Turvallisuuspäätteet verkkosivullesi: hyvä turvallisuudelle ja SEO:lle

Opettele tästä, mitä Turvapäähderaidat ovat, miten ne toimivat ja miksi ne ovat tärkeitä verkkosivustosi turvallisuudelle sekä miten voit lisätä turvallisuutta myös SEO-toimenpiteilläsi.

Turvapäähderaideen ohjeartikkeli sisältää seuraavat aiheet:

Mitä Turvapäähderaidat ovat?

Turvapäähderaidat ovat HTTP-päähderaidat, jotka on tarkoitettu verkkosivustoille ja web-sovelluksille parantamaan turvallisuutta ja suojaa erilaisilta hyökkäyksiltä ja tietoturva-aukoilta. Ne tarjoavat tärkeän turvallisuustason, joka suojaa käyttäjiä ja tietoa uhilta.

Jos mietit, tarvitsetko niitä oikeasti, voit testata nykyisen turvallisuuden online-työkalulla. Voit tehdä sen osoitteessa securityheaders.com. Kirjoita sivustosi URL-osoite sinne.

Luultavasti saat tulokseksi D tai F. Useimmat verkkosivustot eivät aluksi menesty hyvin, koska turvallisuus ei ole monien kehittäjien ja virastojen ensisijainen asia verkkosivustojen luomisessa tai uudelleenkäynnistämisessä. Kuinka voit ottaa käyttöön turvapäähderaidat (myös ei-kehittäjille), saat selville alla olevasta osiosta. Mutta nyt tiedät, että sinun on yleisesti ottaen toimittava.

Miten Turvapäähderaidat toimivat?

Turvapäähderaidat ovat osa HTTP-vastausta, jonka web-palvelin lähettää selaimelle, kun pyyntö lähetetään verkkosivustolle tai web-sovellukselle. Nämä päähderaidat sisältävät ohjeita ja tietoja, jotka kertovat selaimelle, miten sen tulisi toimia turvallisuuden ja yksityisyyden suhteen. Tässä muutamia tärkeitä turvapäähderaitoja ja niiden toimintaa:

HTTP Strict Transport Security (HSTS)

HSTS pakottaa selaimen muodostamaan ja pitämään yhteyden verkkosivustoon HTTPS:n kautta, jotta välitysmieshyökkäykset estetään. 

Monilla verkkosivustoilla on vain yksi 301-ohjaus HTTP:stä HTTPS:ään. Monet linkit verkkosivustojen sisällössä ovat edelleen HTTP:na. Jos joku napsauttaa tällaista linkkiä, HTTP-sivu latautuu ensin ja sitten 301-ohjaus aktivoituu. Tai jos kirjoitat vain oman-verkkotunnuksesi.com-selaimeen, jotta voit käyttää verkkosivustoa, ilman HTTPS-osaa, mikä lienee useimmiten tapaus, mahdollistaa välitysmieshyökkäyksen. 

HSTS estää hyökkääjiä alentamasta HTTPS-yhteyttä HTTP-yhteydeksi, jolloin hyökkääjä voi hyödyntää epävarmoja ohjauksia. Se pakottaa siis lataamaan turvallisen HTTPS-yhteyden kautta.

X-Content-Type-Options

Tämä päähdehallinnoi, yrittääkö selain arvata resurssin MIME-tyypin, jos ilmoitettu tyyppi ei ole oikein. Se auttaa torjumaan MIME-Spoofing-hyökkäyksiä, koska vain tyylit ja skriptit, joiden MIME-tyyppi on oikea, ladataan. Taustaa ajatellen: selaimet voivat "haistella" sisällön olevan tekstiä, kuva (.png), video (.mp4) tai HTML, JavaScript ja muita verkkosivustoilta ladattavia sisältöjä.

