모든 SEO가 읽어야 하는 웹 보안 가이드

게시 됨: 2018-05-09

seo-web-security

웹 보안은 기업인들이 밤에 깨어 있게 하는 주요 골칫거리입니다. 고객의 웹사이트가 해킹당하는 현실을 깨닫는다고 상상해 보십시오. 이는 SEO 전문가로서의 귀하의 비즈니스가 사라질 뿐만 아니라 웹사이트를 정상 궤도에 올리는 것이 힘든 작업이 될 것임을 의미합니다.

전통적으로 웹사이트 보안은 SEO 서비스 전문가의 몇 가지 기본적인 책임(예: 악성 웹사이트에 대한 링크 설정 안함)을 제외하고는 SEO와 별개로 유지되었습니다. World Wide Web과 비즈니스의 다른 측면을 구분하는 경계가 줄어들고 있기 때문에 SEO 전문가는 더 이상 웹 사이트 보안을 무시할 수 없습니다. 이 가이드는 이 논의의 표면을 긁어내고 그 과정에서 몇 가지 귀중한 통찰력을 이끌어내기 위한 시도입니다.

왜 귀찮아?

검색 결과와 함께 Google의 불쾌한 경고와 함께 귀하 또는 귀하의 클라이언트 웹 사이트가 있다고 상상해보십시오.

이는 일반적으로 Google 봇이 웹사이트에 방문자의 컴퓨터에 맬웨어를 설치할 수 있는 유해한 코드가 있을 수 있다고 생각할 때 발생합니다. 이유는 더 깊어질 수 있습니다. Google Search Console 계정에서도 이에 상응하는 알림을 찾을 수 있습니다.

clip_image002

이것은 Google이 검색 결과와 함께 게시할 수 있는 잠재적인 보안 관련 경고 중 하나일 뿐입니다. Google의 지원 포털에는 기타 메시지의 확장된 목록이 포함되어 있습니다. 여기 삽화가 있습니다.

clip_image004

나는 그러한 플래그가 지정된 웹 사이트를 방문하여 내 컴퓨터의 보안을 위험에 빠뜨리지 않을 것입니다. 할거야? 아무도 그렇게 하지 않을 것이며, 그것은 당신의 모든 SEO 작업을 깊은 구덩이에 빠뜨릴 것입니다! 대신 사이트 보안의 각 측면을 완전히 제어하십시오. SEO와 밀접하게 연결되어 있습니다.

HTTPS를 통한 안전한 웹사이트 확보

Google이 HTTPS 웹사이트를 다른 웹사이트보다 훨씬 더 안전하게 취급한다는 것은 분명합니다. 이것이 HTTPS 프로토콜이 웹 정보 교환을 보다 안전하게 만드는 방법입니다.

clip_image005

2016년부터 Chrome 브라우저는 HTTPS가 아닌 웹을 명시적으로 표시합니다.

안전하지 않은 사이트. 이것이 모든 SEO 전문가가 HTTPS 생태계로 즉시 이동하는 데 필요한 모든 작업을 수행하도록 클라이언트를 밀어붙이기에 충분한 이유입니다.

이제 고객의 웹사이트는 안전합니까? 다음은 2단계 확인입니다.

i) SSL 인증서가 서버에 제대로 설치되었는지 확인하십시오.

https://www.[yourwebsitename].com을 입력하고 Enter 키를 누릅니다. 작업 표시줄에 자물쇠 아이콘이 나타나면 SSL이 인식되었음을 나타냅니다. 그렇지 않으면 다음과 같은 오류 메시지가 표시됩니다.

clip_image007

ii) 웹사이트의 URL이 HTTPS 버전으로 푸시되고 있는지 확인

http://www.[yourwebsitename].com을 입력하고 Enter 키를 누릅니다. 리디렉션 규칙 측면에서 서버 구성이 올바르게 설정되면 페이지가 자동으로 https://www.[yourwebsitename].com으로 리디렉션됩니다. 그렇지 않은 경우 즉각적인 해결이 필요한 문제가 있습니다.

참고: WordPress는 매우 안전한 것으로 간주되지만 플랫폼을 기반으로 하는 예외적으로 많은 수의 웹사이트가 최근에 해킹되었습니다. 따라서 WordPress 웹 사이트에 대한 HTTPS 프로토콜 활성화를 더 이상 기다릴 수 없습니다. 진짜 단순 SSL과 같은 플러그인을 사용하면 위의 2단계 프로세스가 WordPress에서 HTTPS를 사용하는 방법에 대한 매우 설명적인 자습서에서 설명한 것처럼 WP를 관리하기가 훨씬 쉬워집니다. .

