Biztonsági fejlécek weboldaladhoz: jó biztonság és SEO szempontból.

Tanulj meg itt mindent a Biztonsági Fejlécekről, hogy hogyan működnek, miért fontosak az oldalbiztonság szempontjából, és ezáltal hogyan járulsz hozzá az SEO intézkedések védelméhez is.

A Biztonsági Fejlécekkel kapcsolatos útmutató az alábbi témaköröket tartalmazza:

Mi azok a Biztonsági Fejlécek?

A Biztonsági Fejlécek olyan HTTP-fejlécek, amelyeket weboldalak és webalkalmazások használnak a különböző támadások és biztonsági rések elleni védelem és biztonság fokozása érdekében. Fontos biztonsági réteget biztosítanak a felhasználók és az adatok védelme érdekében.

Ha esetleg azt kérdeznéd, szükséged van-e rá, egy online eszközzel tesztelheted az aktuális biztonságot. Ezt megteheted az securityheaders.com oldalon. Add meg ott az URL címedet.

Valószínűleg D vagy F eredményt fogsz kapni. A legtöbb weboldal kezdetben rosszul szerepel, mert a weboldalak biztonsága ritkán kerül szóba az fejlesztők és ügynökségek által a weboldalak készítése során. Hogyan implementálhatod a Biztonsági Fejléceket (akár nem fejlesztőként is), azt lentebb megtudhatod. Mindenesetre már most tudod, hogy alapvetően szükséges az intézkedés.

Hogyan működnek a Biztonsági Fejlécek?

A Biztonsági Fejlécek részei az HTTP válasznak, amelyet a webszerver küld a böngészőnek, amikor egy kérés érkezik egy weboldalhoz vagy webalkalmazáshoz. Ezek a fejlécek utasításokat és információkat tartalmaznak, amelyek közlik a böngészővel, hogyan kell viselkednie a biztonság és a magánélet vonatkozásában. Íme néhány fontos Biztonsági Fejléc és annak működése:

HTTP Szigorú Átviteli Biztonság (HSTS)

Az HSTS kötelezi a böngészőt arra, hogy az HTTPS-en keresztül kapcsolatot létesítsen és tartsa, hogy megakadályozza a Köztes-támadásokat.

Sok weboldalnak csak egy 301 átirányítása van az HTTP-ről HTTPS-re. Sok linkek a weboldal tartalmában még mindig HTTP-ként vannak megadva. Ha valaki erre a linkre kattint, akkor először az HTTP oldal töltődik be, majd aktiválódik a 301 átirányítás. Vagy ha csak a weboldaladdal kapcsolatos domaint írod be a böngészőbe anélkül, hogy az https részt megadnád, ami a legtöbb esetben így lesz, akkor lehetőség nyílik egy Köztes-támadásra.

Az HSTS megakadályozza, hogy egy támadó az HTTPS kapcsolatot egy HTTP kapcsolattá lefokozza, így az támadó kihasználhatja a biztonsági fokozatlanításokat. Tehát egy biztonságos HTTPS kapcsolaton keresztül való betöltést kényszerít.

X-Tartalom-Típus-Beállítások

Ez a fejléc vezérli, hogy a böngésző megpróbálja-e kitalálni egy erőforrás MIME típusát, ha a megadott típus nem helyes. Segít a MIME-Spoofing támadások megakadályozásában, mivel csak olyan stílusok és scriptek töltődnek be helyes MIME típussal, amelyekkel lehet dolgozni. Háttérinformáció: a böngészők tudnak "kémkedni", hogy az tartalom szöveg, kép (.png), videó (.mp4) vagy HTML, JavaScript és más típusú tartalok, amelyeket egy weboldalról letölthetnek.