"X-Content-Type-Options: nosniffin" käyttö on tärkeä turvatoimi, koska se auttaa estämään tiettyjä hyökkäysvektoreita, kuten Ristiinsivustoscriptaus (XSS). XSS-hyökkäyksissä - katso myös alla oleva - hyökkääjä voi yrittää lisätä haitallista JavaScript-koodia resurssiin, kuten PDF:ään, teeskentelemällä selaimelle, että se on PDF ja saadakseen sen suorittamaan tiedoston JavaScript-koodina, vaikka MIME-tyyppi ilmoittaisi jotain muuta, tässä tapauksessa PDF.

Seurauksena on joukko haitallisia vaikutuksia verkkosivuston kävijöille, erityisesti niin kutsutussa Drive-by-Download-hyökkäyksessä, jossa haittaohjelmisto voidaan asentaa vierailijan tietokoneelle.

"Nosniffin" käyttö on erityisen tärkeää yhdistettynä muihin turvatoimiin, kuten sisällönturvapolitiikka (CSP), jotta web-sovellusten turvallisuutta voidaan lisätä ja hyökkäyspinta-alaa voidaan pienentää. Tämän päähderaidan tulisi yleensä olla käytössä kaikissa resursseissa (esim. HTML, JavaScript, CSS-tiedostot) verkkosivustolla.

X-Frame-Options

Tämä päähde estää verkkosivuston esittämisen HTML-kehyksessä tai iframe-kehyksessä, jotta Clickjacking-hyökkäykset estetään. "X-Frame-Optionsin" käyttö on tärkeä turvatoimi Clickjacking-hyökkäyksiä vastaan, joissa hyökkääjä yrittää ladata verkkosivuston näkymättömään kehykseen ja hyödyntämään käyttäjän hiiren klikkauksia. Tämän päähderaidan avulla verkkosivuston ylläpitäjät voivat hallita, miten heidän sivustonsa upotetaan kehyksiin.

Huomaa, että "X-Frame-Options" nähdään vanhempana menetelmänä Clickjackingin estämiseen. Nykyaikaisempi lähestymistapa on käyttää "Sisällönturvapoliittista" päähderaitaa (CSP), joka voi myös estää Clickjackingin ja kattaa lisäksi muita turvallisuusasioita. Lisää tästä alempana.

X-XSS-Protection

Tämä päähde aktivoi tai deaktivoi selaimen sisäänrakennetun XSS-suojan. 

Viittaaja-politiikka

"Viittaaja-politiikka" on HTTP-otsake, joka lähetetään web-palvelimilta osoittamaan, miten web-selain tulisi käsitellä tietoja "viittaaja"-kentässä HTTP-pyynnöissä. "Viittaaja" on HTTP-otsaketieto, joka yleensä osoittaa edellisen sivun URL-osoitteen, jolta käyttäjä navigoi nykyiselle sivulle. "Viittaaja-politiikka" tarjoaa mahdollisuuden verkkosivuston omistajille hallita viittaaja-tietojen jakamista muille verkkosivustoille ja suojata käyttäjien yksityisyyttä. Hyvä tietää kaikille, jotka tienaavat rahaa verkossa luomalla sisältöä: Viittaaja-politiikalla ei ole vaikutusta kumppanilinkkeihin.

Sisältöturvallisuuspolitiikka (CSP)

CSP-otsakkeet määrittävät, mistä lähteistä resursseja (kuten skriptejä, kuvia ja tyylitiedostoja) saa ladata. Tämä auttaa estämään Cross-Site Scripting (XSS), koodinjektiot ja vastaavat hyökkäykset.

Cross-Site Scripting (XSS)-hyökkäykset on suunniteltu hyödyntämään tietoturva-aukkoa CMS:ssäsi tai kehysalustassa lähettämään haitallisia skriptejä verkkosivustollesi, jotka latautuvat sitten sivustosi kävijöiden selaimiin. XSS-hyökkäyksen oviaukko voi olla esimerkiksi sähköpostilomake, joka ei ole koodattu niin, että se odottaa vain rajoitettuja syötteitä. Huonosti koodattu lomake voi mahdollistaa muiden syötteiden, jotka voivat johtaa haitallisten tiedostojen syöttämiseen. Muuten, tämä on myös syy siihen, miksi toimistomme varustaa useimmat asiakasprojektit täysin ilman yhteydenottolomaketta, koska he yleensä selviävät hyvin myös ilman sitä.

