Panduan Keamanan Web yang Harus Dibaca Setiap SEO

Diterbitkan: 2018-05-09

seo-web-security

Keamanan web adalah masalah utama yang membuat pengusaha tetap terjaga di malam hari. Bayangkan bangun dengan kenyataan bahwa situs web klien Anda diretas. Itu tidak hanya berarti bisnis Anda sebagai ahli SEO hilang, tetapi juga mengembalikan situs web ke jalurnya akan menjadi tugas yang berat.

Secara tradisional, keamanan situs web telah dipisahkan dari SEO, terlepas dari beberapa tanggung jawab dasar di pihak pakar layanan SEO (seperti tidak membuat tautan ke dan dari situs web jahat). Karena garis yang memisahkan berbagai aspek World Wide Web dan bisnis semakin berkurang, tidak ada pakar SEO yang dapat mengabaikan keamanan situs web lagi. Panduan ini merupakan upaya untuk mengikis melewati permukaan diskusi ini dan membawa beberapa wawasan berharga dalam prosesnya.

Mengapa mengganggu?

Nah, bayangkan jika situs web Anda atau klien Anda disertai dengan peringatan buruk dari Google, di samping hasil pencarian.

Ini biasanya terjadi ketika bot Google percaya bahwa situs web Anda mungkin memiliki kode berbahaya yang dapat, misalnya, memasang perangkat lunak perusak di komputer pengunjung. Namun, alasannya bisa lebih dalam. Anda juga akan menemukan pemberitahuan yang setara di akun Google Search Console Anda.

clip_image002

Ini hanyalah salah satu peringatan terkait keamanan potensial yang dapat dipublikasikan oleh Google di samping hasil pencarian Anda. Portal dukungan Google berisi daftar panjang pesan lain; berikut ilustrasinya.

clip_image004

Saya tidak akan pernah mempertaruhkan keamanan komputer saya dengan mengunjungi situs web yang ditandai; Maukah kamu? Tidak ada yang akan melakukannya, dan itu akan membawa semua pekerjaan SEO Anda ke jurang yang dalam! Alih-alih, kendalikan sepenuhnya setiap aspek keamanan situs yang berhubungan erat dengan SEO.

Miliki Situs Web yang Aman Melalui HTTPS

Jelas bahwa Google memperlakukan situs web HTTPS jauh lebih aman daripada yang lain. Ini adalah bagaimana protokol HTTPS membuat pertukaran info web lebih aman.

clip_image005

Sejak 2016, browser Chrome secara eksplisit menandai web non-HTTPS

situs sebagai tidak aman. Itulah alasan yang cukup bagi setiap pakar SEO untuk mendorong klien mereka melakukan semua yang diperlukan untuk segera pindah ke ekosistem HTTPS.

Sekarang, apakah situs web klien Anda aman? Berikut pemeriksaan 2 langkah:

i) Pastikan sertifikat SSL terpasang dengan benar di server

Ketik https://www.[yourwebsitename].com dan tekan Enter. Jika Anda melihat ikon kunci muncul di bilah tugas, itu menandakan SSL dikenali. Jika tidak, Anda akan melihat pesan kesalahan seperti ini:

clip_image007

ii) Pastikan URL situs web didorong ke versi HTTPS-nya

Ketik http://www.[yourwebsitename].com dan tekan Enter. Jika konfigurasi server Anda dalam hal aturan pengalihan diatur dengan benar, halaman akan secara otomatis dialihkan ke https://www.[namasitusAnda].com. Jika tidak, ada masalah yang perlu segera ditangani.

Catatan: Meskipun WordPress dianggap sangat aman, sejumlah besar situs web berdasarkan platform tersebut telah diretas baru-baru ini. Memastikan aktivasi protokol HTTPS untuk situs WordPress Anda, karenanya, tidak bisa menunggu lebih lama lagi. Menggunakan plugin seperti Really Simple SSL, proses 2 langkah di atas menjadi lebih mudah untuk dikelola untuk WP, seperti yang dijelaskan dalam tutorial yang sangat deskriptif tentang cara menggunakan HTTPS di WordPress .

