Turvapealkirjad sinu veebisaidile: hea nii turvalisuse kui ka SEO jaoks.

Turvapealkirjad sinu veebisaidile: hea nii turvalisuse kui ka SEO jaoks.

Matthias Petri
avalikustatud:

Õpi siit, mida tähendavad Security Headers, kuidas need toimivad ja miks need on olulised sinu veebisaidi turvalisuse jaoks ning kuidas need aitavad tagada sinu SEO-meetmeid.

Security Headersi abistav artikkel sisaldab järgmisi teemasid:

    Mis on Security Headers?

    Security Headers on HTTP-päised, mida kasutatakse veebisaitidel ja veebirakendustes erinevat tüüpi rünnakute ja turvaveade eest kaitsmiseks ning turvalisuse parandamiseks. Need pakuvad olulist turvalisuskontrolli, et kaitsta kasutajaid ja andmeid ohtude eest. 

    Kui sa kahtled, kas seda üldse vajad, saad hetkelise turvakontrolli teha online-tööriistaga. See on võimalik at securityheaders.com. Sisesta sinna oma URL.

    Turvapäis veebisaidil TutKit.com

    Ilmselt näed tulemustena D-d või F-i. Enamik veebisaite ei läbi hästi testi, kuna turvalisus ei ole pea kellelegi veebisaidi arendajale või agentuurile prioriteet esimese korraga ega ka veebisaidi loomise või ümberseadistamise ajal. Kuidas Security Headersid rakendada (isegi mittearendajatele), saad teada allpool. Kuid hetkel juba tead, et sul on põhimõtteliselt vaja midagi ette võtta.

    Kuidas töötavad Security Headers?

    Security Headers on osa HTTP-vastusest, mille veebiserver saadab brauserile, kui päring saadetakse veebisaidile või veebirakendusele. Need päised sisaldavad juhiseid ja teavet, mis aitavad brauseril käituda turvalisuse ja privaatsuse seisukohast. Siin on mõned olulised Security Headersid ja kuidas need toimivad:

    HTTP Strict Transport Security (HSTS)

    HSTS sunnil brauserit ühenduma ja jääma veebisaidiga üle HTTPS-i, et vältida Meeskeskel rünnakuid. 

    Paljudel veebisaitidel on ainult 301-suunamine HTTP-st HTTPS-ile. Paljud lingid veebisaitide sisus on endiselt märgistatud HTTP-ina. Kui keegi klõpsab sellisel lingil, laetakse esmalt HTTP-leht ja 301-suunamine aktiveeritakse. Või kui sisestad brauserisse vaid oma-domeeni.com ilma https-osata, mis on enamikul juhtudel, on tekkinud oht meeskeskseks rünnakuks. 

    HSTS takistab ründajat alandamast HTTPS-ühendust HTTP-ühenduseni, mis võimaldaks ründajal ära kasutada ebaturvalisi suunamisi. See sunnib laadima turvalise HTTPS-ühenduse kaudu.

    X-Content-Type-Options

    See päis juhib, kas brauser üritab ressursi MIME-tüüpi arvata, kui määratletud tüüp pole õige. See aitab vältida MIME-spoofing rünnakuid, kuna ainult stiili- ja skriptid laaditakse korrektse MIME-tüübiga. Taustaks: Brauserid võivad „nuhkida“, kas sisu on tekst, pilt (.png), video (.mp4) või veebisaidilt allalaaditav HTML, JavaScript ja muud tüübid.

    "X-Content-Type-Options: nosniff" kasutamine on oluline turvameede, kuna see aitab vältida teatud rünnakuvektoreid, nagu ristveebiskriptimine (XSS). XSS-rünnakutes - vaata ka allpool - võib ründaja proovida lisada pahavara JavaScript-koodi ressurssi nagu näiteks PDF, mängides brauserile ette, et see on PDF ja sundides teda seejärel käivitama faili JavaScriptina, isegi kui MIME-tüüp näitab midagi muud, siinkohal PDF.