Setät CSP-otsakkeillasi valkoisen listan tapaan sivustot, joita sivustosi saa ladata ja mitä ei. Jokainen hyökkääjä, joka lataa haitallisia skriptejä toiselta palvelimelta tämän luottamuksellisen ryhmän ulkopuolelta, estetään. Joulukuussa 2016 Sisältöturvallisuuspolitiikkaa kehitettiin edelleen CSP-taso 2:een, joka lisäsi hash-lähteen, nonce-lähteen sekä viisi uutta direktiiviä. Tästä ei odoteta ongelmia selaimessa. Tilanteessa 11. syyskuuta 2023 CSP 2 on yhteensopiva 95 prosentin kaikkien selainten kanssa.

Sisältöturvallisuuspolitiikan luominen voi olla vahva tai heikko, aivan kuten sen suunnittelet. Asetusprojekti kesti omalla Tutkit-palvelimellamme todellisuudessa pisin aikaa kaikista otsakkeista, koska kaikki skriptit ja resurssit on luetteloitava, jotta ne voidaan lisätä valkoiseen listaan. Voit tarkistaa oikean integroinnin securityheaders.com, Mozilla Observatorystä ja myös Google PageSpeed Insightsistä "Parhaat käytännöt" -osiosta. Mozilla-palvelussa etuna on, että URL-osoitteesi testataan samanaikaisesti myös muilla ulkoisilla testityökaluilla. Jos jokin niistä havaitsee ongelman, voit syventyä asiaan lisää.

Miksi turvallisuusotsikot ovat tärkeitä?

Turvallisuusotsikot ovat tärkeitä, koska ne auttavat pienentämään verkkosivustojen ja websovellusten hyökkäyspintaa ja sulkemaan tunnettuja tietoturvahaavoittuvuuksia. Antamalla selaimille ohjeet siitä, miten niiden tulisi toimia turvallisuuden suhteen, ne voivat auttaa estämään erilaisia hyökkäyksiä tai ainakin vaikeuttamaan niitä. Tähän sisältyy XSS-hyökkäykset, Clickjacking, MIME-Spoofing ja muita tietoturvaongelmia.

Verkkokaupat, jotka tallentavat, välittävät tai käsittelevät luottokorttiasiakkaita, on oltava PCI-DSS-yhteensopivia. Monet PCI-DSS-tarkastukset arvioivat myös otettua käyttöön olevaa HSTS:ää (HTTP Strict Transport Security) ja muita turvallisuusotsikoita. Jos verkkosivustosi kuuluu PCI-noudattamisen piiriin eli käsittelet luottokorttimaksuja ja maksuntarjoajasi odottaa PCI-sertifiointia sinulta ja sinun on todistettava se testillä/tarkastuksella, turvallisuusotsikoiden integrointi tulee väistämättä esiin.

Kolmantena syynä on käyttäjäkokemuksesi turvaaminen, mikä vaikuttaa myönteisesti SEO-toimiisi. Siitä lisää alapuolella.

Miten turvallisuusotsikot tulisi toteuttaa?

Turvallisuusotsikoiden toteuttaminen vaatii yleensä asetusten muuttamista web-palvelimella tai websovelluksen tasolla. 

1. Tunnista tarvittavat turvallisuusotsikot ensin: Mieti, mitkä turvallisuusotsikot ovat tärkeimpiä verkkosivustollesi tai websovelluksellesi. Valinta riippuu tietoturvavaatimuksistasi ja uhista. Jos sinulla on vain yksi sivu ilman evästeitä ja yhteydenottolomaketta, joka perustuu vain HTML:ään, riskisi ovat pienemmät kuin kaupassa, jossa on evästeitä, luottokorttitietojen lähetyksiä, asiakastietoja ja CMS.

2. Määritä web-palvelin: Voit lisätä useimmat turvallisuusotsikot muokkaamalla web-palvelimen asetuksia. Esimerkiksi Apache-palvelimet voivat määrittää otsakkeet .htaccess-tiedostossa, kun taas Nginx käyttää konfiguraatiotiedostoa nginx.conf tai sites-available.

