คู่มือการรักษาความปลอดภัยของเว็บ SEO ทุกชิ้นต้องอ่าน

เผยแพร่แล้ว: 2018-05-09

seo-web-security

ความปลอดภัยของเว็บเป็นปัญหาสำคัญที่ทำให้นักธุรกิจต้องตื่นในตอนกลางคืน ลองนึกภาพว่าคุณกำลังถูกแฮ็กเว็บไซต์ของลูกค้า ไม่เพียงหมายความว่าธุรกิจของคุณในฐานะผู้เชี่ยวชาญด้าน SEO จะหายไป แต่ยังทำให้เว็บไซต์กลับมาทำงานได้อีกครั้งจะเป็นงานที่ยากลำบากอีกด้วย

ตามเนื้อผ้า การรักษาความปลอดภัยของเว็บไซต์แยกจาก SEO นอกเหนือจากความรับผิดชอบพื้นฐานบางประการในส่วนของผู้เชี่ยวชาญด้านบริการ SEO (เช่น การไม่สร้างลิงก์ไปยังและจากเว็บไซต์ที่เป็นอันตราย) เนื่องจากเส้นแบ่งส่วนต่าง ๆ ของเวิลด์ไวด์เว็บและธุรกิจกำลังลดน้อยลง ไม่มีผู้เชี่ยวชาญ SEO คนไหนสามารถเพิกเฉยต่อความปลอดภัยของเว็บไซต์ได้อีกต่อไป คู่มือนี้เป็นความพยายามที่จะขูดผ่านพื้นผิวของการสนทนานี้และนำข้อมูลเชิงลึกอันมีค่ามาใช้ในกระบวนการ

รำคาญทำไม?

ลองนึกภาพว่ามีเว็บไซต์ของคุณหรือลูกค้าของคุณพร้อมกับคำเตือนที่ไม่น่าพอใจจาก Google ควบคู่ไปกับผลการค้นหา

กรณีนี้มักเกิดขึ้นเมื่อบอทของ Google เชื่อว่าเว็บไซต์ของคุณอาจมีโค้ดที่เป็นอันตราย เช่น ติดตั้งมัลแวร์ในคอมพิวเตอร์ของผู้เยี่ยมชม เหตุผลอาจลึกกว่านั้น คุณจะพบการแจ้งเตือนที่เทียบเท่ากันในบัญชี Google Search Console ของคุณด้วย

clip_image002

นี่เป็นเพียงหนึ่งในคำเตือนเกี่ยวกับความปลอดภัยที่อาจเกิดขึ้นซึ่ง Google สามารถเผยแพร่พร้อมกับผลการค้นหาของคุณ พอร์ทัลการสนับสนุนของ Google มีรายการข้อความอื่นๆ เพิ่มเติม นี่คือภาพประกอบ

clip_image004

ฉันจะไม่เสี่ยงต่อความปลอดภัยของคอมพิวเตอร์ของฉันโดยไปที่เว็บไซต์ที่ถูกตั้งค่าสถานะดังกล่าว คุณจะ? ไม่มีใครจะทำ และนั่นจะทำให้ SEO ของคุณทำงานลงหลุมลึก! ให้ควบคุมแต่ละแง่มุมของการรักษาความปลอดภัยไซต์แทน ที่เชื่อมโยงอย่างใกล้ชิดกับ SEO

มีเว็บไซต์ที่ปลอดภัยผ่าน HTTPS

เป็นที่ชัดเจนว่า Google ถือว่าเว็บไซต์ HTTPS มีความปลอดภัยมากกว่าเว็บไซต์อื่นมาก นี่คือวิธีที่โปรโตคอล HTTPS ทำให้การแลกเปลี่ยนข้อมูลเว็บมีความปลอดภัยมากขึ้น

clip_image005

ตั้งแต่ปี 2016 เบราว์เซอร์ Chrome ทำเครื่องหมายเว็บที่ไม่ใช่ HTTPS อย่างชัดเจน

ไซต์ที่ไม่ปลอดภัย นั่นเป็นเหตุผลเพียงพอที่ผู้เชี่ยวชาญ SEO ทุกคนจะผลักดันให้ลูกค้าทำทุกอย่างที่จำเป็นเพื่อย้ายไปยังระบบนิเวศ HTTPS ทันที

