每個 SEO 必須閱讀的網絡安全指南

已發表: 2018-05-09

seo-web-security

網絡安全是讓商人夜不能寐的主要問題。 想像一下,當您意識到客戶的網站被黑客入侵的現實時。 這不僅意味著您作為 SEO 專家的業務會消失,而且讓網站重回正軌將是一項繁重的任務。

傳統上,網站安全與 SEO 是分開的,除了 SEO 服務專家的一些基本職責(例如不建立與惡意網站的鏈接)。 由於分隔萬維網和業務不同方面的界限正在縮小,沒有 SEO 專家可以再忽視網站安全。 本指南試圖跳過討論的表面,並在此過程中提出一些有價值的見解。

何苦?

好吧,想像一下您或您客戶的網站在搜索結果旁邊附有來自 Google 的令人討厭的警告。

這通常發生在 Google 的機器人認為您的網站可能包含有害代碼時,例如,這些代碼可能會在訪問者的計算機上安裝惡意軟件。 不過,原因可能更深。 您還會在您的 Google Search Console 帳戶中找到等效通知。

clip_image002

這只是 Google 可能與您的搜索結果一起發布的潛在安全相關警告之一。 Google 的支持門戶包含其他消息的擴展列表; 這是一個插圖。

clip_image004

我絕不會通過訪問這樣一個被標記的網站來冒我的計算機安全的風險; 你會? 沒有人會這樣做,這將使您所有的 SEO 工作陷入深淵! 相反,完全控制站點安全的各個方面這與搜索引擎優化密切相關。

通過 HTTPS 擁有一個安全的網站

很明顯,Google 認為 HTTPS 網站比其他網站更安全。 這就是 HTTPS 協議使 Web 信息交換更加安全的方式。

clip_image005

自 2016 年起,Chrome 瀏覽器明確標記非 HTTPS 網頁

網站不安全。 這足以讓每位 SEO 專家推動他們的客戶採取一切必要措施,立即遷移到 HTTPS 生態系統。

現在,您客戶的網站安全嗎? 這是一個兩步檢查:

i) 確保 SSL 證書已正確安裝在服務器上

輸入 https://www.[yourwebsitename].com 並按 Enter。 如果您看到任務欄中出現鎖定圖標,則表示 SSL 已被識別。 否則,您會看到如下錯誤消息:

clip_image007

ii) 確保網站的 URL 被推送到其 HTTPS 版本

輸入 http://www.[yourwebsitename].com 並按 Enter。 如果您在重定向規則方面的服務器配置設置正確,頁面將自動重定向到 https://www.[yourwebsitename].com。 如果沒有,則存在需要立即解決的問題。

注意:儘管 WordPress 被認為非常安全,但最近有大量基於該平台的網站遭到黑客攻擊。 確保為您的 WordPress 網站激活 HTTPS 協議,因此,不能再等待了。 使用諸如真正簡單的 SSL 之類的插件,對於 WP,上述兩步過程變得更容易管理,正如這篇關於如何在 WordPress 上使用 HTTPS 的非常描述性教程中所解釋的那樣.

內容安全政策

網站管理員在必須保護網站免受可能的攻擊方面處理了很多事情,尤其是在內容頻繁更新時,例​​如在內容重新利用的情況下或像電子商務網站一樣定期添加新產品。 可能發生的兩種最常見的攻擊形式是數據注入攻擊和跨站點腳本攻擊。 任何可以幫助緩解或報告此類攻擊的額外安全層都值得付出努力。 內容安全策略 (CSP) 是正是那一層。 它可以有效地阻止外部腳本以及來自不受信任來源的內聯腳本。

作為 SEO 專家,您可以輕鬆地檢查 CSP 是否適用於您客戶的網站。 CSP 是通過一個包含各種數據資產規則的 HTTP 標頭實現的。 例如,僅允許來自默認源(Self)的 CSS 和腳本的 HTTP 標頭將如下所示(允許 Google Analytics 腳本作為例外):

內容安全策略:default-src 'self'; script-src 'self' https://www.google-analytics.com;

如何防止網站被黑客入侵?