3. Aseta otsikot HTTP-vasteessa: Otsikoiden tulisi olla määritettyinä verkkosivustosi tai websovelluksesi HTTP-vasteessa. Tämä voidaan yleensä saavuttaa palvelinmoduulien, skriptien tai välimuistin avulla.

4. Testaa toteutus: Lisättyäsi turvallisuuspäätteitä sinun tulee perusteellisesti testata verkkosivustosi tai web-sovelluksesi varmistaaksesi, että kaikki toimii odotetusti. On myös verkkotyökaluja kuten Security Headers ja Mozilla Observatory, jotka voivat analysoida verkkosivustosi turvallisuuskonfiguraation.

5. Pidä päätteet ajan tasalla: Seuraa ja päivitä turvallisuuspäätteitä säännöllisesti varmistaaksesi, että ne vastaavat nykyisiä parhaita käytäntöjä ja ovat suojattuja uusia uhkia vastaan.

Tarkka täytäntöönpanoprosessi Turvallisuuspäätteiden käyttöönotossa voi vaihdella riippuen web-palvelimen teknologiasta ja alustasta, joten on suositeltavaa tarkastella palvelimesi ja web-sovelluksesi dokumentaatiota tai tarvittaessa käyttää ammattitaitoista apua. Seuraavassa on ohjeet, miten voit tehdä sen Apache- ja Nginx-palvelimilla. Ei-kehittäjänä se ei valitettavasti ole yhtä helppoa palvelinpohjaisesti kuin WordPress-pluginin avulla.

Turvallisuuspäätteet .htaccess-tiedostoon Apache-palvelimilla

Turvallisuuspäätteiden lisääminen .htaccess-tiedostoon on yleinen tapa parantaa verkkosivuston turvallisuutta Apache-web-palvelimella. .htaccess-tiedosto mahdollistaa palvelintason asetusten ja konfiguraatioiden määrittämisen, mukaan lukien turvallisuuspäätteet. Tässä on vaiheittainen opas siitä, miten voit lisätä turvallisuuspäätteitä .htaccess-tiedoston kautta:

Tee varmuuskopio: Suojaudu ja tee varmuuskopio .htaccess-tiedostosta ennen muutosten tekemistä, jotta et vahingossa tee verkkosivustoasi saavuttamattomaksi.

Avaa .htaccess-tiedosto: Löydät .htaccess-tiedoston yleensä WordPress-asennuksesi juurihakemistosta. Voit avata sen tekstieditorilla kuten Notepad++, Dreamweaver, PHP Storm tai Visual Studio Code.

Lisää turvallisuuspäätteet: Lisätäksesi turvallisuuspäätteitä, käytä Header-ilmaisua .htaccess-tiedostossasi. Tässä on joitakin esimerkkejä usein käytetyistä turvallisuuspäätteistä ja miten voit lisätä ne:

Sisällön turvallisuuspolitiikka (CSP):

Otsikko aina määrittää Sisältöturvallisuuspolitiikka "oletus-lähde 'itse'; skripti-lähde 'itse' 'turvaton-sisäinen' 'turvaton-arvio'; img-lähde 'itse' data:; tyyli-lähde 'itse' 'turvaton-sisäinen';"

X-Sisällön tyyppivaihtoehdot:

Otsikko aina määritä X-Sisällön tyyppivaihtoehdot "ei-haistaa"

X-Frame-optiot:

Otsikko aina määrittelee X-kehysoptiot "EI"

X-XSS-suojaus:

Otsikko aina asettaa X-XSS-suojaus "1; tila=lohko"

HTTP:n tiukka kuljetusturvallisuus (HSTS):

Otsikko aina asettaa Strict-Transport-Security "maksimi-ikä=63072000; sisällytäSisämaat; esilataa"

Viitteen politiikka:

Otsikko aina asettaa Viitteen politiikka "tiukka-alkuperä-kun-raja-puolinen"

Tallenna .htaccess-tiedosto: Kun olet lisännyt haluamasi turvallisuuspäätteet, tallenna .htaccess-tiedosto ja lataa se tarvittaessa web-palvelimellesi.