A "X-Tartalom-Típus-Beállítások: nosniff" használata fontos biztonsági intézkedés, mivel segít meggátolni bizonyos támadási vektorokat, például a Kereszt-származású Kódinjekciót (XSS). Az XSS-támadások során – lásd részletek lejjebb – egy támadó megpróbálhat böséges JavaScript kódot beilleszteni egy erőforrásba, például egy PDF-be, úgy, hogy az böngészőt becsapja, mintha az egy PDF lenne, majd arra kényszerítse, hogy a fájlt JavaScript-ként fussa le, még akkor is, ha a MIME típus valójában másra utal, például PDF-re.

Mindez sok negatív következménnyel jár a webhely látogatójának, különösen egy ún. Drive-by letöltési támadáskor, ahol a malware települ a látogató számítógépére. 

A "nosniff" használata különösen fontos más biztonsági intézkedésekkel, mint például a Tartalom-Biztonsági-Politika (CSP), hogy növelje a webalkalmazások biztonságát és csökkentse a támadási felületet. Ez a fejléc általában minden erőforráshoz (pl. HTML-, JavaScript-, CSS-fájlok) kapcsolódó HTTP-válaszokban be kell legyen kapcsolva egy weboldalon.

X-Keret-Beállítások

Ez a fejléc megakadályozza, hogy egy weboldal HTML keretben vagy iframe-ben jelenjen meg, hogy a Clickjacking támadásokat megakadályozza. Az "X-Keret-Beállítások" használata fontos biztonsági intézkedés a Clickjacking támadások megakadályozására, amikor egy támadó megpróbál egy weboldalt egy láthatatlan keretbe betölteni és kihasználni a felhasználó kattintásait. Azáltal, hogy ez a fejléc be van állítva, a webhely üzemeltetői kontrollálhatják, hogyan ágyazzák be webhelyüket keretekbe.

Felhívjuk figyelmedet, hogy az "X-Keret-Beállítások" az egyik régebbi módszert képezi a Clickjacking megakadályozására. Egy modernabb megközelítés a "Tartalom-Biztonsági-Politika" fejléc (CSP) használata, amely ugyancsak megelőzheti a Clickjackinget, és további biztonsági aspektusokat is lefed. Erről részletesebben lentebb lesz szó.

X-XSS-Védelem

Ez a fejléc aktiválja vagy deaktiválja a böngésző beépített XSS-vedelmét. 

Referrer-Policy

A "Referrer-Policy" az az HTTP-fejléc, amit a webszerverek küldenek, hogy megadja, hogyan kell egy webböngészőnek kezelnie az információkat egy HTTP-kérés "Referrer" mezőjében. A "Referrer" egy olyan HTTP-fejlécmező, amely általában az előző oldal URL-jét adja meg, amelyről a felhasználó a jelenlegi oldalra navigált. A "Referrer-Policy" módot biztosít a webhely tulajdonosainak arra, hogy szabályozzák a Referrer-információk megosztását más webhelyekkel, és megvédjék a felhasználók magánéletét. Fontos tudni mindazoknak, akik online is pénzt keresnek a tartalmukkal: A Referrer-Policy nem hat az affiliate linkekre.

Tartalom Biztonsági Politika (CSP)

A CSP-Header megadja, hogy mely forrásokból tölthetők be erőforrások (mint például scriptek, képek és stíluslapok). Ez segít megakadályozni a Cross-Site Scripting (XSS), kód-becsúsztatás és hasonló támadásokat. 

A Cross-Site Scripting (XSS) támadások olyanok, amikor egy biztonsági rés kihasználása történik a CMS-ben vagy keretrendszerben, hogy kártékony scripteket töltsenek fel a webhelyedre, amelyek aztán a webhelylátogatók böngészőjébe betöltődnek. Egy példa a XSS-támadás nyitott kapuja lehet egy e-mail űrlap, amely nem úgy van kódolva, hogy csak korlátozott bemenetet tartalmazzon. Egy rosszul kódolt űrlap lehetőséget ad más bevitelre is, amelyek aztán kártékony fájlok beszúrásához vezethetnek. Egy btw rosszul kódolt űrlapban csak kifogás, miért mi, mint ügynökség sok ügyfélprojektet látunk el teljesen kapcsolati űrlapok nélkül, mert általában anélkül is jól elboldogulnak.

