Ghidul de securitate web pe care fiecare SEO trebuie să-l citească

Securitatea web este o durere de cap majoră care îi ține treji pe oamenii de afaceri noaptea. Imaginați-vă că vă treziți la realitatea că site-ul web al clientului dvs. este piratat. Acest lucru nu înseamnă doar că afacerea dvs. ca expert SEO dispare, ci și că restabilirea site-ului va fi o sarcină oneroasă.

În mod tradițional, securitatea site-ului web a fost păstrată separat de SEO, în afară de câteva responsabilități de bază din partea experților în servicii SEO (cum ar fi nu stabilirea de link-uri către și de la site-uri web rău intenționate). Deoarece liniile care separă diferitele aspecte ale World Wide Web și afaceri sunt în scădere, niciun expert SEO nu mai poate ignora securitatea site-ului. Acest ghid este o încercare de a trece peste suprafața acestei discuții și de a scoate la iveală câteva informații valoroase în acest proces.

De ce sa te deranjezi?

Ei bine, imaginați-vă că site-ul dvs. web sau al clientului dvs. este însoțit de un avertisment neplăcut de la Google, alături de rezultatul căutării.

Acest lucru se întâmplă în general atunci când roboții Google cred că site-ul dvs. ar putea avea cod dăunător care ar putea, de exemplu, să instaleze programe malware pe computerele vizitatorilor. Motivele ar putea fi mai profunde, totuși. Veți găsi o notificare echivalentă și în contul dvs. Google Search Console.

Acesta este doar unul dintre potențialele avertismente legate de securitate pe care Google le-ar putea publica alături de rezultatele căutării dvs. Portalul de asistență Google conține o listă extinsă de alte mesaje; iată o ilustrație.

Nu aș risca niciodată securitatea computerului meu vizitând un astfel de site web marcat; veţi? Nimeni nu o va face, iar asta va duce toată munca ta SEO într-o groapă adâncă! În schimb, preia controlul complet asupra fiecăruia dintre aspectele securității site-ului care se leagă strâns de SEO.

Aveți un site web securizat prin HTTPS

Este clar că Google tratează site-urile HTTPS ca fiind mult mai sigure decât altele. Acesta este modul în care protocolul HTTPS face schimbul de informații web mai sigur.

Din 2016, browserul Chrome marchează în mod explicit web non-HTTPS

site-uri ca nesigure. Acesta este un motiv suficient pentru ca fiecare expert SEO să-și împingă clienții să facă tot ce este necesar pentru a trece imediat la ecosistemul HTTPS.

Acum, site-ul clientului dvs. este sigur? Iată o verificare în 2 pași:

i) Asigurați-vă că certificatul SSL este instalat corect pe server

Tastați https://www.[yourwebsitename].com și apăsați Enter. Dacă vedeți o pictogramă de lacăt care apare în bara de activități, înseamnă că SSL este recunoscut. În caz contrar, veți vedea un mesaj de eroare precum acesta:

ii) Asigurați-vă că adresa URL a site-ului web este trimisă la versiunile lor HTTPS

Tastați http://www.[yourwebsitename].com și apăsați Enter. Dacă configurația serverului dvs. în ceea ce privește regulile de redirecționare este configurată corect, pagina va fi redirecționată automat la https://www.[yourwebsitename].com. Dacă nu, există o problemă care trebuie rezolvată imediat.

Notă: Deși WordPress este considerat foarte sigur, un număr excepțional de mare de site-uri web bazate pe platformă au fost piratate în trecutul recent. Asigurarea activării protocolului HTTPS pentru site-urile dvs. WordPress, prin urmare, nu mai puteți aștepta. Folosind pluginuri precum Really Simple SSL, procesul în 2 pași de mai sus devine și mai ușor de gestionat pentru WP, așa cum este explicat în acest tutorial foarte descriptiv despre cum să utilizați HTTPS pe WordPress .