ตอนนี้เว็บไซต์ของลูกค้าของคุณปลอดภัยหรือไม่? นี่คือการตรวจสอบ 2 ขั้นตอน:

i) ตรวจสอบให้แน่ใจว่าได้ติดตั้งใบรับรอง SSL บนเซิร์ฟเวอร์อย่างถูกต้อง

พิมพ์ https://www.[yourwebsitename].com แล้วกด Enter หากคุณเห็นไอคอนแม่กุญแจปรากฏขึ้นในแถบงาน แสดงว่าระบบรู้จัก SSL มิฉะนั้น คุณจะเห็นข้อความแสดงข้อผิดพลาดเช่นนี้:

clip_image007

ii) ตรวจสอบให้แน่ใจว่า URL ของเว็บไซต์ถูกผลักไปที่เวอร์ชัน HTTPS

พิมพ์ http://www.[yourwebsitename].com แล้วกด Enter หากการกำหนดค่าเซิร์ฟเวอร์ของคุณในแง่ของกฎการเปลี่ยนเส้นทางได้รับการตั้งค่าอย่างเหมาะสม หน้าจะถูกเปลี่ยนเส้นทางไปที่ https://www.[yourwebsitename].com โดยอัตโนมัติ หากไม่เป็นเช่นนั้น แสดงว่ามีปัญหาที่ต้องแก้ไขทันที

หมายเหตุ: แม้ว่า WordPress จะถือว่ามีความปลอดภัยสูง แต่เว็บไซต์จำนวนมากเป็นพิเศษที่ใช้แพลตฟอร์มนี้ถูกแฮ็กในอดีตที่ผ่านมา ตรวจสอบให้แน่ใจว่ามีการเปิดใช้งานโปรโตคอล HTTPS สำหรับเว็บไซต์ WordPress ของคุณ ดังนั้นจึงไม่สามารถรอได้อีกต่อไป การใช้ปลั๊กอินเช่น Really Simple SSL กระบวนการ 2 ขั้นตอนข้างต้นจะง่ายยิ่งขึ้นในการจัดการ WP ตามที่อธิบายไว้ในบทช่วยสอนที่อธิบายวิธีใช้ HTTPS บน WordPress .

นโยบายการรักษาความปลอดภัยของเนื้อหา

ผู้ดูแลเว็บต้องจัดการกับปัญหามากมายในแง่ของการต้องรักษาความปลอดภัยให้กับเว็บไซต์จากการถูกโจมตีที่อาจเกิดขึ้นได้ โดยเฉพาะอย่างยิ่งเมื่อเนื้อหาได้รับการอัปเดตบ่อยครั้ง เช่น ในกรณีของการนำเนื้อหากลับมาใช้ใหม่ หรือการเพิ่มผลิตภัณฑ์ใหม่เป็นประจำเช่นในเว็บไซต์อีคอมเมิร์ซ รูปแบบการโจมตีที่พบบ่อยที่สุดสองรูปแบบที่อาจเกิดขึ้นได้ ได้แก่ การโจมตีแบบฉีดข้อมูลและการโจมตีแบบ Cross Site Scripting เลเยอร์ความปลอดภัยเพิ่มเติมใดๆ ที่สามารถช่วยบรรเทาหรือรายงานการโจมตีดังกล่าวได้นั้นคุ้มค่ากับความพยายาม นโยบายการรักษาความปลอดภัยของเนื้อหา (CSP) คือ ชั้นนั้นอย่างแม่นยำ สามารถบล็อกสคริปต์ภายนอกและสคริปต์แบบอินไลน์จากแหล่งที่ไม่น่าเชื่อถือได้อย่างมีประสิทธิภาพ