A CSP-Headerrel mintegy fehér listát állítasz össze az általad megbízhatónak tartott tartományokra vonatkozóan, hogy mi az, amit a webhelyed egyáltalán betölthet, és mi nem. Minden támadót, aki kártékony scripteket tölt be egy másik szerverről a megbízhatónak vélt csoporton kívül, blokkolva lesz. A Tartalom Biztonsági Politika 2016 decemberében továbbfejlesztésre került a CSP 2 szintre, amely hozzáadta az hash-forrás-t, a nonce-forrás-t és öt új direktívát. A böngésző oldaláról nézve emiatt nem várhatók problémák. 2023. szeptember 11-én a CSP 2 95 százalékban kompatibilis az összes böngészővel.

A Tartalom Biztonsági Politika létrehozása lehet erős vagy gyenge, ahogyan azt megtervezed. A beállítás az én TutKit.com oldalamon valóban a legtöbb időt vette igénybe a fejlécek közül, mivel felsorolni kellett az összes scriptet és erőforrást, amelyeket külső forrásból kell letölteni, hogy azokat felvehesd a fehér listára. A helyes beillesztés ellenőrzését megteheted a securityheaders.com oldalon, a Mozilla Observatory segítségével és a Google PageSpeed Insights terén a Best Practices szakaszban. A Mozilla szolgáltatás előnye az, hogy az URL-d egyszerre ellenőrzik további külső tesztelőeszközök is. Ha valamelyik negatívan szerepel, akkor további mélyebb kutatást végezhetsz ott.

Miért fontosak a biztonsági fejlécek?

A biztonsági fejlécek fontosak, mert segítenek csökkenteni az weboldalak és webalkalmazások támadással érhető területét, és ismert biztonsági réseket zárni. Azzal, hogy utasításokat adnak a böngészőknek arra vonatkozóan, hogy hogyan viselkedjenek a biztonság területén, hozzájárulhatnak különböző támadások megelőzéséhez vagy legalább megnehezítéséhez. Ezek tartalmazzák a XSS-támadásokat, kattintásleplezést, MIME hamisítást, és más biztonsági problémákat.

Az online áruházak, amelyek tárolják, továbbítják vagy kezelik a hitelkártya-tranzakciókat, PCI-DSS-konformnak kell lenniük. Sok PCI-DSS-audit az aktivált HSTS-t (HTTP Strict Transport Security) és egyéb biztonsági fejléceket is ellenőriz. Ha webhelyed beletartozik a PCI-szabályozásba, tehát hitelkártya-tranzakciókat végzel, és a fizetési szolgáltatódtól elvárják a PCI-szabványt, és ezt egy teszt/ellenőrzés során be kell bizonyítanod, akkor a biztonsági fejlécek beágyazása a téma.

A harmadik ok, hogy biztosítja a felhasználói élményt, ami pozitív hatással van az SEO-tevékenységedre. Erre kicsit lejjebb lesz kitéve.

Hogyan kell implementálni a biztonsági fejléceket?

A biztonsági fejlécek implementálása általában konfigurációs változtatásokat igényel a webszerver vagy a webalkalmazás szintjén. 

1. Először azonosítsa a szükséges biztonsági fejléceket: Gondolja át, mely biztonsági fejlécek a legfontosabbak az Ön webhelyére vagy webalkalmazására. A választás az Ön konkrét igényeitől és fenyegetéseitől függ. Ha csak egyetlen oldalt használ, ahol nincsenek sütik és kapcsolati űrlap, amelyek kizárólag HTML-en alapulnak, akkor a kockázat alacsonyabb, mint egy webáruháznál, amely sütiket használ, hitelkártyaadatokat, ügyféladatakat és CMS-t.

2. Állítsa be a webszervert: A legtöbb biztonsági fejlécet beállíthatja webszerverének konfigurációjának módosításával. Például az Apache-szerverek a fejléceket a .htaccess-fájlban konfigurálhatják, míg az Nginx a nginx.conf vagy az sites-available konfigurációs fájlokban használt.