Tarkista konfiguraatio: Varmista, ettei .htaccess-tiedostossa ole syntaksivirheitä vierailemalla sivustolla ja kiinnittämällä huomiota mahdollisiin virheilmoituksiin. Voit myös käyttää verkkotyökaluja turvallisuuspäätteidesi tehokkuuden tarkistamiseen.

Testaa verkkosivustosi: Tarkista verkkosivustosi perusteellisesti varmistaaksesi, että kaikki toiminnot toimivat oikein ja että turvallisuuspäätteet toteuttavat halutut turvallisuustoimenpiteet.

Huomioi, että turvallisuuspäätteiden lisääminen .htaccess-tiedostoon toimii vain Apache-palvelimilla. Jos käytät toista palvelinta kuten Nginx, sinun tulee muokata vastaavat konfiguraatiotiedostot kyseiselle palvelimelle asettaaksesi turvallisuuspäätteet. Lue lisää seuraavasta osasta...

Turvallisuuspääte Nginx-palvelimilla

Turvallisuuspäätteiden lisääminen Nginxissä tapahtuu Nginxin konfiguraatiotiedostojen avulla, yleensä tiedostossa, jonka laajennus on .conf. Tässä on vaiheittainen opas siitä, miten voit lisätä turvallisuuspäätteitä Nginxissä:

Tee varmuuskopio: Ennen kuin teet muutoksia Nginx-konfiguraatioosi, tee varmuuskopio konfiguraatiotiedostoistasi varmistaaksesi, että voit palata toimivaan konfiguraatioon ongelmien sattuessa.

Avaa Nginx-konfiguraatiotiedosto: Nginxin pääkonfiguraatiotiedosto on yleensä löydettävissä hakemistosta kuten /etc/nginx/ Linux-järjestelmissä. Tarkka tiedosto voi vaihdella järjestelmästä toiseen, mutta se on yleensä nimetty nginx.conf tai oletus tai sivustot-saatavilla kutakin verkkosivustoa kohti.

Käytä tekstieditoria tai komentorivityökalua (kuten nano, vim tai gedit) avataksesi konfiguraatiotiedosto. Sinun tulee olla juurikäyttäjä- tai superkäyttäjäoikeudet tiedoston muokkaamiseen.

Lisää halutut tietoturvapäähderivoinnit: Voit lisätä halutut tietoturvapäähderivoinnit käyttämällä add_header-ohjeita Nginx-konfiguraatiosi. Tässä on esimerkkejä joistakin yleisesti käytetyistä tietoturvapäähderivoinneista:

Sisällön tietoturvapolitiikka (CSP):

add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src 'self' data:; style-src 'self' 'unsafe-inline';";

X-Sisällön tyypin asetukset:

add_header X-Content-Type-Options "nosniff";

X-Frame-Options:

add_header X-Frame-Options "DENY";

X-XSS-Suojaus:

add_header X-XSS-Protection "1; mode=block";

Tiukkaa siirtoturvallisuutta (HSTS) (Huomioi: Käytä vain, jos sivustosi on aina saavutettavissa HTTPS:n kautta):

add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";

Viittaajapolitiikka:

add_header Referrer-Policy "strict-origin-when-cross-origin";

Tallenna ja sulje konfiguraatiotiedosto: Lisättyäsi halutut päähderivoinnit, tallenna konfiguraatiotiedosto ja sulje se.

Tarkista nyt konfiguraatio: Voit tarkistaa Nginx-konfiguraation kelvollisuuden komennolla nginx -t. Jos konfiguraatio on kelvollinen, sinun pitäisi nähdä ilmoitus onnistumisesta.