ในฐานะผู้เชี่ยวชาญ SEO คุณสามารถหลีกเลี่ยงและตรวจสอบว่า CSP อยู่ในสถานที่สำหรับเว็บไซต์ของลูกค้าของคุณหรือไม่ CSP ถูกใช้งานผ่านส่วนหัว HTTP ที่มีกฎสำหรับสินทรัพย์ข้อมูลทุกประเภท ตัวอย่างเช่น ส่วนหัว HTTP ที่อนุญาต CSS และสคริปต์จากแหล่งที่มาเริ่มต้นเท่านั้น (ตนเอง) จะมีลักษณะดังนี้ (อนุญาตให้ใช้สคริปต์ Google Analytics เป็นข้อยกเว้น):

เนื้อหา-ความปลอดภัย-นโยบาย: default-src 'ตัวเอง'; script-src 'ตัวเอง' https://www.google-analytics.com;

วิธีการป้องกันไม่ให้ไซต์ถูกแฮ็ก?

อย่าโทษลูกค้าของคุณหากพวกเขาต้องการความช่วยเหลือจากคุณในการกันแฮ็กเกอร์ แม้ว่าจะไม่ใช่ความรับผิดชอบหลักของ SEO ก็ตาม คิดว่ามันเป็นโอกาส คุณเพิ่ม 5% และในทางกลับกัน ปรับปรุงภูมิคุ้มกันของเว็บไซต์ของลูกค้าต่อแฮ็กเกอร์อย่างมีนัยสำคัญ ซึ่งในที่สุดจะช่วยให้คุณได้รับธุรกิจของคุณ

ต่อไปนี้คือรายการแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของเว็บไซต์โดยย่อซึ่งช่วยให้คุณสร้างหลักฐานการแฮ็กเกอร์เว็บไซต์ของลูกค้าได้

  • ตรวจสอบว่าซอฟต์แวร์ CMS หรือรหัสตัวสร้างเว็บไซต์ได้รับการอัปเกรดเป็นเวอร์ชันล่าสุดหรือไม่
  • ให้ความรู้ลูกค้าของคุณ/ผู้ดูแลเว็บไซต์เกี่ยวกับสแปม การโจมตีแบบเดรัจฉาน การเขียนสคริปต์ข้ามไซต์ การฉีด SQL เป็นต้น
  • เปลี่ยนรหัสผ่านบ่อยๆ
  • ไม่ใช้เครื่องมือของบุคคลที่สามที่ไม่ปลอดภัยหรือไม่ได้รับการพิสูจน์เพื่อเชื่อม โยง ไปยังเว็บไซต์ของลูกค้าเพื่อการวิเคราะห์ ฯลฯ
  • ห้ามเผยแพร่ข้อมูลทางเทคนิคระดับเซิร์ฟเวอร์ในหน้าข้อผิดพลาด หน้าแสดงข้อผิดพลาดควรพูดบางอย่างเช่น 'ไม่พบหน้า'
  • เปิดใช้งานการตรวจสอบความถูกต้องของอินพุตในฝั่งเบราว์เซอร์และฝั่งเซิร์ฟเวอร์ เพื่อให้แน่ใจว่าโค้ดที่เป็นอันตรายจะไม่แพร่ระบาดในเซิร์ฟเวอร์
  • หากเว็บไซต์ไคลเอ็นต์ของคุณอนุญาตให้ผู้ใช้อัปโหลดไฟล์ได้ ขอแนะนำให้ใช้การควบคุมการรักษาความปลอดภัยเพื่อให้แน่ใจว่าไม่มีการอัปโหลดสคริปต์ควบคู่ไปกับ
  • ใช้เครื่องมือรักษาความปลอดภัยเว็บแบบผสมผสานเพื่อปกป้องเว็บไซต์ของลูกค้า เพิ่มเติมเกี่ยวกับเรื่องนี้ในภายหลังในคู่มือ

จะทำอย่างไรถ้าไซต์ลูกค้าของคุณถูกแฮ็ก?