3. Állítsa be a fejléceket az HTTP-válaszban: A fejléceket az Ön webhelyének vagy webalkalmazásának HTTP-válaszában kell beállítani. Általában ezt szervermodulok, scriptek vagy átviteli réteg segítségével lehet elérni.

4. Próbáld ki az implementációt: Miután hozzáadtad a biztonsági fejléceket, alaposan teszteld a weboldalad vagy webalkalmazásod, hogy biztosítsd, hogy minden a tervek szerint működik. Az online eszközök között szerepelnek olyanok is, mint a Security Headers és a Mozilla Observatory, amelyek képesek elemzőként szolgálni webhelyed biztonsági konfigurációját.

5. Tartsd naprakészen a fejléceket: Rendszeresen figyeld és frissítsd a biztonsági fejléceket annak érdekében, hogy megfeleljenek a jelenlegi legjobb gyakorlatoknak, és védettek legyenek az új fenyegetések ellen.

A Biztonsági Fejlécek implementálásának pontos módszere változhat a webszerver-technológiától és platformtól függően, ezért ajánlott az adott szerver és webalkalmazás dokumentációját konzultálni, vagy szakmai támogatást kérni. Az alábbiakban találsz egy útmutatót arról, hogyan valósítható meg Apache- és Nginx-szerverekre. Nem fejlesztőként sajnos nem olyan egyszerű, mint WordPress bővítmények segítségével konfigurálni.

Biztonsági Fejlécek beillesztése az .htaccess fájlba Apache-szervereken

A Biztonsági Fejlécek hozzáadása az .htaccess fájlhoz gyakran használt módszer az Apache webszerverek biztonságának javítására. Az .htaccess fájl lehetővé teszi számodra, hogy szerver-szintű beállításokat és konfigurációkat végezz, beleértve a biztonsági fejléceket. Itt egy lépésről lépésre útmutató, hogyan tudod beilleszteni a Biztonsági Fejléceket az .htaccess fájlba:

Mentés előtt készíts biztonsági mentést: Mentsd el az oldaladat és készíts biztonsági mentést az .htaccess fájlról, mielőtt bármilyen módosítást végrehajtanál, hogy biztosítsd, hogy véletlenül se érj hozzáférhetetlenné az oldalad.

Nyisd meg az .htaccess fájlt: Az .htaccess fájlt általában megtalálod a WordPress telepítés gyökérmappájában. Egy szövegszerkesztővel, mint a Notepad++, Dreamweaver, PHP Storm vagy Visual Studio Code, meg tudod nyitni.

Adja hozzá a Biztonsági Fejléceket: A Biztonsági Fejléceket az .htaccess fájlba a Header utasítással tudod hozzáadni. Itt van néhány gyakran használt Biztonsági Fejléc példa, és hogyan tudod őket hozzáadni:

Tartalom Biztonsági Politika (CSP):

Header always set Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src 'self' data:; style-src 'self' 'unsafe-inline';"

Tartalomtípus-opciók (X-Content-Type-Options):

Header always set X-Content-Type-Options "nosniff"

Frame-opciók (X-Frame-Options):

Header always set X-Frame-Options "DENY"

XSS-védelem (X-XSS-Protection):

Header always set X-XSS-Protection "1; mode=block"

HTTP Szigorú Szállításbiztonság (HSTS):

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

Referrer-Politika:

Header always set Referrer-Policy "strict-origin-when-cross-origin"

Végezd el az .htaccess fájl mentését: Miután hozzáadtad a kívánt Biztonsági Fejléceket, mentsd el az .htaccess fájlt, és töltsd fel a webszerveredre, ha szükséges.

Konfiguráció ellenőrzése: Győződj meg arról, hogy nincs szintaktikai hiba az .htaccess fájlban látogatva az oldalt, és figyelve az esetleges hibaüzeneteket. Online eszközöket is használhatsz a Biztonsági Fejléceid hatékonyságának ellenőrzésére.