Politica de securitate a conținutului

Webmasterii se confruntă cu multe în ceea ce privește nevoia de a securiza site-ul web împotriva posibilelor atacuri, mai ales atunci când conținutul este actualizat frecvent, cum ar fi în cazul reutilizarii conținutului sau adăugarea regulată de produse noi ca în site-urile de comerț electronic. Două dintre cele mai comune forme de atacuri care se pot întâmpla sunt atacurile cu injecție de date și atacurile Cross Site Scripting. Orice nivel de securitate suplimentar care poate ajuta la atenuarea sau raportarea unui astfel de atac merită eforturile. Politica de securitate a conținutului (CSP) este tocmai acel strat. Poate bloca eficient scripturile externe, precum și scripturile inline din surse nesigure.

În calitate de expert SEO, puteți să vă îndepărtați cu ușurință și să verificați dacă CSP este în vigoare pentru site-ul web al clientului dvs. CSP este implementat printr-un antet HTTP care conține reguli pentru toate tipurile de active de date. De exemplu, un antet HTTP care să permită CSS și scripturi numai din sursa implicită (Self) va arăta astfel (permițând scriptul Google Analytics ca excepție):

Politica de securitate a conținutului: default-src 'self'; script-src „self” https://www.google-analytics.com;

Cum să preveniți piratarea unui site?

Nu da vina pe clienții tăi dacă doresc ajutorul tău pentru a-i ține departe pe hackeri, chiar dacă aceasta nu este o responsabilitate principală a unui SEO. Gândește-te la asta ca la o oportunitate; puneți 5% în plus și, la rândul său, îmbunătățiți semnificativ imunitatea site-urilor web ale clienților împotriva hackerilor, care în cele din urmă continuă să vă aducă afacerea lor.

Iată o listă rapidă cu cele mai bune practici de securitate a site-ului care vă ajută să faceți dovada hackerilor de site-uri web ale clienților dvs.

• Verificați dacă software-ul CMS sau codul de creare a site-ului web este actualizat la cea mai recentă versiune.
• Educați-vă clientul/administratorii site-ului lor despre spam, atacuri cu forță brută, scripturi între site-uri, injecții SQL etc.
• Schimbați frecvent parolele.
• Nu utilizați instrumente ^terțe nesecurizate sau nedovedite pentru a face legătura către site-ul web al clientului pentru analiză etc.
• Nu publicați informații tehnice la nivel de server în paginile de eroare; paginile de eroare ar trebui să spună ceva de genul „pagina nu a fost găsită”.
• Activați validarea intrărilor din partea browserului, precum și pe partea serverului, pentru a vă asigura că codurile rău intenționate nu infectează serverul.
• Dacă site-ul web client permite utilizatorilor să încarce fișiere, recomandați controale pentru păstrarea în siguranță pentru a vă asigura că nu sunt încărcate scripturi.
• Utilizați o combinație de instrumente de securitate web pentru a proteja site-urile web ale clienților dvs.; mai multe despre asta mai târziu în ghid.

Ce să faci dacă site-ul tău client este piratat?

Bine; ce s-a întâmplat mai rău, acum ce? Răspunsul dvs. va depinde de natura defectului de securitate, care ar putea fi indicat de mesajul de avertizare pe care Google îl atașează la rezultatul căutării site-ului dvs. web.

Pentru a verifica detaliile, conectați-vă la Search Console, accesați secțiunea Probleme de securitate și verificați detaliile adreselor URL care par a fi compromise, împreună cu specificul tipului de încălcare a securității pentru fiecare adresă URL.

Aici, va trebui să comunicați clar clienților dvs., astfel încât aceștia să știe că trebuie să aducă dezvoltatori web și programatori pentru a se ocupa de problemele de securitate ale site-ului. De asemenea, recomandați-le să contacteze și furnizorul de găzduire web, care poate oferi informații și contacte valoroase, pe baza cunoștințelor altor site-uri web care s-ar fi putut confrunta cu probleme similare.