Kebijakan Keamanan Konten

Webmaster berurusan dengan banyak hal dalam hal harus mengamankan situs web dari kemungkinan serangan terutama ketika konten sering diperbarui seperti dalam kasus penggunaan ulang konten atau penambahan reguler produk baru seperti di situs e-commerce. Dua bentuk serangan paling umum yang dapat terjadi adalah serangan injeksi data dan serangan Cross Site Scripting. Setiap lapisan keamanan tambahan yang dapat membantu mengurangi atau melaporkan serangan semacam itu sepadan dengan upayanya. Kebijakan Keamanan Konten (CSP) adalah tepatnya lapisan itu. Ini dapat secara efektif memblokir skrip eksternal serta skrip sebaris dari sumber yang tidak tepercaya.

Sebagai pakar SEO, Anda dapat dengan mudah menyingkir dan memeriksa apakah CSP tersedia untuk situs web klien Anda. CSP diimplementasikan melalui header HTTP yang berisi aturan untuk semua jenis aset data. Misalnya, header HTTP untuk mengizinkan CSS dan skrip hanya dari sumber default (Self) akan terlihat seperti (mengizinkan skrip Google Analytics sebagai pengecualian):

Kebijakan-Keamanan-Konten: default-src 'sendiri'; script-src 'mandiri' https://www.google-analytics.com;

Bagaimana Mencegah Situs Agar Tidak Diretas?

Jangan salahkan klien Anda jika mereka menginginkan bantuan Anda untuk menjauhkan peretas, meskipun itu bukan tanggung jawab utama SEO. Anggap saja sebagai peluang; Anda memasukkan 5% ekstra, dan pada gilirannya, secara signifikan meningkatkan kekebalan situs web klien terhadap peretas, yang pada akhirnya terus menjadikan Anda bisnis mereka.

Berikut adalah daftar singkat praktik terbaik keamanan situs yang membantu Anda membuktikan peretas situs web klien Anda.

  • Periksa apakah perangkat lunak CMS, atau kode pembuat situs web, ditingkatkan ke versi terbaru.
  • Didik klien Anda/admin situs web mereka tentang spam, serangan brute force, skrip lintas situs, injeksi SQL, dll.
  • Sering-seringlah mengganti kata sandi.
  • Tidak menggunakan alat pihak ketiga yang tidak aman atau tidak terbukti untuk menautkan ke situs web klien untuk analisis, dll.
  • Jangan mempublikasikan informasi teknis tingkat server di halaman kesalahan; halaman kesalahan harus mengatakan sesuatu seperti 'halaman tidak ditemukan'.
  • Aktifkan validasi input di sisi browser serta sisi server, untuk memastikan kode berbahaya tidak menginfeksi server.
  • Jika situs web klien Anda mengizinkan pengguna untuk mengunggah file, rekomendasikan kontrol penyimpanan untuk memastikan tidak ada skrip yang diunggah bersama.
  • Gunakan campuran alat keamanan web untuk melindungi situs web klien Anda; lebih lanjut tentang ini nanti di panduan ini.

Apa yang Harus Dilakukan Jika Situs Klien Anda Diretas?

Baiklah; yang lebih buruk telah terjadi, sekarang apa? Tanggapan Anda akan bergantung pada sifat kelemahan keamanan, yang dapat ditunjukkan dengan baik oleh pesan peringatan yang ditambahkan Google ke hasil penelusuran situs web Anda.

Untuk memeriksa detailnya, masuk ke Search Console, buka bagian Masalah Keamanan, dan periksa detail URL yang tampaknya telah disusupi, beserta spesifikasi jenis pelanggaran keamanan untuk setiap URL.

Di sini, Anda harus berkomunikasi dengan jelas kepada klien Anda sehingga mereka tahu bahwa mereka perlu mendatangkan pengembang web dan pemrogram untuk menangani masalah keamanan situs web. Juga, sarankan mereka untuk menghubungi penyedia hosting web juga, yang dapat menawarkan wawasan dan kontak yang berharga, berdasarkan pengetahuan tentang situs web lain yang mungkin menghadapi masalah serupa.

