O guia de segurança na Web que todo SEO deve ler

A segurança da Web é uma grande dor de cabeça que mantém os empresários acordados à noite. Imagine acordar para a realidade de ter o site do seu cliente invadido. Isso não apenas significa que seu negócio como especialista em SEO vai embora, mas também que colocar o site de volta nos trilhos será uma tarefa onerosa.

Tradicionalmente, a segurança do site foi mantida separada do SEO, além de algumas responsabilidades básicas por parte dos especialistas em serviços de SEO (como não estabelecer links para e de sites maliciosos). Como as linhas que separam os diferentes aspectos da World Wide Web e dos negócios estão diminuindo, nenhum especialista em SEO pode mais ignorar a segurança do site. Este guia é uma tentativa de ultrapassar a superfície dessa discussão e trazer alguns insights valiosos no processo.

Porque se importar?

Bem, imagine ter o seu site ou o do seu cliente acompanhado de um aviso desagradável do Google, junto com o resultado da pesquisa.

Isso geralmente acontece quando os bots do Google acreditam que seu site pode ter um código nocivo que pode, por exemplo, instalar malware nos computadores dos visitantes. As razões podem ser mais profundas, no entanto. Você também encontrará uma notificação equivalente em sua conta do Google Search Console.

Este é apenas um dos possíveis avisos relacionados à segurança que o Google pode publicar junto com seus resultados de pesquisa. O portal de suporte do Google contém uma lista extensa de outras mensagens; aqui está uma ilustração.

Eu nunca arriscaria a segurança do meu computador visitando um site tão sinalizado; você poderia? Ninguém o fará, e isso levará todo o seu trabalho de SEO para um poço profundo! Em vez disso, assuma o controle total de cada um dos aspectos da segurança do site que estão intimamente ligados ao SEO.

Tenha um site seguro via HTTPS

É claro que o Google trata os sites HTTPS como muito mais seguros do que outros. É assim que o protocolo HTTPS torna a troca de informações da web mais segura.

Desde 2016, o navegador Chrome marca explicitamente a web não HTTPS

sites como inseguros. Isso é motivo suficiente para todos os especialistas em SEO levarem seus clientes a fazer todo o necessário para migrar imediatamente para o ecossistema HTTPS.

Agora, o site do seu cliente é seguro? Aqui está uma verificação em duas etapas:

i) Verifique se o certificado SSL está instalado corretamente no servidor

Digite https://www.[yourwebsitename].com e pressione Enter. Se você vir um ícone de cadeado aparecer na barra de tarefas, isso significa que o SSL foi reconhecido. Caso contrário, você verá uma mensagem de erro como esta:

ii) Verifique se o URL do site está sendo enviado para suas versões HTTPS

Digite http://www.[yourwebsitename].com e pressione Enter. Se a configuração do seu servidor em termos de regras de redirecionamento estiver configurada corretamente, a página será redirecionada automaticamente para https://www.[yourwebsitename].com. Se isso não acontecer, há um problema que precisa ser resolvido imediatamente.

Nota: Embora o WordPress seja considerado muito seguro, um número excepcionalmente grande de sites baseados na plataforma foi invadido no passado recente. Garantir a ativação do protocolo HTTPS para seus sites WordPress, portanto, não pode esperar mais. Usando plugins como Really Simple SSL, o processo de 2 etapas acima fica ainda mais fácil de gerenciar para WP, conforme explicado neste tutorial muito descritivo sobre como usar HTTPS no WordPress .

Política de segurança de conteúdo

Os webmasters lidam muito com a necessidade de proteger o site contra possíveis ataques, especialmente quando o conteúdo é atualizado com frequência, como no caso de redirecionamento de conteúdo ou adição regular de novos produtos como em sites de comércio eletrônico. Duas das formas mais comuns de ataques que podem acontecer são ataques de injeção de dados e ataques de Cross Site Scripting. Qualquer camada de segurança adicional que possa ajudar a mitigar ou relatar tal ataque vale o esforço. A Política de Segurança de Conteúdo (CSP) é exatamente essa camada. Ele pode efetivamente bloquear scripts externos, bem como scripts embutidos de fontes não confiáveis.

Como especialista em SEO, você pode facilmente sair do caminho e verificar se o CSP está em vigor para o site do seu cliente. O CSP é implementado por meio de um cabeçalho HTTP contendo regras para todos os tipos de ativos de dados. Por exemplo, um cabeçalho HTTP para permitir CSS e scripts somente da fonte padrão (Self) será semelhante (permitindo o script do Google Analytics como uma exceção):

Política de Segurança de Conteúdo: default-src 'self'; script-src 'self' https://www.google-analytics.com;

Como evitar que um site seja hackeado?

Não culpe seus clientes se eles quiserem sua ajuda para manter os hackers afastados, mesmo que essa não seja a principal responsabilidade de um SEO. Pense nisso como uma oportunidade; você coloca 5% a mais e, por sua vez, melhora significativamente a imunidade dos sites do cliente contra hackers, o que eventualmente continua levando você aos negócios deles.

Aqui está uma lista rápida de práticas recomendadas de segurança de sites que ajudam você a tornar o site de seus clientes à prova de hackers.