Teszteld az oldaladat: Alaposan teszteld az oldaladat annak érdekében, hogy megbizonyosodj róla, hogy az összes funkció megfelelően működik, és hogy a Biztonsági Fejlécek megvalósítják a kívánt biztonsági intézkedéseket.

Figyelem: Az .htaccess fájlban történő Biztonsági Fejlécek hozzáadása csak Apache-szervereken működik. Ha más webszervert használsz, mint például Nginx, megfelelő konfigurációs fájlokat kell szerkeszteni ehhez a webszerverhez. Erről további információk a következő pontokban...

Biztonsági Fejlécek beillesztése Nginx-szerverekre

A Biztonsági Fejlécek hozzáadása Nginx-ben az Nginx konfigurációs fájljain keresztül történik, általában egy .conf kiterjesztésű fájlban. Itt egy lépésről lépésre útmutató, hogyan tudod beilleszteni a Biztonsági Fejléceket Nginx-be:

Végezz biztonsági mentést: Mielőtt módosításokat hajtanál végre a Nginx konfigurációdon, készíts biztonsági mentést a konfigurációs fájlokról, hogy problémák esetén visszatérhess egy működő konfigurációhoz.

Nyisd meg a Nginx konfigurációs fájlt: Az Nginx fő konfigurációs fájlja általában található egy könyvtárban, mint például /etc/nginx/ Linux rendszereken. A pontos fájl eltérő lehet a rendszertől függően, de általában úgy nevezik, mint nginx.conf vagy default vagy sites-available minden weboldalhoz.

Egy szövegszerkesztővel vagy parancssori szerkesztővel (pl.: nano, vim vagy gedit) nyisd meg a konfigurációs fájlt. A szerkesztéshez szükséged lesz rendszergazda vagy szuperuser jogosultságokra.

Adja hozzá a kívánt biztonsági fejléceket: A kívánt biztonsági fejléceket a add_header direktívák segítségével adhatod hozzá az Nginx konfigurációhoz. Íme néhány gyakran használt biztonsági fejléc példa:

Tartalom Biztonsági Irányelv (CSP):

add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src 'self' data:; style-src 'self' 'unsafe-inline';";

Tartalom Típus Opciók (X-Content-Type-Options):

add_header X-Content-Type-Options "nosniff";

Frame Opciók (X-Frame-Options):

add_header X-Frame-Options "DENY";

XSS Védelem (X-XSS-Protection):

add_header X-XSS-Protection "1; mode=block";

HTTP Szigorú Adatátviteli Biztonság (HSTS) (Figyelem: Csak akkor használd, ha a webhelyed mindig HTTPS-en keresztül érhető el):

add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";

Referrer-Politika (Referrer-Policy):

add_header Referrer-Policy "strict-origin-when-cross-origin";

Mentsd el és zárd le a konfigurációs fájlt: Miután hozzáadtad a kívánt fejléceket, mentsd el a konfigurációs fájlt és zárd le.

Ellenőrizd a konfigurációt: Az Nginx konfiguráció érvényességét a nginx -t parancs segítségével ellenőrizheted. Ha a konfiguráció érvényes, akkor egy sikeres üzenet jelenik meg.

Indítsd vagy frissítsd az Nginx-t: Miután ellenőrizted a konfigurációt, indítsd újra vagy frissítsd a Nginx szervert, hogy az új fejlécek aktiválódjanak. A szervert újraindíthatod a sudo service nginx restart parancs segítségével (Debian/Ubuntu rendszereken) vagy a sudo systemctl restart nginx parancs által (systemd-alapú rendszereken).

Teszteld a webhelyedet: Ellenőrizd a webhelyedet annak érdekében, hogy megbizonyosodj róla, hogy az összes funkció megfelelően működik, valamint hogy a biztonsági fejlécek az elképzelt biztonsági intézkedéseket végrehajtják.

