Her SEO'nun Okuması Gereken Web Güvenliği Kılavuzu

Yayınlanan: 2018-05-09

seo-web-security

Web güvenliği, işadamlarını geceleri uyanık tutan büyük bir baş ağrısıdır. Müşterinizin web sitesinin hacklendiği gerçeğine uyandığınızı hayal edin. Bu, yalnızca bir SEO uzmanı olarak işinizin ortadan kalktığı anlamına gelmez, aynı zamanda web sitesini tekrar rayına oturtmanın zahmetli bir iş olacağı anlamına gelir.

Geleneksel olarak, web sitesi güvenliği SEO hizmet uzmanlarının birkaç temel sorumluluğu dışında (kötü amaçlı web sitelerine bağlantı kurmamak gibi) SEO'dan ayrı tutulmuştur. World Wide Web ve iş dünyasının farklı yönlerini ayıran çizgiler azaldığından, artık hiçbir SEO uzmanı web sitesi güvenliğini göz ardı edemez. Bu kılavuz, bu tartışmanın yüzeyini sıyırıp geçme ve süreçteki bazı değerli görüşleri ortaya çıkarma girişimidir.

Neden rahatsız?

Peki, sizin veya müşterinizin web sitesinin, arama sonucunun yanında Google'dan gelen tatsız bir uyarıyla birlikte olduğunu hayal edin.

Bu genellikle, Google'ın botları, web sitenizin, örneğin ziyaretçilerin bilgisayarlarına kötü amaçlı yazılım yükleyebilecek zararlı kodları olabileceğine inandığında olur. Yine de nedenler daha derine inebilir. Google Arama Konsolu hesabınızda da eşdeğer bir bildirim bulacaksınız.

clip_image002

Bu, Google'ın arama sonuçlarınızın yanında yayınlayabileceği güvenlikle ilgili olası uyarılardan yalnızca biridir. Google'ın destek portalı, diğer mesajların genişletilmiş bir listesini içerir; işte bir örnek.

clip_image004

Böyle işaretlenmiş bir web sitesini ziyaret ederek bilgisayarımın güvenliğini asla riske atmam; mısın? Kimse yapmayacak ve bu, tüm SEO çalışmalarınızı derin bir çukura indirecek! Bunun yerine, site güvenliğinin her bir yönünün tam kontrolünü elinize alın SEO ile yakından bağlantılıdır.

HTTPS Üzerinden Güvenli Bir Web Sitesine Sahip Olun

Google'ın HTTPS web sitelerini diğerlerinden çok daha güvenli olarak değerlendirdiği açıktır. HTTPS protokolü bu şekilde web bilgi alışverişini daha güvenli hale getirir.

clip_image005

2016'dan beri, Chrome tarayıcı açıkça HTTPS olmayan web'i işaretler

güvenli olmayan siteler. Bu, her SEO uzmanının müşterilerini hemen HTTPS ekosistemine geçmek için gerekli her şeyi yapmaya zorlaması için yeterli bir nedendir.

Şimdi, müşterinizin web sitesi güvenli mi? İşte 2 adımlı bir kontrol:

i) SSL sertifikasının sunucuya düzgün şekilde yüklendiğinden emin olun

https://www.[websiteadınız].com yazın ve Enter'a basın. Görev çubuğunda bir kilit simgesinin belirdiğini görürseniz, bu, SSL'nin tanındığını gösterir. Aksi takdirde, aşağıdaki gibi bir hata mesajı görürsünüz:

clip_image007

ii) Web sitesinin URL'sinin HTTPS sürümlerine aktarıldığından emin olun

http://www.[websiteadınız].com yazın ve Enter'a basın. Yönlendirme kuralları açısından sunucu yapılandırmanız doğru ayarlanmışsa, sayfa otomatik olarak https://www.[websiteadınız].com'a yönlendirilecektir. Olmazsa, hemen ele alınması gereken bir sorun var demektir.

Not: WordPress çok güvenli kabul edilse de, yakın geçmişte platforma dayalı çok sayıda web sitesi saldırıya uğradı. WordPress web siteleriniz için HTTPS protokolünün etkinleştirilmesini sağlamak, bu nedenle daha fazla bekleyemez. Gerçekten Basit SSL gibi eklentileri kullanarak, WordPress'te HTTPS'nin nasıl kullanılacağına ilişkin bu çok açıklayıcı öğreticide açıklandığı gibi, yukarıdaki 2 adımlı işlemin WP için yönetilmesi daha da kolay hale gelir. .