ไม่เป็นอะไร; ที่เลวร้ายได้เกิดขึ้นแล้วอะไรนะ? คำตอบของคุณจะขึ้นอยู่กับลักษณะของข้อบกพร่องด้านความปลอดภัย ซึ่งสามารถระบุได้ด้วยข้อความเตือนที่ Google ต่อท้ายผลการค้นหาเว็บไซต์ของคุณ

หากต้องการตรวจสอบรายละเอียด ให้เข้าสู่ระบบ Search Console ไปที่ส่วนปัญหาด้านความปลอดภัย และตรวจสอบรายละเอียดของ URL ที่ดูเหมือนว่าจะถูกบุกรุก พร้อมด้วยข้อมูลเฉพาะของประเภทของการละเมิดความปลอดภัยสำหรับแต่ละ URL

ที่นี่ คุณจะต้องสื่อสารกับลูกค้าของคุณอย่างชัดเจน เพื่อที่พวกเขาจะได้รู้ว่าพวกเขาต้องการนำนักพัฒนาเว็บและโปรแกรมเมอร์เข้ามาดูแลปัญหาด้านความปลอดภัยของเว็บไซต์ นอกจากนี้ แนะนำให้พวกเขาติดต่อผู้ให้บริการเว็บโฮสติ้งด้วย ซึ่งสามารถให้ข้อมูลเชิงลึกและที่อยู่ติดต่อที่มีค่า โดยอิงจากความรู้ของเว็บไซต์อื่นๆ ที่อาจประสบปัญหาคล้ายคลึงกัน

Google ในวิดีโอช่วยเหลืออย่างเป็นทางการสำหรับเว็บมาสเตอร์ที่เว็บไซต์อาจถูกแฮ็ก แนะนำให้พวกเขาแสวงหาผู้เชี่ยวชาญทางเทคนิคเพื่อแก้ไขปัญหาทางเทคนิค ระยะเวลาที่ใช้ในการแฮ็กจะขึ้นอยู่กับ:

  • ระดับความเชี่ยวชาญด้านเทคนิคของทีมลูกค้าของคุณ
  • จำนวนเนื้อหาที่ได้รับผลกระทบ (เช่น สแปมทั่วทั้งไซต์ เช่น ต้องการเวลาในการนำออกมากขึ้น)
  • ขอบเขตของความเสียหาย/ความซับซ้อนของการแฮ็ก

วิธีรักษาอันดับของคุณให้ปลอดภัยหากเว็บไซต์ลูกค้าของคุณถูกแฮ็ก

การดำเนินการที่รวดเร็วและครอบคลุม – นั่นคือกฎทองที่ต้องจำไว้เพื่อให้แน่ใจว่าการแฮ็กจะไม่ทำให้เกิดฝันร้ายของ SEO สำหรับเว็บไซต์

หมายเหตุ: หากไซต์ทั้งหมดถูกแฮ็ก ให้ออฟไลน์โดยขอให้โฮสต์เว็บของคุณกำหนดค่าเพื่อให้หน้าข้อผิดพลาด 503 ถูกส่งกลับสำหรับการเข้าถึงที่ทำขึ้นนอกไดเรกทอรีที่ติดไวรัส อย่าไปสำหรับ robots.txt disallow เนื่องจากจะไม่บล็อกเว็บไซต์สำหรับผู้ใช้ที่เข้าชมโดยใช้ URL ของคุณ (หยุดโปรแกรมรวบรวมข้อมูลเว็บเท่านั้น)

หากคุณทราบถึง URL ที่ถูกบุกรุก งานจะง่ายขึ้น:

