Przewodnik po bezpieczeństwie sieci, który każdy SEO musi przeczytać

Opublikowany: 2018-05-09

seo-web-security

Bezpieczeństwo sieci jest głównym problemem, który spędza sen z powiek biznesmenom. Wyobraź sobie, że budzisz się z rzeczywistością, w której witryna Twojego klienta została zhakowana. Nie tylko oznacza to, że Twoja firma jako ekspert SEO odejdzie, ale także, że przywrócenie witryny na właściwe tory będzie uciążliwym zadaniem.

Tradycyjnie bezpieczeństwo stron internetowych było oddzielone od SEO, z wyjątkiem kilku podstawowych obowiązków po stronie ekspertów ds. SEO (takich jak nieumieszczanie linków do i ze złośliwych stron internetowych). Ponieważ linie oddzielające różne aspekty sieci WWW i biznesu zmniejszają się, żaden ekspert SEO nie może już ignorować bezpieczeństwa witryny. Ten przewodnik jest próbą zeskrobania powierzchni tej dyskusji i wydobycia kilku cennych spostrzeżeń w procesie.

Po co się męczyć?

Cóż, wyobraź sobie, że witrynie Twojej lub Twojego klienta towarzyszy nieprzyjemne ostrzeżenie od Google obok wyniku wyszukiwania.

Zwykle dzieje się tak, gdy boty Google uważają, że Twoja witryna może zawierać szkodliwy kod, który może na przykład instalować złośliwe oprogramowanie na komputerach odwiedzających. Powody mogą być jednak głębsze. Odpowiednie powiadomienie znajdziesz również na swoim koncie Google Search Console.

clip_image002

To tylko jedno z potencjalnych ostrzeżeń dotyczących bezpieczeństwa, które Google może opublikować obok wyników wyszukiwania. Portal pomocy Google zawiera rozszerzoną listę innych wiadomości; oto ilustracja.

clip_image004

Nigdy nie zaryzykowałbym bezpieczeństwa mojego komputera, odwiedzając tak oflagowaną witrynę; zrobisz? Nikt tego nie zrobi, a to zabierze całą Twoją pracę SEO do głębokiego dołu! Zamiast tego przejmij pełną kontrolę nad każdym z aspektów bezpieczeństwa witryny które ściśle łączą się z SEO.

Mieć bezpieczną stronę internetową przez HTTPS

Oczywiste jest, że Google traktuje witryny HTTPS jako znacznie bezpieczniejsze niż inne. W ten sposób protokół HTTPS zapewnia bezpieczniejszą wymianę informacji internetowych.

clip_image005

Od 2016 r. przeglądarka Chrome wyraźnie oznacza strony internetowe inne niż HTTPS

witryny jako niezabezpieczone. To wystarczający powód, aby każdy ekspert SEO zmuszał swoich klientów do robienia wszystkiego, co niezbędne, aby natychmiast przejść do ekosystemu HTTPS.

Czy witryna Twojego klienta jest bezpieczna? Oto dwuetapowa kontrola:

i) Upewnij się, że certyfikat SSL jest poprawnie zainstalowany na serwerze

Wpisz https://www.[nazwa Twojej witryny].com i naciśnij Enter. Jeśli zobaczysz ikonę kłódki na pasku zadań, oznacza to, że protokół SSL został rozpoznany. W przeciwnym razie zobaczysz komunikat o błędzie, taki jak ten:

clip_image007

ii) Upewnij się, że adres URL witryny jest przekazywany do wersji HTTPS

Wpisz http://www.[nazwa Twojej witryny].com i naciśnij Enter. Jeśli konfiguracja Twojego serwera pod kątem reguł przekierowań jest prawidłowo ustawiona, strona zostanie automatycznie przekierowana na https://www.[nazwa Twojej witryny].com. Jeśli tak się nie stanie, pojawia się problem, który wymaga natychmiastowego rozwiązania.

Uwaga: chociaż WordPress jest uważany za bardzo bezpieczny, wyjątkowo duża liczba witryn internetowych opartych na tej platformie została w niedalekiej przeszłości zhakowana. Zapewnienie aktywacji protokołu HTTPS dla Twoich witryn WordPress, dlatego nie możesz dłużej czekać. Korzystając z wtyczek, takich jak Really Simple SSL, powyższy 2-etapowy proces staje się jeszcze łatwiejszy do zarządzania dla WP, jak wyjaśniono w tym bardzo opisowym samouczku dotyczącym korzystania z HTTPS na WordPress .