Google, în videoclipul său oficial de ajutor pentru webmasteri al căror site ar fi putut fi piratat, le recomandă să caute expertiză tehnică pentru a rezolva problemele tehnice. Timpul necesar pentru a trece peste hack va depinde de:

• Nivelul de expertiză tehnologică al echipei clientului dvs
• Cantitatea de conținut afectată (spam-ul la nivelul întregului site, de exemplu, necesită mai mult timp pentru eliminare)
• Gradul de deteriorare/complexitatea hack-ului

Cum să vă păstrați clasamentul în siguranță dacă site-ul dvs. client este piratat?

Acțiuni rapide și cuprinzătoare – aceasta este regula de aur de reținut pentru a vă asigura că hack-ul nu provoacă un coșmar SEO pentru site-ul web.

Notă: Dacă întregul site a fost piratat, scoateți-l offline solicitând gazdei dvs. web să-l configureze astfel încât să fie returnată o pagină de eroare 503 pentru accesul efectuat în afara directorului infectat. Nu alegeți robots.txt disallow , deoarece acest lucru nu va bloca site-ul web pentru utilizatorii care vă vizitează folosind adresa URL (oprește doar crawlerele web).

Dacă sunteți conștient de adresele URL compromise, sarcina este mai ușoară:

• În primul rând, eliminați adresele URL infectate din index utilizând opțiunea Eliminare adrese URL din Search Console.
• Apoi, faceți o scanare rapidă pentru erorile de accesare cu crawlere și trimiteți din nou harta site-ului dvs.
• După ce administratorul site-ului și echipa de securitate au eliminat malware-ul și au acționat asupra problemelor evidențiate în Search Console, vă recomand să trimiteți site-ul dvs. la raportul Probleme de securitate din Search Console pentru o examinare.
• O examinare reușită ar fi indicată printr-un astfel de mesaj în Search Console:

De asemenea, în funcție de natura încălcării securității, va trebui să restabiliți site-ul dvs. WordPress la o versiune mai veche sau chiar să luați în considerare mutarea site-ului la un furnizor de găzduire mai sigur.

Instrumente de top pentru a consolida securitatea web

Instrumentele pot automatiza monitorizarea securității site-urilor web ale clienților dvs. și pot ajuta la evitarea unor încălcări majore de securitate. Iată câteva instrumente pe care le recomand:

incapsula : o firmă de securitate și optimizare a rețelei care oferă o suită de instrumente precum un CDN (Content Delivery Network) , un Web Application Firewall (WAF) și instrumente de protecție Advanced Persistent Threats (APT) care vă ajută să vă securizați site-ul împotriva furtului de parole, a atacurilor DDoS și a atacurilor de piraterie.

Ceasul Comodo : Pentru supravegherea site-ului web 24x7, scanare conformă PCI și detectarea și eliminarea fiabilă a programelor malware.

Grabber : O alternativă open source dacă nu vrei să cheltuiești nimic; detectează și raportează scripturile între site-uri și injecțiile SQL, în afară de oferirea de analiză a codului sursă JS și verificări ale fișierelor de rezervă.

Zed Attack Proxy (ZAP) : Un instrument de testare a pătrunderii care vă permite să simulați în mod proactiv activitățile „de tip hack” pe un site web, pentru a expune defectele sale de securitate, pentru acțiuni de remediere proactive.

Concluzii finale

Experții SEO depind de susținerea și creșterea site-urilor web ale clienților pentru a se dezvolta ei înșiși, ceea ce face ca toți SEO-urile să fie un interes personal. Nicio securitate nu va escalada în curând într-o scădere a traficului, ceea ce va pune întrebări cu privire la eficacitatea dvs. ca expert SEO. O mai bună securitate a site-ului înseamnă mai mult trafic pentru site-urile web ale clienților tăi, ceea ce înseamnă mai multe afaceri pentru tine.