    Sellel on veebisaidi külastajale hulk negatiivseid tagajärgi, eriti nn Drive-by-Download rünnakul, kus siis pahavara installeeritakse külastaja arvutisse.

    "nosniff" kasutamine on eriti oluline koos teiste turvameetmetega nagu Content Security Policy (CSP), et tõsta veebirakenduste turvalisust ja vähendada rünnakupinda. See päis tuleks tavaliselt aktiveerida HTTP-vastustes kõigi ressursside (nt HTML-, JavaScripti-, CSS-failide) jaoks veebisaidil.

    X-Frame-Options

    See päis takistab veebisaidi kuvamist HTML-i raamis või iframe'is, et ära hoida kupeldamise rünnakuid. "X-Frame-Options'i" kasutamine on oluline turvameede, et vältida kupeldamise rünnakuid, kus ründaja üritab laadida veebisaidi nähtamatusse raami ja ära kasutada kasutaja hiireklõpse. Päise seadistamisega saavad veebisaidi omanikud kontrollida, kuidas nende veebisait raamidesse manustatakse.

    Märkus, et "X-Frame-Options" on vananenud meetod kupeldamise vältimiseks. Kaasaegsem lähenemisviis on kasutada "Content Security Policy"-päist (CSP), mis võib samuti vältida kupeldamist ja hõlmata lisaks teisi turvalisuse aspekte. Sellest lähemalt allpool.

    X-XSS-Protection

    See päis lülitab sisse või välja brauseri sisseehitatud XSS-kaitse. 

    Viitepoliitika

    "Referrer-Policy" on HTTP päis, mis saadetakse veebiserverist, et näidata, kuidas veebibrauser peaks käitlema teavet HTTP päringu "Viitaja" väljas. "Viitaja" on HTTP päiseväli, mis tavaliselt näitab eelmise lehe URL-i, millelt kasutaja on navigeerinud praegusele lehele. "Viitepoliitika" pakub veebisaidi administraatoritele võimalust kontrollida viiteinfo edastamist teistele saitidele ja kaitsta kasutajate privaatsust. Oluline teadmine kõigile, kes teenivad veebis sisuga raha: Viitepoliitikal puudub mõju partnerlinkydele.

    Sisu turvapoliitika (CSP)

    CSP-päised määravad, millistest allikatest ressursse (nagu skripte, pildid ja stiililehed) võib laadida. See aitab vältida ristveebiskriptimist (XSS), koodiinjektsioone ja sarnaseid rünnakuid. 

    Ristveebiskriptimise (XSS) rünnakud on kavandatud kasutades turvaauku sinu sisuhalduse või raamistiku sees, et laadida pahatahtlikke skripte sinu veebisaidile, mis seejärel laaditakse sinu veebilehe külastajate brauseritesse. XSS-rünnaku sissetungi punkt võib näiteks olla e-posti vorm, mis ei ole kodeeritud nii, et oodatakse ainult piiratud sisestust. Halvasti kodeeritud vorm võib lubada teisi sisestusi, mis võivad viia pahatahtlike failide süstimiseni. Muide, see on ka põhjus, miks meie agentuurina varustame paljud kliendiprojektid täielikult kontaktvormita, sest nad saavad enamasti ka ilma hakkama.

    Seadistad oma CSP-päisega valgekirjal kujul domeenid, mis sinu veebisait üldse laadida tohib ja mis mitte. Iga ründaja, kes laadib pahatahtlikke skripte mõnest muust usaldusväärse grupiga väljaspool asuvast serverist, blokeeritakse. Detsembris 2016 täiustati sisu turvapoliitikat edasi CSP taseme 2-ga, mis lisas hash-allikad, nonce-allikas ja viis uut otsetegevust. Veebibrauserites pole seetõttu oodata probleeme. Alates 11. septembrist 2023 on CSP 2 95 protsendi browseritega kooskõlas.