İçerik Güvenliği Politikası

Web yöneticileri, özellikle içeriğin yeniden kullanılması durumunda olduğu gibi içerik sık sık güncellendiğinde, web sitesini olası saldırılara karşı güvence altına almak zorunda kalma konusunda çok uğraşır. veya e-ticaret sitelerinde olduğu gibi düzenli olarak yeni ürünlerin eklenmesi. Olabilecek en yaygın iki saldırı türü, veri enjeksiyon saldırıları ve Siteler Arası Komut Dosyası Çalıştırma saldırılarıdır. Bu tür bir saldırıyı azaltmaya veya bildirmeye yardımcı olabilecek herhangi bir ek güvenlik katmanı çabaya değer. İçerik Güvenliği Politikası (CSP) tam olarak bu katman. Güvenilmeyen kaynaklardan gelen satır içi komut dosyalarının yanı sıra harici komut dosyalarını da etkili bir şekilde engelleyebilir.

Bir SEO uzmanı olarak, kolayca yoldan çekilebilir ve müşterinizin web sitesi için CSP'nin yerinde olup olmadığını kontrol edebilirsiniz. CSP, her tür veri varlığı için kuralları içeren bir HTTP başlığı aracılığıyla uygulanır. Örneğin, yalnızca varsayılan kaynaktan (Self) CSS'ye ve komut dosyalarına izin veren bir HTTP başlığı şöyle görünür (bir istisna olarak Google Analytics komut dosyasına izin verilir):

İçerik-Güvenlik-Politikası: default-src 'self'; script-src 'öz' https://www.google-analytics.com;

Bir Sitenin Hacklenmesi Nasıl Önlenir?

Bir SEO'nun birincil sorumluluğu olmasa da, bilgisayar korsanlarını uzak tutmak için yardımınızı istiyorlarsa müşterilerinizi suçlamayın. Bunu bir fırsat olarak düşünün; %5 fazladan koyarsınız ve karşılığında, müşterinin web sitelerinin bilgisayar korsanlarına karşı bağışıklığını önemli ölçüde artırırsınız, bu da sonunda size işlerini yaptırmaya devam eder.

Müşterilerinizin web sitesini korsanlara karşı kanıtlamanıza yardımcı olacak en iyi site güvenliği uygulamalarının kısa bir listesi.

  • CMS yazılımının veya web sitesi oluşturucu kodunun en son sürüme yükseltilip yükseltilmediğini kontrol edin.
  • İstemcinizi/web sitesi yöneticilerini spam, kaba kuvvet saldırıları, siteler arası komut dosyası oluşturma, SQL enjeksiyonları vb. hakkında eğitin.
  • Şifreleri sık sık değiştirin.
  • Analiz vb. için müşterinin web sitesine bağlanmak için güvenli olmayan veya kanıtlanmamış 3. taraf araçları kullanmayın.
  • Hata sayfalarında sunucu düzeyinde teknik bilgiler yayınlamayın; hata sayfaları 'sayfa bulunamadı' gibi bir şey söylemelidir.
  • Kötü amaçlı kodların sunucuya bulaşmamasını sağlamak için sunucu tarafında olduğu kadar tarayıcı tarafında da girişlerin doğrulanmasını etkinleştirin.
  • Müşteri web siteniz kullanıcıların dosya yüklemesine izin veriyorsa, birlikte hiçbir komut dosyasının yüklenmediğinden emin olmak için koruma kontrolleri önerin.
  • Müşterilerinizin web sitelerini korumak için web güvenlik araçlarının bir karışımını kullanın; Bu konuda daha sonra kılavuzda.

Müşteri Siteniz Hacklenirse Ne Yapmalısınız?

Peki; Daha kötüsü oldu, şimdi ne olacak? Yanıtınız, Google'ın web sitenizin arama sonucuna eklediği uyarı mesajıyla gösterilebilecek olan güvenlik açığının niteliğine bağlı olacaktır.

Ayrıntıları kontrol etmek için Search Console'da oturum açın, Güvenlik Sorunları bölümüne gidin ve güvenliği ihlal edilmiş görünen URL'lerin ayrıntılarını ve her bir URL için güvenlik ihlali türünün ayrıntılarına bakın.

Burada, müşterilerinizle net bir şekilde iletişim kurmanız gerekecek, böylece web geliştiricileri ve programcılarını web sitesindeki güvenlik sorunlarıyla ilgilenmeleri gerektiğini bilsinler. Ayrıca, benzer sorunlarla karşılaşmış olabilecek diğer web sitelerinin bilgilerine dayanarak değerli bilgiler ve bağlantılar sunabilecek web barındırma sağlayıcısıyla da iletişime geçmelerini tavsiye edin.