Vedd figyelembe, hogy az Nginx konfigurációja rendszerről rendszerre eltérhet, különösen akkor, ha több virtuális hosztot (szerver blokkot) vagy összetettebb konfigurációt használsz. Tehát győződj meg arról, hogy a megfelelő konfigurációs fájlt módosítod, amely a webhelyedért felelős.

Wordpress Bővítmények Biztonsági Fejlécekhez

Számos WordPress bővítmény létezik, amelyek segíthetnek abban, hogy Biztonsági Fejléceket állíts be a WordPress webhelyeden. Ezek a bővítmények megkönnyítik a biztonsági intézkedések implementációját, még akkor is, ha nincs mélyreható technikai ismereted.

A "Headers Security Advanced & HSTS WP" bővítmény kifejezetten arra irányul, hogy implementálja a biztonsági fejléceket és HTTP Szigorú Adatátviteli Biztonságot (HSTS) WordPress webhelyeken. Felhasználóbarát módszert kínál ezeknek a fejléceknek és biztonsági intézkedéseknek a konfigurálására.
https://de.wordpress.org/plugins/headers-security-advanced-hsts-wp/

Íme néhány további WordPress Bővítmény, amelyek segíthetnek a Biztonsági Fejlécek beállításában:

1. WP Security Headers: Ez a bővítmény lehetővé teszi különböző biztonsági fejlécek konfigurálását a WordPress webhelyeden. Felhasználóbarát felületet kínál, és lehetővé teszi olyan fejlécek testre szabását, mint a Tartalom Biztonsági Irányelv (CSP), X-Frame-Options és még több.

2. HTTP Fejlécek: Az HTTP Fejlécek egy olyan WordPress bővítmény, amely lehetővé teszi, hogy különféle HTTP-fejléceket állíts be nagyobb biztonság és adatvédelem érdekében. A segítségével olyan fejléceket állíthatsz be, mint az X-Content-Type-Options, az X-XSS-Protection és a Referrer-Policy.

3. Biztonsági Fejlécek: Ez a bővítmény kifejezetten a Tartalom Biztonsági Irányelv (CSP) beállítására fókuszál. Egyszerű módszert kínál a webhelyedre vonatkozó CSP irányelv meghatározására és testreszabására.

4. Könnyű Biztonsági Fejlécek: Ez a bővítmény egyszerű módszert kínál fontos biztonsági fejlécek aktiválására és testreszabására WordPressben. Az olyan fejléceket tartalmazza, mint a Tartalom Biztonsági Irányelv, a Szigorú Adatátviteli Biztonság és az X-Tartalom-Típus-Opciók.

Mielőtt egy bővítményt használnál a Biztonsági Fejlécek beállításához WordPressben, győződj meg arról, hogy kompatibilis-e a WordPress verzióddal és a PHP verzióddal.

Biztonsági Fejlécek Strapi Headless CMS-hez történő Implementálása

A Strapi egy népszerű Headless-CMS (Tartalomkezelő Rendszer), amely a Node.js-re épül. Hasonlóan a WordPress-hez, a Strap

Middleware használata: A Strap

Ezen kívül a Google előnyben részesíti azokat a webhelyeket, amelyek megfelelnek az EEAT elvének, vagyis azokat, amelyek tartalmát szakértelem, tapasztalat, hatalom és megbízhatóság alapján ellenőrizték. A megbízhatóság a webhely vagy webes tartalom megbízhatóságára és hitelességére vonatkozik. A Google a megbízhatóságot olyan tényezők alapján értékeli, mint adatvédelem, biztonság és átláthatóság.

Azt, hogy biztonsági fejlécek hogyan kapcsolódnak az SEO-hoz, az öt HTTP-fejléc előnyén keresztül lehet megérteni a webhelyed és a webhelylátogatók számára:

1. Bizalom és biztonság: Egy webhely, amely biztonsági fejléceket használ, jelzi a látogatóknak és a keresőmotoroknak, hogy gondoskodik a felhasználók és az adatok biztonságáról. Ez megerősítheti a felhasználók bizalmát a weboldalban, és csökkentheti a biztonsági problémák, például adatvédelmi szivárgások és rosszindulatú támadások kockázatát.