    CSP2 ühilduvus brauseritega.
    Veebilehelt https://caniuse.com/contentsecuritypolicy2 pärinev screenshot

    Sisu turvapoliitika koostamine võib olla tugev või nõrk, täpselt nii, nagu sa selle lood. Häälestamine võttis meil TutKit.com-is tegelikult kõikidest päistest kõige kauem aega, kuna kõik skriptid ja ressursid tuli loetleda, mis allikatest alla laaditakse, et need valgekirjale lisada saaks. Õige lisamise kontrollimist saad teha securityheaders.com kaudu, kasutades Mozilla Observatory ja ka Google PageSpeed Insights'it Parimate tavade valdkonnas. Mozilla teenuse eelis seisneb selles, et su URL-i testitakse korraga ka teiste väliste testtööriistadega. Kui mõni neist annab negatiivseid tulemusi, saad seal veel sügavamalt uurida.

    Miks on turvaheaderid olulised?

    Turvaheaderid on olulised, kuna aitavad vähendada veebilehtede ja veebirakenduste rünnaku pinda ning katta teadaolevad turvaaukud. Andes brauseritele juhised, kuidas turvalisuse osas käituda, saavad need aidata vältida erinevaid rünnakuliike või vähemalt nende toimumist raskendada. See hõlmab XSS-rünnakuid, Clickjackingut, MIME-Spoofingut ja muid turvaprobleeme.

    Onlineshopid, mis salvestavad, edastavad või töötlevad krediitkaarditehinguid, peavad olema PCI-DSS-ga kooskõlas. Paljud PCI-DSS-auditid kontrollivad ka HSTS-i (HTTP Strict Transport Security) ja muid turvaheadereid. Kui sinu veebisait kuulub PCI-nõuete alla, ehkki töötleb krediitkaardimakseid, ja sinu maksepakkuja ootab sinult PCI-sertifitseerimist ning pead selle testi/audiidi abil tõendama, saab turvaheaderite lisamine sinu jaoks teemaks.

    Kolmandaks, ka kasutajakogemus on tagatud, mis mõjutab positiivselt sinu SEO-tegevusi. Selle kohta rohkem allpool.

    Kuidas turvaheadereid rakendada?

    Turvaheaderite rakendamine nõuab tavaliselt konfiguratsioonimuudatusi veebiserveri või veebirakenduse tasandil. 

    1. Määratle kõigepealt vajalikud turvaheaderid: Mõtle läbi, millised turvaheaderid on sinu veebisaidi või veebirakenduse jaoks kõige olulisemad. Valik sõltub sinu konkreetsetest nõuetest ja ohustest. Kui sul on näiteks ainult üks lehekülg ilma küpsiste ja kontaktvormita, mis põhineb ainult HTML-il, on sinu risk madalam kui poel koos küpsiste, krediitkaarditeabe edastamise, klientideandmete ja CMS-iga.
    1. Seadista veebiserver: Enamikku turvaheadereid saab lisada, kohandades veebiserveri konfiguratsiooni. Näiteks saavad Apache-serverid konfigureerida päised failis .htaccess, samal ajal kui Nginx kasutab konfiguratsioonifaili nginx.conf või sites-available.
    1. Määra headerid HTTP-vastusesse: Headerid tuleks määrata sinu veebisaidi või veebirakenduse HTTP-vastusesse. Seda saab tavaliselt teha serverimoodulite, skriptide või vahelahenduste abil.
    1. Testi rakendamine: Pärast turvapealkirjade lisamist peaksite põhjalikult testima oma veebisaiti või veebirakendust, et tagada kõik toimib ootuspäraselt. On ka veebitööriistu nagu Security Headers ja Mozilla Observatory, mis saavad hinnata sinu veebisaidi turvakonfiguratsiooni.
    1. Hoia pealkirjad ajakohased: Jälgi ja uuenda turvapealkirju regulaarselt, et tagada, et need vastavad praegustele parimatele tavadele ja on kaitstud uute ohtude eest.