如果他們希望您幫助阻止黑客,請不要責怪您的客戶,即使這不是 SEO 的主要責任。 將其視為一個機會; 您額外投入了 5%,反過來,顯著提高了客戶網站對黑客的免疫力,最終讓您繼續獲得他們的業務。

以下是網站安全最佳實踐的快速列表,可幫助您使客戶的網站免受黑客攻擊。

  • 檢查 CMS 軟件或網站構建器代碼是否升級到最新版本。
  • 對您的客戶/他們的網站管理員進行有關垃圾郵件、暴力攻擊、跨站點腳本、SQL 注入等方面的教育。
  • 經常更改密碼。
  • 不使用任何不安全或未經證實的 3 rd方工具鏈接到客戶網站進行分析等。
  • 不要在錯誤頁面中發布服務器級別的技術信息; 錯誤頁面應該說“找不到頁面”。
  • 在瀏覽器端和服務器端啟用輸入驗證,以確保惡意代碼不會感染服務器。
  • 如果您的客戶端網站允許用戶上傳文件,建議使用保管控制以確保沒有腳本被同時上傳。
  • 使用多種網絡安全工具來保護您客戶的網站; 稍後在指南中對此進行更多介紹。

如果您的客戶網站被黑怎麼辦?

好的; 更糟糕的事情發生了,現在怎麼辦? 您的響應將取決於安全漏洞的性質,這很可能通過 Google 附加到您網站的搜索結果的警告消息來指示。

要查看詳細信息,請登錄 Search Console,轉到“安全問題”部分,然後檢查似乎已被洩露的 URL 的詳細信息,以及每個 URL 的安全漏洞類型的詳細信息。

在這裡,您需要清楚地與您的客戶溝通,以便他們知道他們需要引入 Web 開發人員和程序員來處理網站的安全問題。 此外,建議他們也聯繫網絡託管服務提供商,他們可以根據對可能面臨類似問題的其他網站的了解,提供有價值的見解和聯繫方式。

谷歌在其網站可能被黑客入侵的網站管理員的官方幫助視頻中,建議他們尋求技術專家來解決技術問題。 克服黑客攻擊所需的時間取決於:

  • 客戶團隊的技術專業水平
  • 受影響的內容數量(例如,網站範圍的垃圾郵件需要更多時間來刪除)
  • 黑客攻擊的破壞程度/複雜性

如果您的客戶網站被黑客入侵,如何確保您的排名安全?

快速而全面的行動——這是確保黑客不會給網站帶來 SEO 噩夢的黃金法則。

注意:如果整個站點已被黑客入侵,請讓您的虛擬主機對其進行配置以使其脫機,以便在受感染目錄之外進行訪問時返回 503 錯誤頁面。 不要去 robots.txt 禁止,因為這不會阻止使用您的 URL 訪問的用戶的網站(只會停止網絡爬蟲)。

如果您知道被洩露的 URL,則任務會更容易:

  • 首先,使用 Search Console 中的刪除網址選項從索引中刪除受感染的網址。
  • 然後,快速掃描抓取錯誤,並重新提交您網站的站點地圖。
  • 一旦網站管理員和安全團隊刪除了惡意軟件並對 Search Console 中突出顯示的問題採取了行動,我建議您提交您的網站到 Search Console 安全問題報告進行審核。
  • 您的 Search Console 中會出現這樣的消息,表明審核成功:

clip_image009

此外,根據安全漏洞的性質,您需要將 WordPress 網站恢復到舊版本,甚至考慮將網站移至更安全的託管服務提供商。

加強網絡安全的頂級工具

工具可以自動化您客戶的網站安全監控,並幫助避免重大安全漏洞。 以下是我推薦的一些工具:

莢膜:一家網絡安全和優化公司,提供一套工具,例如 CDN(內容交付網絡) 、Web 應用程序防火牆 (WAF) 和高級持續威脅 (APT) 保護工具,可幫助保護您的網站免受密碼盜竊、DDoS 和黑客攻擊。

clip_image011

Comodo cWatch :用於 24x7 網站監控、符合 PCI 的掃描以及可靠的惡意軟件檢測和刪除。

抓取器:如果您不想花錢,可以選擇開源替代方案; 除了提供 JS 源代碼分析和備份文件檢查外,它還檢測並報告跨站點腳本和 SQL 注入。

Zed 攻擊代理 (ZAP) :一種滲透測試工具,可讓您主動模擬網站上的“類似黑客”活動,以暴露其安全漏洞,從而採取主動補救措施。

結束語

SEO 專家依靠客戶網站的維持和發展來發展自己,這確保了所有 SEO 的既得利益。 沒有安全措施會很快升級為流量下降,這將對您作為 SEO 專家的有效性提出質疑。 更好的網站安全性意味著為您客戶的網站帶來更多流量,這對您來說意味著更多業務。