gehen Sie zum Abschnitt "Sicherheitsprobleme" und überprüfen Sie die Details der URLs, die anscheinend kompromittiert sind, zusammen mit den Einzelheiten der Art der Sicherheitsverletzung für jede URL.

Hier müssen Sie Ihren Kunden klar mitteilen, dass sie wissen, dass sie Webentwickler und Programmierer hinzuziehen müssen, um sich um die Sicherheitsprobleme der Website zu kümmern. Empfehlen Sie ihnen auch, sich an den Webhosting-Anbieter zu wenden, der wertvolle Einblicke und Kontakte bieten kann, basierend auf dem Wissen über andere Websites, die möglicherweise mit ähnlichen Problemen konfrontiert waren.

Google empfiehlt Webmastern, deren Website möglicherweise gehackt wurde, in seinem offiziellen Hilfevideo, technisches Fachwissen einzuholen, um die technischen Probleme zu lösen. Die Zeit, die benötigt wird, um den Hack zu überwinden, hängt ab von:

  • Das Niveau der technischen Expertise des Teams Ihres Kunden
  • Menge der betroffenen Inhalte (Website-weites Spamming benötigt beispielsweise mehr Zeit zum Entfernen)
  • Schadensausmaß/Komplexität des Hacks

Wie können Sie Ihre Rankings schützen, wenn Ihre Kundenseite gehackt wird?

Schnelle und umfassende Maßnahmen – das ist die goldene Regel, die Sie beachten sollten, um sicherzustellen, dass der Hack keinen SEO-Alptraum für die Website verursacht.

Hinweis: Wenn die gesamte Website gehackt wurde, nehmen Sie sie offline, indem Sie Ihren Webhost bitten, sie so zu konfigurieren, dass eine 503-Fehlerseite für Zugriffe außerhalb des infizierten Verzeichnisses zurückgegeben wird. Entscheiden Sie sich nicht für robots.txt disallow , da dies die Website nicht für Benutzer blockiert, die sie über Ihre URL besuchen (nur die Web-Crawler werden gestoppt).

Wenn Sie die kompromittierten URLs kennen, ist die Aufgabe einfacher:

  • Entfernen Sie zunächst die infizierten URLs aus dem Index, indem Sie die Option „URLs entfernen“ in der Search Console verwenden.
  • Führen Sie dann einen schnellen Scan nach Crawling-Fehlern durch und reichen Sie die Sitemap Ihrer Website erneut ein.
  • Sobald der Website-Administrator und das Sicherheitsteam die Malware entfernt und die in der Search Console hervorgehobenen Probleme behoben haben, empfehle ich Ihnen, Ihre Website einzureichen zum Bericht zu Sicherheitsproblemen in der Search Console zur Überprüfung.
  • Eine erfolgreiche Überprüfung wird durch eine solche Meldung in Ihrer Search Console angezeigt:

clip_image009

Außerdem müssen Sie je nach Art der Sicherheitsverletzung Ihre WordPress-Website auf eine ältere Version zurücksetzen oder sogar in Betracht ziehen, die Website zu einem sichereren Hosting-Anbieter zu verschieben.

Top-Tools zur Stärkung der Websicherheit

Tools können die Sicherheitsüberwachung der Websites Ihrer Kunden automatisieren und dabei helfen, größere Sicherheitsverletzungen zu vermeiden. Hier sind einige Tools, die ich empfehle:

Kapsel : ein Unternehmen für Netzwerksicherheit und -optimierung, das eine Reihe von Tools wie ein CDN (Content Delivery Network) anbietet , eine Web Application Firewall (WAF) und Advanced Persistent Threats (APT)-Schutztools, mit denen Sie Ihre Website vor Passwortdiebstahl, DDoS- und Hacking-Angriffen schützen können.

clip_image011

Comodo cWatch : Für Website-Überwachung rund um die Uhr, PCI-konformes Scannen und zuverlässige Malware-Erkennung und -Entfernung.

Greifer : Eine Open-Source-Alternative, wenn Sie nichts ausgeben möchten; Es erkennt und meldet Cross-Site-Scripting und SQL-Injektionen, abgesehen davon, dass JS-Quellcodeanalysen und Backup-Dateiprüfungen angeboten werden.

Zed-Angriffs-Proxy (ZAP) : Ein Penetrationstest-Tool, mit dem Sie "hackähnliche" Aktivitäten auf einer Website proaktiv simulieren können, um ihre Sicherheitslücken aufzudecken und proaktiv Abhilfe zu schaffen.

Abschließende Bemerkungen

SEO-Experten sind auf die Erhaltung und das Wachstum von Kundenwebsites angewiesen, um selbst zu wachsen, und das macht sicher ein begründetes Interesse für alle SEOs. Keine Sicherheit wird bald zu einem Rückgang des Traffics eskalieren, was Ihre Effektivität als SEO-Experte in Frage stellen wird. Bessere Site-Sicherheit bedeutet mehr Traffic für die Websites Ihrer Kunden, was mehr Geschäft für Sie bedeutet.