    Täpne tegevuskava turvapealkirjade rakendamiseks võib sõltuvalt veebiserveri tehnoloogiast ja platvormist erineda, seega on soovitatav konsulteerida oma serveri ja veebirakenduse dokumentatsiooniga või vajadusel pöörduda professionaalse toe poole. Järgnevalt on juhised, kuidas saate seda teha Apache'i ja Nginx-serverites. Kui te pole arendaja, siis serveripoolselt pole see kahjuks nii lihtne nagu WordPressi pistikprogrammi konfigureerimine.

    Turvapealkirjade lisamine .htaccess-i Apache'i serverites

    Turvapealkirjade lisamine .htaccess-faili on levinud viis parandada veebisaidi turvalisust Apache'i veebiserveris. .htaccess-fail võimaldab teil seadistada serveriülesed sätted ja konfiguratsioonid, sealhulgas turvapealkirjad. Siin on samm-sammuline juhend, kuidas saate lisada turvapealkirju .htaccess-faili:

    Varundage oma fail: Turvaline oma veebisait ja tehke varukoopia .htaccess-failist enne muudatuste tegemist, et tagada, et te ei muuda veebisaiti kogemata kättesaamatuks.

    Ava oma .htaccess-fail: Teie .htaccess-fail asub tavaliselt teie WordPressi installatsiooni põhikaustas. Saate selle avada tekstiredaktoriga nagu Notepad++, Dreamweaver, PHP Storm või Visual Studio Code.

    Lisage turvapealkirjad: Turvapealkirjade lisamiseks kasutage oma .htaccess-failis Header käsku. Siin on mõned näited sagedamini kasutatavatest turvapealkirjadest ja kuidas neid lisada:

    Sisu turvapoliitika (CSP):

    Header always set Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src 'self' data:; style-src 'self' 'unsafe-inline';"

    X-Sisu-Tüübi-Suvandid:

    Header always set X-Content-Type-Options "nosniff"

    X-Frame-Options:

    Header always set X-Frame-Options "DENY"

    X-XSS-Kaitse:

    Header always set X-XSS-Protection "1; mode=block"

    Turvaline andmeedastuspoliitika (HSTS):

    Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

    Viitaja poliitika:

    Header always set Referrer-Policy "strict-origin-when-cross-origin"

    Salvestage .htaccess-fail: Pärast soovitud turvapealkirjade lisamist salvestage .htaccess-fail ja laadige see vajadusel veebiserverisse üles.

    Konfiguratsiooni kontrollimine: Veenduge, et te pole .htaccess-failis süntaksivigu teinud, külastades veebisaiti ja jälgides võimalikke veateateid. Saate ka kasutada veebitööriistu oma turvapealkirjade tõhususe kontrollimiseks.

    Testige oma veebisaiti: Kontrollige hoolikalt oma veebisaiti, et tagada kõik funktsioonid toimivad õigesti ja et turvapealkirjad rakendavad soovitud turvameetmeid.

    Palun märkige, et turvapealkirjade lisamine .htaccess-faili kaudu töötab ainult Apache'i serverites. Kui kasutate muud tüüpi veebiserverit nagu Nginx, peate vastava veebiserveri konfiguratsioonifailid redigeerima, et seada turvapealkirjad. Selle kohta lisateavet edaspidi...

    Turvaüksuste sisestamine Nginxi serveritesse

    Turvapealkirjade lisamine Nginxis toimub tavaliselt Nginxi konfiguratsioonifailide kaudu, tavaliselt failiga, mille laiendus on .conf. Siin on samm-sammuline juhend, kuidas saate turvaüksusi Nginxis sisestada:

    Varundamine: Enne Nginxi konfiguratsioonis muudatuste tegemist looge varukoopia konfiguratsioonifailidest, et tagada, et probleemide korral saaksite naasta töötava konfiguratsiooni juurde.

    Ava Nginxi konfiguratsioonifail: Nginxi põhikonfiguratsioonifail asub tavaliselt kataloogis nagu /etc/nginx/ Linuxi süsteemides. Täpne fail võib süsteemist süsteemi erineda, kuid see on tavaliselt nimetatud nginx.conf või default või sites-available iga veebisaidi jaoks.