Polityka bezpieczeństwa treści

Webmasterzy często mają do czynienia z koniecznością zabezpieczenia strony internetowej przed możliwymi atakami, zwłaszcza gdy treść jest często aktualizowana, jak w przypadku ponownego wykorzystania treści lub regularne dodawanie nowych produktów jak w witrynach e-commerce. Dwie z najczęstszych form ataków, które mogą się zdarzyć, to ataki polegające na wstrzykiwaniu danych i ataki Cross Site Scripting. Każda dodatkowa warstwa bezpieczeństwa, która może pomóc złagodzić lub zgłosić taki atak, jest warta wysiłku. Polityka bezpieczeństwa treści (CSP) to właśnie ta warstwa. Może skutecznie blokować skrypty zewnętrzne, a także skrypty wbudowane z niezaufanych źródeł.

Jako ekspert SEO możesz z łatwością zejść z drogi i sprawdzić, czy CSP jest dostępne dla witryny Twojego klienta. CSP jest implementowany za pomocą nagłówka HTTP zawierającego reguły dla wszystkich rodzajów zasobów danych. Na przykład nagłówek HTTP zezwalający na CSS i skrypty tylko z domyślnego źródła (Self) będzie wyglądał tak (zezwalając na skrypt Google Analytics jako wyjątek):

Polityka bezpieczeństwa treści: default-src 'self'; script-src 'self' https://www.google-analytics.com;

Jak zapobiec hakowaniu witryny?

Nie obwiniaj swoich klientów, jeśli chcą Twojej pomocy w powstrzymywaniu hakerów, nawet jeśli nie jest to główny obowiązek SEO. Pomyśl o tym jako o możliwości; dokładasz 5% więcej, a to z kolei znacznie zwiększa odporność stron internetowych klienta na hakerów, co w końcu nadal prowadzi do ich biznesu.

Oto krótka lista sprawdzonych metod w zakresie bezpieczeństwa witryn, które pomogą Ci zabezpieczyć witrynę Twoich klientów przed hakerami.

  • Sprawdź, czy oprogramowanie CMS lub kod do tworzenia stron internetowych jest zaktualizowany do najnowszej wersji.
  • Poinformuj swoich klientów/administratorów witryn na temat spamu, ataków typu brute force, cross-site scripting, wstrzyknięć SQL itp.
  • Często zmieniaj hasła.
  • Nie używaj żadnych niezabezpieczonych lub niesprawdzonych narzędzi stron trzecich do łączenia się z witryną klienta w celu analizy itp.
  • Nie publikuj informacji technicznych na poziomie serwera na stronach błędów; strony z błędami powinny mówić coś w stylu „nie znaleziono strony”.
  • Włącz sprawdzanie poprawności danych wejściowych zarówno po stronie przeglądarki, jak i po stronie serwera, aby mieć pewność, że złośliwe kody nie zainfekują serwera.
  • Jeśli witryna klienta umożliwia użytkownikom przesyłanie plików, zaleca się przechowywanie kontroli, aby upewnić się, że nie są przesyłane żadne skrypty.
  • Korzystaj z różnych narzędzi bezpieczeństwa sieci, aby chronić strony internetowe swoich klientów; więcej na ten temat w dalszej części przewodnika.

Co zrobić, jeśli Twoja witryna klienta zostanie zhakowana?

W porządku; stało się gorzej, co teraz? Twoja odpowiedź będzie zależeć od charakteru luki w zabezpieczeniach, na co może wskazywać komunikat ostrzegawczy dołączany przez Google do wyniku wyszukiwania Twojej witryny.

Aby sprawdzić szczegóły, zaloguj się do Search Console, przejdź do sekcji Problemy z bezpieczeństwem i sprawdź szczegóły adresów URL, które wydają się być naruszone, wraz ze specyfiką rodzaju naruszenia bezpieczeństwa dla każdego adresu URL.

Tutaj musisz wyraźnie komunikować się swoim klientom, aby wiedzieli, że muszą zaangażować programistów i programistów internetowych, którzy zajmą się problemami bezpieczeństwa w witrynie. Poleć im również skontaktowanie się z dostawcą usług hostingowych, który może zaoferować cenne informacje i kontakty w oparciu o wiedzę o innych witrynach internetowych, które mogły napotkać podobne problemy.