콘텐츠 보안 정책

웹마스터는 특히 콘텐츠 용도 변경의 경우와 같이 콘텐츠가 자주 업데이트될 때 가능한 공격으로부터 웹사이트를 보호해야 한다는 점에서 많은 것을 처리합니다. 또는 전자 상거래 사이트에서와 같이 새로운 제품을 정기적으로 추가합니다. 발생할 수 있는 가장 일반적인 두 가지 형태의 공격은 데이터 주입 공격과 교차 사이트 스크립팅 공격입니다. 그러한 공격을 완화하거나 보고하는 데 도움이 될 수 있는 추가 보안 계층은 그만한 가치가 있습니다. 콘텐츠 보안 정책(CSP)은 바로 그 레이어. 외부 스크립트와 신뢰할 수 없는 소스의 인라인 스크립트를 효과적으로 차단할 수 있습니다.

SEO 전문가는 쉽게 방해받지 않고 고객의 웹사이트에 CSP가 있는지 확인할 수 있습니다. CSP는 모든 종류의 데이터 자산에 대한 규칙이 포함된 HTTP 헤더를 통해 구현됩니다. 예를 들어 기본 소스(Self)의 CSS 및 스크립트만 허용하는 HTTP 헤더는 다음과 같습니다(Google Analytics 스크립트를 예외로 허용).

콘텐츠 보안 정책: default-src 'self'; 스크립트-src '자체' https://www.google-analytics.com;

사이트가 해킹되는 것을 방지하는 방법은 무엇입니까?

SEO의 주요 책임은 아니지만 해커를 차단하는 데 도움이 필요하다면 고객을 비난하지 마십시오. 기회라고 생각하십시오. 5%를 추가로 넣으면 해커에 대한 클라이언트 웹사이트의 내성이 크게 향상되어 결국 계속 비즈니스를 이어갑니다.

다음은 고객의 웹사이트 해커 증거를 만드는 데 도움이 되는 사이트 보안 모범 사례의 빠른 목록입니다.

  • CMS 소프트웨어 또는 웹사이트 빌더 코드가 최신 버전으로 업그레이드되었는지 확인하세요.
  • 스팸, 무차별 대입 공격, 교차 사이트 스크립팅, SQL 삽입 등에 대해 클라이언트/웹사이트 관리자에게 교육합니다.
  • 비밀번호를 자주 변경하십시오.
  • 분석 등을 위해 보안되지 않거나 입증되지 않은 타사 도구를 사용하여 클라이언트 웹사이트에 연결하지 마십시오.
  • 오류 페이지에 서버 수준 기술 정보를 게시하지 마십시오. 오류 페이지에는 '페이지를 찾을 수 없음'과 같은 내용이 표시되어야 합니다.
  • 악성 코드가 서버를 감염시키지 않도록 브라우저 측과 서버 측에서 입력 유효성 검사를 활성화하십시오.
  • 클라이언트 웹 사이트에서 사용자가 파일을 업로드할 수 있는 경우 스크립트가 함께 업로드되지 않도록 보호 제어를 권장합니다.
  • 웹 보안 도구를 혼합하여 사용하여 고객의 웹사이트를 보호하십시오. 이에 대해서는 가이드 뒷부분에서 자세히 설명합니다.

클라이언트 사이트가 해킹된 경우 어떻게 해야 합니까?

괜찮은; 더 나쁜 일이 일어났습니다. 이제 어떻게 되었습니까? 귀하의 응답은 보안 결함의 성격에 따라 달라지며, 이는 Google이 귀하의 웹사이트 검색 결과에 추가하는 경고 메시지로 잘 알 수 있습니다.

세부 정보를 확인하려면 Search Console에 로그인하고 보안 문제 섹션으로 이동하여 침해된 것으로 보이는 URL의 세부 정보와 각 URL에 대한 보안 위반 유형의 세부 정보를 확인하세요.