    Kasutage tekstiredaktorit või käsureapõhist redaktorit (nagu nano, vim või gedit), et avada konfiguratsioonifail. Faili redigeerimiseks on vaja juur- või superkasutaja õigusi.

    Lisa soovitud turvanupud: Turvanupud saate lisada oma Nginx-konfiguratsiooni abil add_header-direktiivide abil. Siin on näited mõnedest sageli kasutatavatest turvanuppudest:

    Sisu turbeeskirjad (CSP):

    add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src 'self' data:; style-src 'self' 'unsafe-inline';";

    X-Sisu-tüübi valikud:

    add_header X-Content-Type-Options "nosniff";

    X-Frame-Options:

    add_header X-Frame-Options "DENY";

    X-XSS-Kaitse:

    add_header X-XSS-Protection "1; mode=block";

    HTTP range tee turvalisus (HSTS) (Hoiatus: kasuta ainult siis, kui sinu veebisait on alati kättesaadav HTTPS-iga):

    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";

    Viitaja poliitika:

    add_header Referrer-Policy "strict-origin-when-cross-origin";

    Salvesta ja sulge konfiguratsioonifail: Kui oled lisatud soovitud päiseid, salvesta konfiguratsioonifail ja sulge see.

    Kontrolli nüüd konfiguratsiooni: Saad kontrollida Nginx konfiguratsiooni kehtivust käsuga nginx -t. Kui konfiguratsioon on korras, peaks kuvatama edulugu.

    Käivita või uuenda Nginx: Pärast konfiguratsiooni kontrollimist käivita või uuenda Nginx-server, et uued päised oleksid aktiveeritud. Saad serveri käivitada käsu sudo service nginx restart (Debian/Ubuntu puhul) või sudo systemctl restart nginx (süsteemidel, mis põhinevad systemdil).

    Testi oma veebisaiti: Kontrolli oma veebisaiti, et veenduda, et kõik funktsioonid töötavad korralikult ja turvanupud rakendavad soovitud julgeolekumeetmeid.

    Paku tähele, et Nginx konfiguratsioon võib süsteemist sõltuvalt erineda, eriti kui kasutad mitut virtuaalset hosti (serveriplokki) või keerukamat konfiguratsiooni. Veendu, et muudad õiget konfiguratsioonifaili, mis vastutab sinu veebisaidi eest.

    WordPressi pistikprogrammid turvanuppude jaoks

    Olemas on erinevad WordPressi pistikprogrammid, mis aitavad sul seadistada Security Headers oma WordPressi veebisaidil. Need pistikprogrammid hõlbustavad turvameetmete rakendamist, isegi kui sul pole sügavaid tehnilisi teadmisi.

    Pistikprogramm "Headers Security Advanced & HSTS WP" on spetsialiseerunud turvanuppude ja HTTP range tee turvalisuse (HSTS) rakendamisele WordPressi veebisaitidel. See pakub kasutajasõbralikku viisi nende päiste ja turvameetmete seadistamiseks.
    https://de.wordpress.org/plugins/headers-security-advanced-hsts-wp/

    Päise turvalisuse täiustatud HSTS pluginate jaoks WordPressile.

    Siin on mõned teised WordPressi pistikprogrammid, mis võivad aidata sul turvanuppude seadistamisel:

    1. WP Security Headers: See pistikprogramm võimaldab sul konfigureerida erinevaid turvaruume oma WordPressi veebisaidil. See pakub kasutajasõbralikku liidest ja võimaldab sul kohandada päiseid nagu Sisu Turbeeskirjad (CSP), X-Frame-Options ja palju muud.
    1. HTTP Headers: HTTP Headers on WordPressi pistikprogramm, mis võimaldab sul määrata erinevaid HTTP päiseid rohkem turvalisuse ja privaatsuse tagamiseks. Saad nendega konfigureerida päiseid nagu X-Sisu-tüübi valikud, X-XSS-Kaitse ja Viitaja poliitika.
    1. Security Headers: See pistikprogramm on spetsialiseerunud Sisu Turbeeskirjade (CSP) seadistamisele. See pakub lihtsat viisi CSP poliitika määramiseks ja kohandamiseks oma veebisaidile.
    1. Easy Security Headers: See pistikprogramm pakub lihtsat viisi oluliste turvanuppude WordPressis aktiveerimiseks ja konfigureerimiseks. See hõlmab päiseid nagu Sisu Turbeeskirjad, Range-tee turvalisus ja X-Sisu-tüübi valikud.