Käynnistä tai päivitä Nginx: Kun olet tarkistanut konfiguraation, käynnistä tai päivitä Nginx-palvelin, jotta uudet päähderivoinnit tulevat voimaan. Voit käynnistää palvelimen komennolla sudo service nginx restart (Debian/Ubuntu) tai sudo systemctl restart nginx (järjestelmiin, jotka perustuvat systemd:iin).

Testaa sivustosi: Tarkista sivustosi toimiakseen varmistaaksesi, että kaikki toiminnot toimivat moitteettomasti ja että tietoturvapäähderivoinnit toteuttavat halutut turvatoimet.

Huomioi, että Nginx-konfiguraatio voi vaihdella järjestelmästä toiseen, varsinkin jos käytät useita virtuaalisia isäntiä (palvelimen lohkoja) tai monimutkaisempaa konfiguraatiota. Varmista siis, että muokkaat oikeaa konfiguraatiotiedostoa, joka vastaa sivustoasi.

Lisäosat WordPressiin turvallisten päähderivointien avuksi

On erilaisia WordPress-lisäosia, jotka voivat auttaa sinua asentamaan Security Headers WordPress-sivustollasi. Nämä lisäosat helpottavat turvallisuustoimenpiteiden toteuttamista, vaikka et olisikaan syvällisesti teknisesti suuntautunut.

Lisäosa "Heads Security Advanced & HSTS WP" on erityisesti suunniteltu toteuttamaan turvallisuuspäähderivoinnit sekä HTTP Strict Transport Security (HSTS) WordPress-sivustoissa. Se tarjoaa käyttäjäystävällisen tavan mukauttaa näitä päähderivointeja ja turvatoimenpiteitä.
https://de.wordpress.org/plugins/headers-security-advanced-hsts-wp/

Tässä on muutamia muita WordPress-lisäosia, jotka voivat auttaa sinua turvapäähderivointien määrityksessä:

1. WP Security Headers: Tämä lisäosa mahdollistaa erilaisten tietoturvapäähderivointien määrityksen WordPress-sivustollasi. Se tarjoaa käyttäjäystävällisen käyttöliittymän ja mahdollistaa päätteilien kuten Sisällön tietoturvapolitiikan (CSP), X-Frame-Options ja muiden mukauttamisen.

2. HTTP Headers: HTTP Headers on WordPress-lisäosa, joka mahdollistaa eri HTTP-päähderivointien määrityksen lisää turvallisuutta ja yksityisyyttä varten. Voit määrittää päätteilien, kuten X-Sisällön tyypin asetukset, X-XSS-Suojaus ja Viittaajapolitiikan, määrityksen.

3. Turvapäähderivoinnit: Tämä lisäosa on erikoistunut Sisällön tietoturvapolitiikan (CSP) määritykseen. Se tarjoaa helpon tavan asettaa ja mukauttaa CSP-suunnitelmaa sivustollesi.

4. Helppokäyttöiset turvapäähderivoinnit: Tämä lisäosa tarjoaa helpon tavan ottaa käyttöön ja määrittää tärkeät turvallisuuspäähderivoinnit WordPressissä. Se sisältää päähderivoinnit kuten Sisällön tietoturvapolitiikka, Tiukkaa siirtoturvallisuutta ja X-Sisällön tyypin asetukset.

Ennen kuin käytät lisäosaa turvapäähderivointien määritykseen WordPressissä, varmista, että se on yhteensopiva WordPress-version ja PHP-version kanssa.

Turvapäähderivointien toteuttaminen Headless CMS Strapissa

Strapi on suosittu Headless-CMS (Sisällön hallintajärjestelmä), joka perustuu Node.js:ään. Kuten WordPressissä, Strap

Käytä välimuistia: Strapissa voit käyttää välimuistia HTTP-otsikoiden asettamiseen. Voit luoda mukautetun välimuistin, joka lisää halutut turvallisuusotsikot HTTP-vastauksiin. Tässä on esimerkki siitä, miten voit tehdä sen:

1. Luo tiedosto, esim. security-headers.js, välimuistisi hakemistoon

module.exports = (strapi) => {
return {
initialize() {
strapi.app.use(async (ctx, next) => {