• Verifique se o software CMS ou o código do construtor de sites está atualizado para a versão mais recente.
• Eduque seus clientes/administradores de sites sobre spam, ataques de força bruta, scripts entre sites, injeções de SQL, etc.
• Altere as senhas com frequência.
• Não use ferramentas de terceiros não ^seguras ou não comprovadas para vincular ao site do cliente para análise, etc.
• Não publique informações técnicas de nível de servidor em páginas de erro; as páginas de erro devem dizer algo como 'página não encontrada'.
• Habilite a validação de entradas no lado do navegador, bem como no lado do servidor, para garantir que códigos maliciosos não infectem o servidor.
• Se o site do seu cliente permitir que os usuários façam upload de arquivos, recomende controles de segurança para garantir que nenhum script seja carregado junto.
• Use uma combinação de ferramentas de segurança na web para proteger os sites de seus clientes; mais sobre isso mais adiante no guia.

O que fazer se o site do seu cliente for invadido?

Tudo bem; o pior aconteceu, e agora? Sua resposta dependerá da natureza da falha de segurança, que pode ser indicada pela mensagem de aviso que o Google anexa ao resultado de pesquisa do seu site.

Para verificar os detalhes, faça login no Search Console, vá para a seção Problemas de segurança e verifique os detalhes dos URLs que parecem estar comprometidos, juntamente com os detalhes do tipo de violação de segurança para cada URL.

Aqui, você precisará se comunicar claramente com seus clientes para que eles saibam que precisam trazer desenvolvedores e programadores da Web para cuidar dos problemas de segurança com o site. Além disso, recomende que eles entrem em contato com o provedor de hospedagem também, que pode oferecer informações e contatos valiosos, com base no conhecimento de outros sites que possam ter enfrentado problemas semelhantes.

O Google, em seu vídeo oficial de ajuda para webmasters cujo site pode ter sido invadido, recomenda que eles busquem conhecimentos técnicos para resolver os problemas técnicos. A quantidade de tempo necessária para superar o hack dependerá de:

• O nível de conhecimento técnico da equipe do seu cliente
• Quantidade de conteúdo afetada (spam em todo o site, por exemplo, precisa de mais tempo para remoção)
• Extensão do dano/complexidade do hack

Como manter seus rankings seguros se o site do seu cliente for invadido?

Ações rápidas e abrangentes – essa é a regra de ouro a ser lembrada para garantir que o hack não cause um pesadelo de SEO para o site.

Nota: Se todo o site foi invadido, coloque-o offline pedindo ao seu host da Web para configurá-lo para que uma página de erro 503 seja retornada para acesso feito fora do diretório infectado. Não vá para robots.txt não permitir , porque isso não bloqueará o site para usuários que o visitam usando seu URL (apenas interrompe os rastreadores da web).

Se você estiver ciente dos URLs comprometidos, a tarefa é mais fácil:

• Primeiro, remova os URLs infectados do índice usando a opção Remover URLs no Search Console.
• Em seguida, faça uma verificação rápida em busca de erros de rastreamento e reenvie o mapa do site do seu site.
• Depois que o administrador do site e a equipe de segurança removerem o malware e resolverem os problemas destacados no Search Console, recomendo que você envie seu site para o relatório de problemas de segurança do Search Console para uma revisão.
• Uma revisão bem-sucedida seria indicada por essa mensagem em seu Search Console:

Além disso, dependendo da natureza da violação de segurança, você precisará restaurar seu site WordPress para uma versão mais antiga ou até mesmo considerar mover o site para um provedor de hospedagem mais seguro.

Principais ferramentas para fortalecer a segurança na Web

As ferramentas podem automatizar o monitoramento de segurança dos sites de seus clientes e ajudar a evitar grandes violações de segurança. Aqui estão algumas ferramentas que eu recomendo:

Cápsula : uma empresa de segurança e otimização de rede que oferece um conjunto de ferramentas como CDN (Content Delivery Network) , uma ferramenta de proteção Web Application Firewall (WAF) e Advanced Persistent Threats (APT) que ajuda a proteger seu site contra roubo de senha, DDoS e ataques de hackers.

Comodo cWatch : Para vigilância de sites 24 horas por dia, 7 dias por semana, verificação compatível com PCI e detecção e remoção confiável de malware.

Agarrador : Uma alternativa de código aberto se você não quiser gastar nada; ele detecta e relata scripts entre sites e injeções de SQL, além de oferecer análise de código-fonte JS e verificações de arquivos de backup.

Proxy de Ataque Zed (ZAP) : uma ferramenta de teste de penetração que permite simular proativamente atividades 'semelhantes a hackers' em um site, para expor suas falhas de segurança, para ações corretivas proativas.

Observações Finais

Os especialistas em SEO dependem do sustento e do crescimento dos sites dos clientes para crescer, e isso garante um interesse adquirido para todos os SEOs. Nenhuma segurança se transformará em uma queda no tráfego em breve, o que colocará questões sobre sua eficácia como especialista em SEO. Melhor segurança do site significa mais tráfego para os sites de seus clientes, o que significa mais negócios para você.