    Enne kui kasutad WordPressis turvanuppude seadistamiseks pistikprogrammi, veendu, et see oleks ühilduv sinu WordPressi versiooni ja PHP versiooniga.

    Turvanupud Headless CMS Strapi rakendamiseks

    Strapi on populaarne Headless-CMS (sisuhaldussüsteem), mis põhineb Node.js-il. Sarnaselt WordPressiga on Strapil võimalik ka turvanuppude rakendamine. Strapis toimub turvanuppude konfigureerimine tavaliselt sügavamal tasemel, kuna tegemist on serveripõhise rakendusega. Siin on sammud, kuidas seadistada turvanuppe Strapi rakenduses:

    Kasutage vahevara: Strapis saate vahevara kasutada, et määrata HTTP päiseid. Saate luua kohandatud vahevara, mis lisab soovitud turvalisuse päiseid HTTP vastustele. Siin on näide, kuidas seda teha saate:

    1. Looge fail, näiteks security-headers.js, oma vahevara kausta

    module.exports = (strapi) => {
    return {
    initialize() {
    strapi.app.use(async (ctx, next) => {

    2. Määrake soovitud turvalisuse päised

    ctx.set('Content-Security-Policy', "default-src 'self'"); ctx.set('X-Content-Type-Options', 'nosniff'); ctx.set('X-Frame-Options', 'DENY'); ctx.set('X-XSS-Protection', '1; mode=block'); ctx.set('Strict-Transport-Security', 'max-age=63072000; includeSubDomains; preload'); ctx.set('Referrer-Policy', 'strict-origin-when-cross-origin');

    3. Kutsuge järgmine vahevarasamm välja

    await next(); 
    });
    },
    };
    };

    Registreerige vahevara: Pärast vahevara loomist peate selle Strapi rakenduse middleware.js failis registreerima, et tagada selle käitmine iga HTTP-päringu korral.

    module.exports = {
    settings: {

    Muud seaded ...

    },
    middleware: {

    Muud vahevarad ...

    securityHeaders: { 
    enabled: true,
    },
    },
    };

    Kohandamine ja testimine: Kohandage vahevara päiste väärtusi vastavalt oma nõuetele. Veenduge, et päised oleksid õigesti seatud, testides rakendust ja kasutades turvapäise kontrollijaid.

    Serverikonfiguratsiooni kontrollimine: Lisaks vahevara seadistamisele Strapis on oluline veenduda, et teie veebiserver (näiteks Nginx või Apache), kui see on olemas, ei seaks vastuolulisi päiseid, mis võiksid Strapi poolt seatud päiseid üle kirjutada.

    Täpne rakendamine võib sõltuda teie Strapi seadistusest ja teie serverist. Alternatiivne rakendusviis on ka läbi config/app.js Strapi CMS-is. Kuid tee läbi vahevara annab teile rohkem kontrolli ja paindlikkust.

    Nii näeb see välja meie agentuuri veebisaidil 4eck-media.de, mis kasutab Headless CMS Strapi:

    Strapi kodulehe skannimise tulemused saidile 4eck-media.de

    Testtööriistad veebisaitide turvalisuse päiste ja turvavigade jaoks

    Kui olete turvalisuse päised rakendanud, tehke kindlasti funktsionaalne test oma veebisaidil erinevate brauserite ja lõppseadmetega. Kasutage ka järgmisi kahte testtööriista, et kontrollida, kas kõik on õigesti ühendatud:

    • securityheaders.com => see tööriist testib spetsiaalselt turvalisuse päiseid. Vaadake ülaltoodud ekraanipilti.
    • securityscan.getastra.com => see tööriist testib üle 140 turvaviga ja turvalisuse päiseid on kaasatud.