Google, dalam video bantuan resminya untuk webmaster yang situs webnya mungkin telah diretas, merekomendasikan mereka untuk mencari keahlian teknis untuk menyelesaikan masalah teknis. Jumlah waktu yang dibutuhkan untuk mengatasi peretasan akan tergantung pada:

  • Tingkat keahlian teknologi tim klien Anda
  • Jumlah konten yang terpengaruh (spam di seluruh situs, misalnya, membutuhkan lebih banyak waktu untuk dihapus)
  • Tingkat kerusakan/kompleksitas peretasan

Bagaimana Menjaga Peringkat Anda Aman Jika Situs Klien Anda Diretas?

Tindakan cepat dan komprehensif – itulah aturan utama yang harus diingat untuk memastikan peretasan tidak menyebabkan mimpi buruk SEO untuk situs web.

Catatan: Jika seluruh situs telah diretas, lakukan offline dengan meminta host web Anda untuk mengonfigurasinya sehingga halaman kesalahan 503 dikembalikan untuk akses yang dilakukan di luar direktori yang terinfeksi. Jangan gunakan robots.txt disallow , karena itu tidak akan memblokir situs web untuk pengguna yang mengunjungi menggunakan URL Anda (hanya menghentikan perayap web).

Jika Anda mengetahui URL yang disusupi, tugasnya lebih mudah:

  • Pertama, hapus URL yang terinfeksi dari indeks menggunakan opsi Hapus URL di Search Console.
  • Kemudian, lakukan pemindaian cepat untuk menemukan kesalahan perayapan, dan kirimkan kembali peta situs situs web Anda.
  • Setelah admin situs web dan tim keamanan menghapus malware dan menindaklanjuti masalah yang disorot di Search Console, sebaiknya kirimkan situs web Anda ke laporan Masalah Keamanan Search Console untuk ditinjau.
  • Peninjauan yang berhasil akan ditunjukkan oleh pesan seperti itu di Search Console Anda:

clip_image009

Juga, tergantung pada sifat pelanggaran keamanan, Anda perlu memulihkan situs WordPress Anda ke versi yang lebih lama, atau bahkan mempertimbangkan untuk memindahkan situs web ke penyedia hosting yang lebih aman.

Alat Teratas Untuk Memperkuat Keamanan Web

Alat dapat mengotomatiskan pemantauan keamanan situs web klien Anda dan membantu menghindari pelanggaran keamanan besar. Berikut adalah beberapa alat yang saya rekomendasikan:

tidak berkapsul : perusahaan keamanan dan pengoptimalan jaringan yang menawarkan seperangkat alat seperti CDN (Content Delivery Network) , alat perlindungan Web Application Firewall (WAF) dan Advanced Persistent Threats (APT) yang membantu mengamankan situs web Anda dari pencurian kata sandi, DDoS, dan serangan peretasan.

clip_image011

Jam Tangan Comodo : Untuk pengawasan situs web 24x7, pemindaian yang sesuai dengan PCI, serta deteksi dan penghapusan malware yang andal.

Orang bakhil : Alternatif sumber terbuka jika Anda tidak ingin menghabiskan apa pun; itu mendeteksi dan melaporkan skrip lintas situs dan injeksi SQL, selain menawarkan analisis kode sumber JS dan pemeriksaan file cadangan.

Proksi Serangan Zed (ZAP) : Alat pengujian penetrasi yang memungkinkan Anda untuk secara proaktif mensimulasikan aktivitas 'seperti peretasan' di situs web, untuk mengekspos kelemahan keamanannya, untuk tindakan perbaikan proaktif.

Penutup

Pakar SEO bergantung pada kelangsungan dan pertumbuhan situs web klien untuk menumbuhkan diri mereka sendiri, dan itu membuat keamanan menjadi kepentingan pribadi untuk semua SEO. Tidak ada keamanan yang akan segera meningkat menjadi penurunan lalu lintas, yang akan menimbulkan pertanyaan tentang efektivitas Anda sebagai pakar SEO. Keamanan situs yang lebih baik berarti lebih banyak lalu lintas untuk situs web klien Anda, yang berarti lebih banyak bisnis untuk Anda.