Google, web sitesi saldırıya uğramış olabilecek web yöneticilerine yönelik resmi yardım videosunda, teknik sorunları çözmek için teknik uzmanlığa başvurmalarını önerir. Hack'i aşmak için geçen süre şunlara bağlı olacaktır:

  • Müşterinizin ekibinin teknik uzmanlık düzeyi
  • Etkilenen içerik miktarı (örneğin, site genelinde spam gönderme, kaldırılması için daha fazla zamana ihtiyaç duyar)
  • Saldırının hasarının/karmaşıklığının kapsamı

Müşteri Siteniz Hacklenirse Sıralamanızı Nasıl Güvende Tutabilirsiniz?

Hızlı ve kapsamlı eylemler – hack'in web sitesi için bir SEO kabusuna neden olmadığından emin olmak için hatırlanması gereken altın kural budur.

Not: Tüm site saldırıya uğradıysa, web barındırıcınızdan, virüslü dizinin dışında yapılan erişim için bir 503 hata sayfası döndürülecek şekilde yapılandırmasını isteyerek siteyi çevrimdışına alın. robots.txt izin vermeme için gitmeyin , çünkü bu, URL'nizi kullanarak ziyaret eden kullanıcılar için web sitesini engellemez (yalnızca web tarayıcılarını durdurur).

Güvenliği ihlal edilmiş URL'lerin farkındaysanız, görev daha kolaydır:

  • İlk olarak, Search Console'daki URL'leri Kaldır seçeneğini kullanarak virüslü URL'leri dizinden kaldırın.
  • Ardından, tarama hataları için hızlı bir tarama yapın ve web sitenizin site haritasını yeniden gönderin.
  • Web sitesi yöneticisi ve güvenlik ekibi kötü amaçlı yazılımı kaldırdıktan ve Search Console'da vurgulanan sorunlar üzerinde harekete geçtiğinde, web sitenizi göndermenizi öneririm. bir inceleme için Search Console Güvenlik Sorunları raporuna gidin.
  • Başarılı bir inceleme, Search Console'unuzda böyle bir mesajla belirtilir:

clip_image009

Ayrıca, güvenlik ihlalinin niteliğine bağlı olarak, WordPress web sitenizi daha eski bir sürüme geri yüklemeniz veya hatta web sitesini daha güvenli bir barındırma sağlayıcısına taşımayı düşünmeniz gerekecektir.

Web Güvenliğini Güçlendirmek İçin En İyi Araçlar

Araçlar, müşterilerinizin web sitelerinin güvenlik izlemesini otomatikleştirebilir ve büyük güvenlik ihlallerini önlemeye yardımcı olabilir. İşte tavsiye ettiğim bazı araçlar:

kapsül : CDN (İçerik Dağıtım Ağı) gibi bir dizi araç sunan bir ağ güvenliği ve optimizasyon firması , bir Web Uygulaması Güvenlik Duvarı (WAF) ve Web sitenizi parola hırsızlığı, DDoS ve bilgisayar korsanlığı saldırılarına karşı korumaya yardımcı olan Gelişmiş Kalıcı Tehditler (APT) koruma araçları.

clip_image011

Comodo cSaat : 7 gün 24 saat web sitesi gözetimi, PCI uyumlu tarama ve güvenilir kötü amaçlı yazılım algılama ve kaldırma için.

kapmak : Hiçbir şey harcamak istemiyorsanız açık kaynaklı bir alternatif; JS kaynak kodu analizi ve yedekleme dosyası kontrolleri sunmanın yanı sıra, siteler arası komut dosyası çalıştırma ve SQL enjeksiyonlarını algılar ve raporlar.

Zed Saldırı Proxy'si (ZAP) : Bir web sitesinde 'hack benzeri' etkinlikleri proaktif olarak simüle etmenize, güvenlik kusurlarını ortaya çıkarmanıza ve proaktif düzeltici eylem için izin veren bir sızma testi aracı.

Son sözler

SEO uzmanları, kendilerini büyütmek için müşteri web sitelerinin sürdürülmesine ve büyümesine bağlıdır ve bu, güvenliği tüm SEO'lar için kazanılmış bir ilgi haline getirir. Hiçbir güvenlik, yakında trafikte bir düşüşe dönüşmeyecek ve bu da bir SEO uzmanı olarak etkinliğiniz hakkında sorular ortaya çıkaracaktır. Daha iyi site güvenliği, müşterilerinizin web siteleri için daha fazla trafik anlamına gelir, bu da sizin için daha fazla iş anlamına gelir.