    Oleme nüüd teinud tervisekontrolli kaudu väärtusega 90/100 tutkit.com-ile aadressil https://securityscan.getastra.com/:

    Veebisaidi haavatavuste skanner koos tervisekontrolliga

    Nagu näete, on veel veidi ruumi, ehkki kõik on korras. Meie puhul on see seotud teatud moodulitega, mis väljastavad JavaScripti teisiti kui turvastandardid soovitavad parima tavapraktika jaoks. Koos järgmise suure värskendusega meie JavaScripti raamistikust vue.js ja Larabergi moodulitelt TutKit.com hoolitseme ka selle eest.

    Kas turvalisuse päised on mõistlikud SEO (otsingumootori optimeerimise) jaoks?

    Turvalisuse päiste ja SEO (otsingumootori optimeerimise) vahel on seos, kuigi see seos on pigem kaudne.

    Google teatas 2020. aasta mais, et 2021. aastal koguneb lehe kogemus seitsme erineva teguri abil ja saab ühtse tervikpildi veebisaidi kvaliteedist.

    Core Web Vitals ülevaade.

    HTTPS ja turvaline sirvimine on peamised tegurid, mis aitavad kaasa lehe kogemuse positiivsetele signaalidele. HTTPS-i kasutamine on samuti Google'i edetabeli teguriks nimetatud. Alguses kehtis see ka turvalise sirvimise kohta. Augustis 2021 astus Google sellest siiski tagasi ja väitis, et turvalise sirvimise puhul ei arvestata enam edetabeli tegurina, kuna paljud veebisaidi omanikud ei saa midagi teha häkkimise eest.

    PageSpeed Insights'is ja Lighthouse'i testides Chrome'i brauseri arendaja tööriistades näete turvalise sirvimise soovitust. Seetõttu võib eeldada, et turvalise sirvimise teema SEO jaoks ei ole täielikult lõppenud:

    PageSpeed Insights Turvaline sirvimine

    Lisaks hindab Google kõrgemalt veebisaite, mis järgivad EEAT-põhimõtet, ehk nende sisu on valideeritud asjatundlikkuse, kogemuse, autoriteedi ja usaldusväärsuse alusel. Usaldusväärsus viitab veebisaidi või veebisisu usaldusväärsele ja usaldusväärsele olemisele. Google hindab usaldusväärsust tegurite alusel nagu andmekaitse, turvalisus ja läbipaistvus.

    Kuidas täpsemalt teie Turvaheaderid mõjutavad SEO-d, selgub viiest HTTP-headerite eelistest teie veebisaidi ja selle külastajate jaoks:

    1. Usaldus ja turvalisus: Veebisait, mis kasutab turvahädusid, annab külastajatele ja otsingumootoritele märku, et hoolib oma kasutajate ja andmete turvalisusest. See võib tugevdada kasutajate usaldust veebisaidi vastu ning vähendada turvaprobleemide, nagu andmelekete ja pahavara rünnakute riski.
    1. Turvaprobleemide vältimine: Turvaheaderid, nagu näiteks turbepoliitika (CSP) ja X-XSS-kaitse, aitavad vältida tuntud turvaaugudesse sattumist, nagu ristveebikskriptimine (XSS). Veebisaidid, mis on vastuvõtlikud turvaprobleemidele, võivad otsingumootoritest karistada või kasutajatele hoiatusi kuvada, mis võib negatiivselt mõjutada SEO-d.
    1. Paremad laadimisajad: Mõned turvaheaderid, nagu HTTP range turbepoliitika (HSTS), võivad aidata parandada veebisaidi laadimisaegu, kuna sunnivad brauserit ühenduma HTTPS kaudu. Kiired laadimisajad on oluline SEO-faktor, kuna otsingumootorid nagu Google arvestavad laadimisaega reastamiskriteeriumina.
    1. Clickjackingi & kalastamise ennetamine: Turvaheaderid nagu X-Frame-Options võivad aidata ennetada Clickjacking-rünnakuid, kus kuvatakse veebisaidi sisu nähtamatus raamis. See võib suurendada kasutajate usaldust veebisaidi vastu ja vähendada kalastamisrünnakute tõenäosust.
    1. HTTPS ja reastamine: Kuigi otseselt turvaheaderitega seotud pole, on HTTPS-i kasutamine (mida soosib turvaheader nagu HSTS) oluline SEO-faktor. Google teatas juba 2010. aastal, et HTTPS-i arvestatakse reastamissignaalina ning HTTPS-iga veebisaitidel võib olla SEO-eelis.