  • ขั้นแรก ให้ลบ URL ที่ติดไวรัสออกจากดัชนีโดยใช้ตัวเลือก Remove URLs ใน Search Console
  • จากนั้น สแกนหาข้อผิดพลาดในการรวบรวมข้อมูลอย่างรวดเร็ว และส่งแผนผังเว็บไซต์ของเว็บไซต์ของคุณอีกครั้ง
  • เมื่อผู้ดูแลเว็บไซต์และทีมรักษาความปลอดภัยได้ลบมัลแวร์และดำเนินการตามปัญหาที่ไฮไลต์ใน Search Console แล้ว เราขอแนะนำให้คุณส่งเว็บไซต์ของคุณ ไปที่รายงานปัญหาด้านความปลอดภัยของ Search Console เพื่อตรวจสอบ
  • ข้อความดังกล่าวจะระบุการตรวจสอบที่ประสบความสำเร็จใน Search Console ของคุณ:

clip_image009

นอกจากนี้ ขึ้นอยู่กับลักษณะของการละเมิดความปลอดภัย คุณจะต้องกู้คืนเว็บไซต์ WordPress ของคุณเป็นเวอร์ชันเก่า หรือแม้แต่พิจารณาย้ายเว็บไซต์ไปยังผู้ให้บริการโฮสติ้งที่ปลอดภัยยิ่งขึ้น

เครื่องมือยอดนิยมในการเสริมความปลอดภัยเว็บให้แข็งแกร่ง

เครื่องมือสามารถทำให้การตรวจสอบความปลอดภัยของเว็บไซต์ลูกค้าของคุณเป็นแบบอัตโนมัติและช่วยหลีกเลี่ยงการละเมิดความปลอดภัยที่สำคัญ นี่คือเครื่องมือบางอย่างที่ฉันแนะนำ:

อินแคปซูล่า : บริษัทรักษาความปลอดภัยเครือข่ายและเพิ่มประสิทธิภาพที่มีชุดเครื่องมือ เช่น CDN (Content Delivery Network) , เครื่องมือป้องกัน Web Application Firewall (WAF) และ Advanced Persistent Threats (APT) ที่ช่วยรักษาความปลอดภัยเว็บไซต์ของคุณจากการขโมยรหัสผ่าน DDoS และการแฮ็กการโจมตี

clip_image011

Comodo cWatch : สำหรับการเฝ้าระวังเว็บไซต์ 24x7 การสแกนตามมาตรฐาน PCI และการตรวจจับและกำจัดมัลแวร์ที่เชื่อถือได้

แกร็บเบอร์ : ทางเลือกโอเพ่นซอร์สหากคุณไม่ต้องการใช้จ่ายอะไรเลย จะตรวจจับและรายงานการใช้สคริปต์ข้ามไซต์และการฉีด SQL นอกเหนือจากการนำเสนอการวิเคราะห์ซอร์สโค้ด JS และการตรวจสอบไฟล์สำรอง

พร็อกซีโจมตี Zed (ZAP) : เครื่องมือทดสอบการเจาะระบบที่ให้คุณจำลองกิจกรรมที่ 'เหมือนแฮ็ก' บนเว็บไซต์ได้ในเชิงรุก เพื่อแสดงข้อบกพร่องด้านความปลอดภัยของเว็บไซต์ เพื่อดำเนินการแก้ไขในเชิงรุก

สรุปข้อสังเกต

ผู้เชี่ยวชาญด้าน SEO พึ่งพาการดำรงชีวิตและการเติบโตของเว็บไซต์ลูกค้าเพื่อพัฒนาตนเอง และทำให้ผลประโยชน์ที่ได้รับจาก SEO ทั้งหมดมีความปลอดภัย ไม่มีการรักษาความปลอดภัยใดที่จะบานปลายไปสู่ปริมาณการใช้งานที่ลดลง ซึ่งจะก่อให้เกิดคำถามเกี่ยวกับประสิทธิภาพของคุณในฐานะผู้เชี่ยวชาญ SEO ความปลอดภัยของไซต์ที่ดีขึ้นหมายถึงการเข้าชมเว็บไซต์ของลูกค้ามากขึ้น ซึ่งหมายถึงธุรกิจที่มากขึ้นสำหรับคุณ