여기에서 웹 사이트의 보안 문제를 처리하기 위해 웹 개발자와 프로그래머를 데려와야 한다는 것을 클라이언트에게 명확하게 전달해야 합니다. 또한 유사한 문제에 직면했을 수 있는 다른 웹사이트에 대한 지식을 바탕으로 귀중한 통찰력과 연락처를 제공할 수 있는 웹 호스팅 제공업체에 문의하도록 권장합니다.

Google은 웹사이트가 해킹되었을 수 있는 웹마스터를 위한 공식 도움말 비디오에서 기술 문제를 해결하기 위해 기술 전문가를 찾을 것을 권장합니다. 해킹을 극복하는 데 걸리는 시간은 다음에 따라 달라집니다.

  • 고객 팀의 기술 전문성 수준
  • 영향을 받는 콘텐츠의 양(예: 사이트 전체의 스팸 메일은 제거하는 데 더 많은 시간이 필요함)
  • 해킹 피해 정도/복잡성

클라이언트 사이트가 해킹된 경우 순위를 안전하게 유지하는 방법은 무엇입니까?

빠르고 포괄적인 조치 – 해킹이 웹사이트에 SEO 악몽을 일으키지 않도록 하기 위해 기억해야 할 황금률입니다.

참고: 전체 사이트가 해킹된 경우 웹 호스트에 구성을 요청하여 사이트를 오프라인으로 전환하여 감염된 디렉토리 외부에서 이루어진 액세스에 대해 503 오류 페이지가 반환되도록 합니다. robots.txt로 이동하지 마세요. , 이는 URL을 사용하여 방문하는 사용자의 웹사이트를 차단하지 않기 때문입니다(웹 크롤러만 중지).

손상된 URL을 알고 있는 경우 작업이 더 쉽습니다.

  • 먼저 Search Console의 URL 제거 옵션을 사용하여 인덱스에서 감염된 URL을 제거합니다.
  • 그런 다음 크롤링 오류를 빠르게 검사하고 웹사이트의 사이트 맵을 다시 제출하십시오.
  • 웹사이트 관리자와 보안 팀이 맬웨어를 제거하고 Search Console에서 강조 표시된 문제에 대해 조치를 취했으면 웹사이트를 제출하는 것이 좋습니다. 검토를 위해 Search Console 보안 문제 보고서로 이동합니다.
  • 성공적인 검토는 Search Console에 다음과 같은 메시지로 표시됩니다.

clip_image009

또한 보안 침해의 성격에 따라 WordPress 웹사이트를 이전 버전으로 복원하거나 웹사이트를 보다 안전한 호스팅 제공업체로 이전하는 것을 고려해야 합니다.

웹 보안을 강화하는 최고의 도구

도구는 클라이언트의 웹사이트 보안 모니터링을 자동화하고 주요 보안 위반을 방지하는 데 도움이 됩니다. 다음은 제가 추천하는 몇 가지 도구입니다.

인캡슐라 : CDN(Content Delivery Network)과 같은 도구 모음을 제공하는 네트워크 보안 및 최적화 회사 , 암호 도용, DDoS 및 해킹 공격으로부터 웹 사이트를 보호하는 데 도움이 되는 WAF(웹 응용 프로그램 방화벽) 및 APT(Advanced Persistent Threats) 보호 도구입니다.

clip_image011

코모도 cWatch : 24x7 웹사이트 감시, PCI 호환 스캐닝, 안정적인 악성코드 탐지 및 제거를 위해.

욕심쟁이 : 비용을 지출하고 싶지 않다면 오픈 소스 대안입니다. JS 소스 코드 분석 및 백업 파일 검사를 제공하는 것 외에도 교차 사이트 스크립팅 및 SQL 삽입을 감지하고 보고합니다.

Zed 공격 프록시(ZAP) : 사전 예방 조치를 위해 웹사이트에서 '해킹과 같은' 활동을 사전에 시뮬레이션하고 보안 결함을 노출할 수 있는 침투 테스트 도구입니다.

끝 맺는 말

SEO 전문가는 스스로 성장하기 위해 클라이언트 웹사이트의 유지와 성장에 의존하며, 이는 모든 SEO에 대한 기득권을 확보하게 합니다. 보안은 곧 트래픽 감소로 확대되어 SEO 전문가로서의 효율성에 의문을 제기할 것입니다. 더 나은 사이트 보안은 고객의 웹사이트에 대한 더 많은 트래픽을 의미하며, 이는 더 많은 비즈니스를 의미합니다.