2. Biztonsági problémák elkerülése: A biztonsági fejlécek, mint például a Tartalom-biztonságpolitika (CSP) és az X-XSS-védelem, segítenek a Cross-Site Scripting (XSS) problémák megelőzésében. A biztonsági problémákra érzékeny webhelyeket keresőmotorok megbüntethetik, vagy figyelmeztetések jelenhetnek meg a felhasználóknak, ami negatív hatással lehet az SEO-ra.

3. Javult betöltési idők: Néhány biztonsági fejléc, mint például a Szigorú Szállítási Biztonság (HSTS), hozzájárulhatnak a webhely betöltési idejének javításához, mivel kényszerítik a böngészőt a HTTPS-en keresztüli kapcsolat létesítésére. A gyorsabb betöltési idők fontos szempontot képeznek az SEO-ban, mivel a keresőmotorok, például a Google is figyelembe veszik a betöltési időt a rangsorolási szempontok között.

4. Clickjacking és phishing megelőzése: A biztonsági fejlécek, mint például a X-Frame-Options, hozzájárulhatnak a Clickjacking-támadások megelőzéséhez, amikor egy webhely tartalmát láthatatlan keretben jelenítik meg. Ez növelheti a felhasználók bizalmát a webhelyben, és csökkentheti a phishing-támadások valószínűségét.

5. HTTPS és rangsorolás: Bár nem közvetlenül kapcsolódik a biztonsági fejlécekhez, az HTTPS használata (amit a biztonsági fejlécek, mint az HSTS is támogatnak) fontos SEO-szempont. A Google már 2010-ben közölte, hogy az HTTPS-t figyelembe veszi rangsornál jelzőként, és az HTTPS-t használó webhelyek előnyt szerezhetnek az SEO-ban.

A biztonsági fejlécek használata véleményem szerint pozitívan befolyásolhatja a webhely SEO-rangsorát, de nem az egyetlen szempont, csupán egy nagyon kis része a teljes biztonsági és SEO-egyenletnek. Egy webhely, amely irreleváns tartalmakat vagy elégtelen felhasználói élményt nyújt, nem fog jobban teljesíteni a keresési eredményekben, csupán a biztonsági fejlécek hozzáadásával. Az SEO egy összetett folyamat, amely számos tényezőt figyelembe vesz, beleértve a magas minőségű tartalmat, jó felhasználói élményt, mobiloptimalizálást és még sok mást. A biztonsági fejlécek azonban fontos összetevői annak, hogy az emberek megbízzanak benned, és azt, hogy a webhely összességében biztonságosabb legyen, ami végül pozitívan befolyásolhatja a SEO-rangsort.

Vagy fordítva: Ha a webhelyed malware fertőzött és a Google figyelmeztetést jelenít meg, az közvetlenül negatívan befolyásolja a hírneved. A rangsorod csökkenni fog, és ezzel együtt minden eddigi SEO-siker is. Webhely tulajdonosaként a Google ebben az esetben jelzést is küld neked a Keresőkonziolon keresztül. Alternatív megoldásként itt tesztelheted a webhelyed malware fertőzöttségét.

Büszkék vagyunk arra, hogy egy biztonsági sprintben frissítettük biztonsági fejléceinket a legmodernebb szintre. És ezzel bekerültünk a Hírességek Csarnokába is:

Eredmény: A biztonsági fejlécek implementálása nem rakéta-tudomány, és minden weboldal indításakor figyelembe kell venni. Sajnos a legtöbb webhely tulajdonos, ügynökség és SEO szakember nem veszi figyelembe, így jó lenne, ha az SEO eszközök beépítenék az HTTP-fejlécek lekérdezését az auditjaikba. Majd meglátjuk … mindenesetre ezt a kérést már jeleztem a SEOBILITY ügyvezetőségének :-)