2. Aseta halutut turvallisuusotsikot

ctx.set('Content-Security-Policy', "default-src 'self'"); ctx.set('X-Content-Type-Options', 'nosniff'); ctx.set('X-Frame-Options', 'DENY'); ctx.set('X-XSS-Protection', '1; mode=block'); ctx.set('Strict-Transport-Security', 'max-age=63072000; includeSubDomains; preload'); ctx.set('Referrer-Policy', 'strict-origin-when-cross-origin');

3. Kutsu seuraava välimuistivaihe

await next(); 
}); 
},
};
};

Rekisteröi välimuisti: Kun olet luonut välimuistin, sinun on rekisteröitävä se Strapi-sovelluksesi middleware.js-tiedostoon varmistaaksesi, että se suoritetaan jokaisessa HTTP-pyyntöön.

module.exports = {
settings: {

Muut asetukset ...

},
middleware: {

Muut välimuistit ...

securityHeaders: { 
enabled: true, 
},
},
};

Mukauta ja testaa: Mukauta otsikkoarvot välimuistissa tarpeidesi mukaan. Varmista, että otsikot asetetaan oikein testaamalla sovellusta ja käyttämällä työkaluja, kuten turvallisuusotsikkotarkistinta.

Tarkista palvelinkonfiguraatio: Strapin välimuistiasetuksen lisäksi on tärkeää varmistaa, että myös palvelimesi (esim. Nginx tai Apache), jos sellainen on, ei aseta ristiriitaisia otsikoita, jotka voivat syrjäyttää Strapin määrittelemät.

Tarkka toteutus voi vaihdella riippuen Strapi-asennuksestasi ja palvelimestasi. Vaihtoehtoinen toteutus voidaan tehdä myös config/app.js Strapi CMS:ssä. Mutta tapa välimuisti tarjoaa enemmän hallintaa ja joustavuutta.

Näin se näyttää meidän toimiston verkkosivustolla 4eck-media.de, joka perustuu Headless CMS Strapiin:

Testityökalut Security-otsikoille ja verkkosivujen tietoturvahaavoille

Kun olet toteuttanut Security-otsikot, testaa ehdottomasti sivustoasi eri selaintyypeillä ja päätelaitteilla. Käytä myös seuraavia kahta testityökalua varmistaaksesi, että kaikki on otettu oikein käyttöön:

• securityheaders.com => Työkalu testaa erityisesti Security-otsikoita. Katso yllä oleva kuvakaappaus.
• securityscan.getastra.com => Työkalu testaa yli 140 tietoturvahaavoja, mukaan lukien Security-otsikot.

Olemme nyt saaneet Health-Checkissä arvon 90/100 osoitteessa https://securityscan.getastra.com/ tutkit.com-sivustoamme varten:

Lisäksi Google painottaa korkeammin verkkosivustoja, jotka noudattavat EEAT-periaatetta eli joiden sisällöt on asiantuntijuuden, kokemuksen, arvovallan ja luotettavuuden perusteella validoitu. Luotettavuus viittaa verkkosivuston tai verkkosisällön luotettavuuteen ja uskottavuuteen. Google arvioi luotettavuutta tekijöiden kuten tietosuojan, turvallisuuden ja läpinäkyvyyden perusteella.

Miten nyt tarkalleen ottaen Turvallisuusotsikot ja SEO liittyvät yhteen, voidaan havainnollistaa viiden HTTP-otsikon edun avulla verkkosivustosi ja verkkosivuston kävijöiden kannalta:

1. Luottamus ja turvallisuus: Verkkosivusto, joka käyttää turvallisuusotsikoita, viestii kävijöille ja hakukoneille, että se välittää käyttäjiensä ja tietojensa turvallisuudesta. Tämä voi vahvistaa käyttäjien luottamusta verkkosivustoon ja vähentää turvallisuusongelmien kuten tietovuotojen ja haittaohjelma-hyökkäysten riskiä.

