すべてのSEOが読まなければならないWebセキュリティガイド

公開: 2018-05-09

seo-web-security

Webセキュリティは、ビジネスマンを夜に目覚めさせ続ける大きな頭痛の種です。 クライアントのWebサイトがハッキングされるという現実に目覚めることを想像してみてください。 それはSEOの専門家としてのあなたのビジネスがなくなることを意味するだけでなく、ウェブサイトを軌道に戻すことは面倒な仕事になるでしょう。

従来、ウェブサイトのセキュリティは、SEOサービスの専門家によるいくつかの基本的な責任(悪意のあるウェブサイトへのリンクや悪意のあるウェブサイトからのリンクを確立しないなど)を除いて、SEOとは別に保たれていました。 ワールドワイドウェブとビジネスのさまざまな側面を分ける線が減少しているため、SEOの専門家はもはやウェブサイトのセキュリティを無視することはできません。 このガイドは、この議論の表面をこすり落とし、その過程でいくつかの貴重な洞察を引き出す試みです。

なぜわざわざ?

さて、あなたまたはあなたのクライアントのウェブサイトが検索結果と一緒にグーグルからの不快な警告を伴うことを想像してみてください。

これは通常、訪問者のコンピューターにマルウェアをインストールするなど、Webサイトに有害なコードが含まれている可能性があるとGoogleのボットが判断した場合に発生します。 ただし、理由はさらに深くなる可能性があります。 Google検索コンソールアカウントにも同等の通知があります。

clip_image002

これは、Googleが検索結果と一緒に公開する可能性のあるセキュリティ関連の警告の1つにすぎません。 Googleのサポートポータルには、他のメッセージの拡張リストが含まれています。 これがイラストです。

clip_image004

このようなフラグが立てられたWebサイトにアクセスしても、コンピューターのセキュリティを危険にさらすことはありません。 あなたはそうする? 誰もそうしません、そしてそれはあなたのすべてのSEO作業を深い穴に落とします! 代わりに、サイトのセキュリティの各側面を完全に制御してくださいそれはSEOと密接に関連しています。

HTTPS経由で安全なウェブサイトを持っている

GoogleがHTTPSWebサイトを他のWebサイトよりもはるかに安全なものとして扱っていることは明らかです。 これは、HTTPSプロトコルがWeb情報交換をより安全にする方法です。

clip_image005

2016年以降、ChromeブラウザはHTTPS以外のウェブを明示的にマークしています

安全でないサイト。 これは、すべてのSEO専門家が、HTTPSエコシステムにすぐに移行するために必要なすべてのことをクライアントに実行させるのに十分な理由です。

今、あなたのクライアントのウェブサイトは安全ですか? これが2段階のチェックです。

i)SSL証明書がサーバーに正しくインストールされていることを確認します

https://www。[yourwebsitename] .comと入力し、Enterキーを押します。 タスクバーにロックアイコンが表示されている場合は、SSLが認識されていることを示しています。 それ以外の場合は、次のようなエラーメッセージが表示されます。

clip_image007

ii)WebサイトのURLがHTTPSバージョンにプッシュされていることを確認します

http://www.[yourwebsitename] .comと入力し、Enterキーを押します。 リダイレクトルールに関するサーバー構成が適切に設定されている場合、ページは自動的にhttps://www。[yourwebsitename].comにリダイレクトされます。 そうでない場合は、すぐに対処する必要がある問題があります。

注:WordPressは非常に安全であると考えられていますが、最近、プラットフォームに基づく非常に多くのWebサイトがハッキングされています。 したがって、WordPress WebサイトのHTTPSプロトコルのアクティブ化を保証することは、これ以上待つことはできません。 Really Simple SSLなどのプラグインを使用すると、WordPressでHTTPSを使用する方法に関するこの非常に説明的なチュートリアルで説明されているように、上記の2ステップのプロセスをWPで管理するのがさらに簡単になります。

コンテンツセキュリティポリシー

Webマスターは、特にコンテンツの転用の場合のようにコンテンツが頻繁に更新される場合に、起こりうる攻撃からWebサイトを保護する必要があるという点で多くのことを扱います。 またはeコマースサイトのように新製品を定期的に追加します。 発生する可能性のある攻撃の最も一般的な形式の2つは、データインジェクション攻撃とクロスサイトスクリプティング攻撃です。 このような攻撃を軽減または報告するのに役立つ追加のセキュリティレイヤーは、努力する価値があります。 コンテンツセキュリティポリシー(CSP)はまさにその層。 信頼できないソースからのインラインスクリプトだけでなく、外部スクリプトも効果的にブロックできます。

SEOの専門家として、あなたは簡単に邪魔にならないようにして、クライアントのWebサイトにCSPが導入されているかどうかを確認できます。 CSPは、あらゆる種類のデータ資産のルールを含むHTTPヘッダーを介して実装されます。 たとえば、デフォルトのソース(Self)からのCSSとスクリプトのみを許可するHTTPヘッダーは次のようになります(例外としてGoogle Analyticsスクリプトを許可します)。

Content-Security-Policy:default-src'self'; script-src'self' https://www.google-analytics.com;

サイトがハッキングされるのを防ぐ方法は?