Google w swoim oficjalnym filmie pomocy dla webmasterów, których witryna mogła zostać zhakowana, zaleca im skorzystanie z wiedzy technicznej w celu rozwiązania problemów technicznych. Czas potrzebny na pokonanie włamania będzie zależeć od:

  • Poziom wiedzy technicznej zespołu Twojego klienta
  • Ilość treści, których to dotyczy (np. spamowanie całej witryny wymaga więcej czasu na usunięcie)
  • Stopień uszkodzenia/złożoność włamania

Jak zabezpieczyć swoje rankingi, jeśli Twoja witryna klienta zostanie zhakowana?

Szybkie i kompleksowe działania – to złota zasada, o której należy pamiętać, aby upewnić się, że włamanie nie spowoduje koszmaru SEO dla witryny.

Uwaga: Jeśli cała witryna została zhakowana, przełącz ją w tryb offline, prosząc swojego usługodawcę hostingowego o skonfigurowanie jej tak, aby strona błędu 503 była zwracana w przypadku dostępu poza zainfekowanym katalogiem. Nie idź do pliku robots.txt disallow , ponieważ nie zablokuje to witryny użytkownikom korzystającym z Twojego adresu URL (tylko zatrzymuje roboty sieciowe).

Jeśli wiesz o zhakowanych adresach URL, zadanie jest łatwiejsze:

  • Najpierw usuń zainfekowane adresy URL z indeksu za pomocą opcji Usuń adresy URL w Search Console.
  • Następnie wykonaj szybkie skanowanie w poszukiwaniu błędów indeksowania i ponownie prześlij mapę witryny swojej witryny.
  • Gdy administrator witryny i zespół ds. bezpieczeństwa usuną złośliwe oprogramowanie i zajmą się problemami wskazanymi w Search Console, zalecamy przesłanie witryny do raportu Search Console Problemy z bezpieczeństwem w celu sprawdzenia.
  • Pomyślna weryfikacja byłaby sygnalizowana przez taki komunikat w Search Console:

clip_image009

Ponadto, w zależności od charakteru naruszenia bezpieczeństwa, będziesz musiał przywrócić swoją witrynę WordPress do starszej wersji, a nawet rozważyć przeniesienie witryny do bezpieczniejszego dostawcy hostingu.

Najlepsze narzędzia do wzmacniania bezpieczeństwa w sieci

Narzędzia mogą zautomatyzować monitorowanie bezpieczeństwa witryn Twoich klientów i pomóc uniknąć poważnych naruszeń bezpieczeństwa. Oto kilka narzędzi, które polecam:

Incapsula : firma zajmująca się bezpieczeństwem i optymalizacją sieci, która oferuje zestaw narzędzi, takich jak CDN (Content Delivery Network) , narzędzia do ochrony zapory aplikacji internetowych (WAF) i zaawansowanych trwałych zagrożeń (APT), które pomagają zabezpieczyć witrynę przed kradzieżą haseł, atakami DDoS i hakerami.

clip_image011

Comodo cWatch : Do całodobowego nadzoru witryn internetowych, skanowania zgodnego z PCI oraz niezawodnego wykrywania i usuwania złośliwego oprogramowania.

Grabber : Alternatywa open source, jeśli nie chcesz nic wydawać; wykrywa i raportuje cross-site scripting i SQL injection, oprócz oferowania analizy kodu źródłowego JS i sprawdzania plików kopii zapasowych.

Pełnomocnik ataku Zedów (ZAP) : narzędzie do testowania penetracji, które umożliwia proaktywną symulację działań podobnych do hakowania na stronie internetowej w celu ujawnienia jej luk w zabezpieczeniach i proaktywnych działań naprawczych.

Uwagi końcowe

Eksperci SEO polegają na utrzymaniu i rozwoju witryn klientów, aby się rozwijać, a to zapewnia bezpieczeństwo wszystkim SEO. Brak zabezpieczeń wkrótce przerodzi się w spadek ruchu, co będzie stawiać pytania o Twoją skuteczność jako eksperta SEO. Lepsze bezpieczeństwo witryny oznacza większy ruch na stronach internetowych Twoich klientów, co oznacza więcej biznesu dla Ciebie.