2. Turvallisuusongelmien välttäminen: Turvallisuusotsikot kuten Content Security Policy (CSP) ja X-XSS-Protection auttavat estämään tunnettuja turvallisuusaukkoja kuten Cross-Site Scripting (XSS). Verkkosivustot, jotka ovat alttiita turvallisuusongelmille, voivat saada rangaistuksia hakukoneilta tai näkyä varoitusviesteissä käyttäjille, mikä voi vaikuttaa negatiivisesti SEO:seen.

3. Paremmat latausajat: Jotkut turvallisuusotsikot kuten HTTP Strict Transport Security (HSTS) voivat auttaa parantamaan sivuston latausaikoja, koska ne pakottavat selaimen muodostamaan yhteyden HTTPS:n kautta. Nopeammat latausajat ovat tärkeä SEO-tekijä, koska hakukoneet kuten Google ottavat latausajan huomioon sijoituskriteerinä.

4. Clickjackingin & kalasteluhyökkäysten estäminen: Turvallisuusotsikot kuten X-Frame-Options voivat auttaa estämään Clickjacking-hyökkäyksiä, joissa verkkosivuston sisältöä näytetään näkymättömässä kehyksessä. Tämä voi lisätä käyttäjien luottamusta verkkosivustoon ja vähentää kalasteluhyökkäysten riskiä.

5. HTTPS ja sijoittuminen: Vaikka se ei ole suoranaisesti yhteydessä turvallisuusotsikoihin, HTTPS:n käyttö (jota turvallisuusotsikot kuten HSTS edistävät) on tärkeä SEO-tekijä. Google on jo vuonna 2010 ilmoittanut, että HTTPS otetaan huomioon sijoitussignaalina, ja HTTPS:ää käyttävillä verkkosivustoilla voi olla SEO-etuja.

Turvallisuusotsikoiden käyttö voi mielestäni vaikuttaa positiivisesti verkkosivuston SEO-sijoitukseen, mutta ne eivät ole ainoa kriteeri, vaan vain hyvin pieni osa kokonaisesta turvallisuus- ja SEO-yhtälöstä. Verkkosivusto, joka tarjoaa epäolennaista sisältöä tai riittämättömän käyttäjäkokemuksen, ei parane lisäämällä turvallisuusotsikoita hakutuloksissa. SEO on monimutkainen prosessi, joka ottaa huomioon monia tekijöitä, kuten laadukkaan sisällön, hyvän käyttäjäkokemuksen, mobiilioptimoinnin ja paljon muuta. Turvallisuusotsikot ovat kuitenkin tärkeä osa luottamuksen rakentamista käyttäjien kanssa ja voivat tehdä verkkosivustosta kokonaisuudessaan turvallisemman, mikä voi lopulta vaikuttaa positiivisesti SEO-sijoitukseen.

Tai päinvastoin: Jos verkkosivustoosi on päässyt haittaohjelma ja Google antaa varoituksen verkkosivuston kävijöille, se vaikuttaa suoraan maineesi negatiivisesti. Sijoituksesi laskee ja sitä kautta myös kaikki aiemmat SEO-menestyksesi. Verkkosivuston ylläpitäjänä saat Googlen ilmoituksen tästä tapauksesta myös Search Consolesta. Voit vaihtoehtoisesti myös täällä testata verkkosivustosi haittaohjelmatartunnan varalta.

Olemme joka tapauksessa ylpeitä siitä, että olemme päivittäneet turvallisuusotsikomme nykyaikaiselle tasolle yhdessä turvallisuussprintin kanssa. Ja näin astuimme myös Hall of Fameen:

Päätelmä: Turvallisuusotsikoiden toteuttaminen ei ole rakettitiedettä ja se tulisi ottaa huomioon jokaisen verkkosivuston julkaisun yhteydessä. Valitettavasti harvat verkkosivuston ylläpitäjät, toimistot ja SEO-asiantuntijat pitävät sitä mielessä, minkä vuoksi olisi hyvä, jos SEO-työkalut sisällyttäisivät HTTP-otsikoiden tarkistamisen auditteihinsa. Näemme, miten asia etenee … ainakin olen jo esittänyt tämän toiveen SEOBILITYn johtajistolle :-)