SEOの主な責任ではありませんが、ハッカーを遠ざけるためにあなたの助けが必要な場合は、クライアントを責めないでください。 それをチャンスと考えてください。 5%余分に投入すると、ハッカーに対するクライアントのWebサイトの耐性が大幅に向上し、最終的にはビジネスを継続できます。

これは、クライアントのWebサイトのハッカーを証明するのに役立つサイトセキュリティのベストプラクティスのクイックリストです。

  • CMSソフトウェアまたはWebサイトビルダーコードが最新バージョンにアップグレードされているかどうかを確認します。
  • スパム、ブルートフォース攻撃、クロスサイトスクリプティング、SQLインジェクションなどについて、クライアント/そのWebサイト管理者を教育します。
  • パスワードは頻繁に変更してください。
  • 分析などのためにクライアントのWebサイトにリンクするために、セキュリティで保護されていない、または証明されていないサードパーティのツールを使用しないでください。
  • サーバーレベルの技術情報をエラーページに公開しないでください。 エラーページには「ページが見つかりません」のように表示されます。
  • 悪意のあるコードがサーバーに感染しないように、サーバー側だけでなくブラウザー側でも入力の検証を有効にします。
  • クライアントのWebサイトでユーザーがファイルをアップロードできる場合は、スクリプトが一緒にアップロードされないように、保管管理を推奨します。
  • Webセキュリティツールを組み合わせて使用​​して、クライアントのWebサイトを保護します。 これについては、ガイドの後半で詳しく説明します。

クライアントサイトがハッキングされた場合はどうすればよいですか?

大丈夫; 悪化が起こった、今何? あなたの対応はセキュリティ上の欠陥の性質に依存します。それはグーグルがあなたのウェブサイトの検索結果に追加する警告メッセージによってよく示されるかもしれません。

詳細を確認するには、検索コンソールにログインし、[セキュリティの問題]セクションに移動して、侵害されていると思われるURLの詳細と、各URLのセキュリティ違反の種類の詳細を確認します。

ここでは、クライアントがWebサイトのセキュリティ問題に対処するために、Web開発者やプログラマーを連れてくる必要があることをクライアントに知らせるために、クライアントと明確に通信する必要があります。 また、同様の問題に直面した可能性のある他のWebサイトの知識に基づいて、貴重な洞察と連絡先を提供できるWebホスティングプロバイダーにも連絡することをお勧めします。

Googleは、ウェブサイトがハッキングされた可能性のあるウェブマスター向けの公式ヘルプビデオで、技術的な問題を解決するために技術的な専門知識を求めることを推奨しています。 ハックを乗り越えるのにかかる時間は、以下によって異なります。

  • クライアントのチームの技術的専門知識のレベル
  • 影響を受けるコンテンツの量(たとえば、サイト全体のスパムは削除に時間がかかる)
  • ハッキングの損傷/複雑さの程度

クライアントサイトがハッキングされた場合にランキングを安全に保つ方法は?

迅速で包括的なアクション–これは、ハッキングによってWebサイトにSEOの悪夢が発生しないようにするための黄金律です。

注:サイト全体がハッキングされた場合は、感染したディレクトリの外部で行われたアクセスに対して503エラーページが返されるように、Webホストに構成を依頼して、サイトをオフラインにします。 robots.txtにアクセスしないでください、それはあなたのURLを使用してアクセスするユーザーのWebサイトをブロックしないためです(Webクローラーを停止するだけです)。

侵害されたURLを知っている場合、タスクは簡単です。

  • まず、検索コンソールの[URLの削除]オプションを使用して、感染したURLをインデックスから削除します。
  • 次に、クロールエラーをすばやくスキャンして、Webサイトのサイトマップを再送信します。
  • Webサイト管理者とセキュリティチームがマルウェアを削除し、検索コンソールで強調表示された問題に対処したら、Webサイトを送信することをお勧めしますレビューのために検索コンソールのセキュリティ問題レポートにアクセスしてください。
  • レビューが成功すると、検索コンソールに次のようなメッセージが表示されます。

clip_image009

また、セキュリティ違反の性質によっては、WordPress Webサイトを古いバージョンに復元するか、Webサイトをより安全なホスティングプロバイダーに移動することを検討する必要があります。

Webセキュリティを強化するためのトップツール

ツールは、クライアントのWebサイトのセキュリティ監視を自動化し、重大なセキュリティ侵害を回避するのに役立ちます。 これが私がお勧めするいくつかのツールです:

インカプセル:CDN(コンテンツ配信ネットワーク)などの一連のツールを提供するネットワークセキュリティおよび最適化会社、Webアプリケーションファイアウォール(WAF)およびAdvanced Persistent Threats(APT)保護ツールは、パスワードの盗難、DDoS、およびハッキング攻撃からWebサイトを保護するのに役立ちます。

clip_image011

コモドcWatch : 24時間年中無休のWebサイト監視、PCI準拠のスキャン、および信頼性の高いマルウェアの検出と削除。

グラバー:何も使いたくない場合のオープンソースの代替手段。 JSソースコード分析とバックアップファイルチェックの提供とは別に、クロスサイトスクリプティングとSQLインジェクションを検出して報告します。

Zed Attack Proxy(ZAP) :侵入テストツールを使用すると、Webサイトでの「ハッキングのような」アクティビティをプロアクティブにシミュレートし、セキュリティ上の欠陥を明らかにして、プロアクティブな修復アクションを実行できます。

結びの言葉

SEOの専門家は、クライアントのWebサイトの維持と成長に依存して成長し、それによってすべてのSEOの既得権が確保されます。 すぐにトラフィックの減少にエスカレートするセキュリティはありません。これにより、SEOの専門家としての有効性に疑問が生じます。 より良いサイトセキュリティはあなたのクライアントのウェブサイトへのより多くのトラフィックを意味します、それはあなたにとってより多くのビジネスを意味します。