    Turvaheaderite kasutamine võib minu arvates positiivselt mõjutada veebisaidi SEO-reitingut, kuid see pole ainus kriteerium, vaid vaid väike osa kogu turvalisuse ja SEO-võrrandist. Veebisait, mis pakub ebaolulist sisu või ebapiisavat kasutajakogemust, ei saa ainuüksi turvaheaderite lisamisega paremat positsiooni otsingutulemustes saavutada. SEO on keeruline protsess, mis arvestab paljusid tegureid, sealhulgas kvaliteetseid sisu, hea kasutajakogemust, mobiilseadmete optimeerimist ja palju muud. Turvaheaderid on siiski oluline komponent, et saada kasutajate usaldust ja muuta veebisait üldiselt turvalisemaks, mis võib lõppkokkuvõttes positiivselt mõjutada SEO-reitingut.

    Või vastupidi: Kui teie veebisait on nakatunud pahavara poolt ja Google teavitab veebisaidi külastajaid hoiatusega, mõjutab see teie mainet otse negatiivselt. Teie reiting langeb ning kaduvad kõik teie senised SEO-edusammud. Veebisaidi omanikuna saate sellest Google'i kaudu otsingukonsoolis teate. Võite ka siin alternatiivselt lasta oma veebisaiti pahavara suhtes testida.

    Oleme igatahes uhked selle üle, et viisime ühes turva-sprintis oma turvaheaderid kaasaegsemale tasemele. Ja sellega võtsime ka koha Hall of Fame'is:

    Turvapäise kuulsuste galerii

    Kokkuvõte: Turvaheaderite rakendamine pole raketteteadus ja see tuleks arvesse võtta igas veebisaidi käivitamisel. Kahjuks pole enamikul veebisaidi omanikel, agentuuridel ja SEO-ekspertidel sellest aimugi, mistõttu oleks hea, kui SEO-tööriistad lisaksid HTTP-headerite päringud ka oma auditis. Näeme ... olen juba SEOBILITY juhtkonnale selle soovi esitanud :-)

    Avaldatud aadressil aadressilt Matthias Petri
    Avaldatud aadressil:
    Alates Matthias Petri
    Matthias Petri asutas koos oma venna Stefan Petriga Agentuuri 4eck Media GmbH & Co. KG aastal 2010. Koos oma tiimiga juhib ta populaarset erialafoorumit PSD-Tutorials.de ja e-õppe portaali TutKit.com. Ta on avaldanud mitmeid koolitusi pilditöötluse, turunduse ja disaini valdkonnas ning õpetanud õppejõuna FHM Rostockis "Digitaalset turundust ja kommunikatsiooni". Tema tegevust on mitu korda tunnustatud, sealhulgas Mecklenburg-Etelsaksa veebiauhinna eripreemiaga 2011. aastal ja Mecklenburg-Etelsaksi loomeettevõtjaga 2015. aastal. Teda nimetati Bundes Kompetenzzentrum Kultur- & Kreativwirtschafti kaaslasteks 2016 ja ta on aktiivne algatuses "Wir sind der Osten" ettevõtjana ja tegevjuhina koos paljude teiste idaosade esindajatega.
    Tagasi ülevaate juurde