Header Keamanan untuk website Anda: baik untuk keamanan dan SEO.

Belajar di sini, apa itu Security Headers, bagaimana mereka bekerja, dan mengapa mereka penting untuk keamanan situs web Anda dan bagaimana Anda juga melakukan sesuatu untuk melindungi tindakan SEO Anda.

Artikel bantuan tentang Security Headers mencakup topik-topik berikut:

Apa itu Security Headers?

Security Headers adalah Header HTTP yang digunakan dalam halaman web dan aplikasi web untuk meningkatkan keamanan dan perlindungan dari berbagai jenis serangan dan kerentanan keamanan. Mereka menyediakan lapisan keamanan penting untuk melindungi pengguna dan data dari ancaman.

Jika Anda bertanya-tanya apakah Anda membutuhkannya, Anda dapat menguji keamanan situs web Anda dengan alat online. Anda dapat melakukannya di securityheaders.com. Masukkan URL Anda di sana.

Anda kemungkinan akan mendapatkan hasil D atau F. Sebagian besar situs web awalnya mendapat penilaian buruk karena keamanan untuk situs web bukanlah perhatian utama bagi sebagian besar pengembang dan agensi dalam pembuatan atau pembaruan situs web. Bagaimana cara mengimplementasikan Security Headers (bahkan bagi mereka yang bukan pengembang), akan dijelaskan di bawah. Tetapi setidaknya sekarang Anda sudah tahu bahwa secara umum Anda perlu melakukan tindakan.

Bagaimana Security Headers Bekerja?

Security Headers adalah bagian dari respon HTTP yang dikirim oleh server web kepada browser saat permintaan dikirim ke halaman web atau aplikasi web. Header ini berisi instruksi dan informasi yang memberi tahu browser bagaimana berperilaku terkait dengan keamanan dan privasi. Berikut adalah beberapa header keamanan penting dan cara kerjanya:

Seluler Keamanan Transport Ketat (HSTS)

HSTS memaksa browser untuk mengatur dan mempertahankan koneksi ke situs web melalui HTTPS untuk mencegah serangan Man-in-the-Middle.

Banyak situs web hanya memiliki pengalihan 301 dari HTTP ke HTTPS. Banyak tautan dalam konten situs web masih menggunakan HTTP. Jika seseorang mengeklik tautan semacam itu, halaman HTTP akan dimuat terlebih dahulu dan pengalihan 301 akan diaktifkan. Atau jika Anda hanya menuliskan domain-anda.com di peramban tanpa menambahkan bagian https, yang kemungkinannya besar banyak orang lakukan, terdapat kemungkinan serangan Man-in-the-Middle. 

HSTS mencegah seorang penyerang menurunkan koneksi HTTPS menjadi koneksi HTTP, yang dapat dieksploitasi oleh penyerang untuk mengarahkan pengalihan yang tidak aman. Ini mengharuskan pemuatan melalui koneksi HTTPS yang aman.

X-Content-Type-Options

Header ini mengontrol apakah browser mencoba menebak jenis MIME dari sumber daya jika tipe yang dinyatakan tidak benar. Ini membantu mencegah serangan MIME-Spoofing karena hanya gaya dan skrip dengan jenis MIME yang benar yang akan dimuat. Latar belakangnya: Peramban dapat "mencium" apakah konten adalah teks, gambar (.png), video (.mp4), atau HTML, JavaScript, dan jenis konten lain yang dapat diunduh dari situs web.

Penggunaan "X-Content-Type-Options: nosniff" adalah tindakan keamanan penting karena membantu mencegah beberapa vektor serangan seperti Cross-Site Scripting (XSS). Dalam serangan XSS - lihat juga di bagian bawah - seorang penyerang dapat mencoba menyisipkan kode JavaScript jahat ke dalam sumber daya seperti PDF dengan memperdaya peramban untuk berpikir bahwa itu adalah PDF dan kemudian memaksa peramban untuk menjalankan file sebagai JavaScript, bahkan jika tipe MIME sebenarnya menunjukkan sesuatu yang berbeda, dalam kasus ini PDF.

Hal ini memiliki dampak negatif pada pengunjung situs web, terutama dalam serangan unduh sekilas, di mana malware diinstal di komputer pengunjung.

Penggunaan "nosniff" terutama penting dalam kaitannya dengan tindakan keamanan lain seperti Content Security Policy (CSP) untuk meningkatkan keamanan aplikasi web dan mengurangi kerentanannya. Header ini biasanya harus diaktifkan di respon HTTP untuk semua sumber daya (misalnya file HTML, JavaScript, CSS) di situs web.

X-Frame-Options

Header ini mencegah situs web dimuat dalam bingkai HTML atau iframe, untuk mencegah serangan Clickjacking. Penggunaan "X-Frame-Options" merupakan tindakan keamanan penting untuk mencegah serangan Clickjacking, di mana seorang penyerang mencoba memuat situs web dalam bingkai yang tidak terlihat dan memanfaatkan klik mouse pengguna. Dengan mengatur header ini, pemilik situs web dapat mengontrol cara situs web mereka disematkan dalam bingkai.

Harap dicatat bahwa "X-Frame-Options" dianggap sebagai metode lama untuk mencegah Clickjacking. Pendekatan yang lebih modern adalah dengan menggunakan Header "Content Security Policy" (CSP), yang juga dapat mencegah Clickjacking dan mencakup aspek keamanan lainnya. Lebih lanjut tentang hal ini di bawah.

X-XSS-Protection

Header ini mengaktifkan atau menonaktifkan perlindungan XSS bawaan dari peramban. 

Kebijakan Referrer

"Kebijakan Referrer" adalah HTTP header yang dikirim oleh server web untuk menentukan bagaimana browser web harus menangani informasi di bidang "Referrer" dari permintaan HTTP. "Referrer" adalah sebuah bidang header HTTP yang biasanya menunjukkan URL halaman sebelumnya yang digunakan pengguna untuk navigasi ke halaman saat ini. "Kebijakan Referrer" memberikan cara bagi pemilik situs web untuk mengontrol bagaimana informasi Referrer disebarkan ke situs web lain dan melindungi privasi pengguna. Penting diketahui untuk semua orang yang menghasilkan uang secara online dari konten mereka: Kebijakan Referrer tidak berdampak pada tautan afiliasi.

Kebijakan Keamanan Konten (CSP)

Header CSP menentukan dari sumber mana sumber daya (seperti skrip, gambar, dan stylesheet) boleh dimuat. Ini membantu mencegah Cross-Site Scripting (XSS), Injeksi Kode, dan serangan serupa. 

Serangan Cross-Site Scripting (XSS) dirancang untuk mengeksploitasi celah keamanan di CMS atau framework Anda untuk mengunggah skrip jahat ke situs web Anda yang kemudian dimuat di browser pengunjung situs web Anda. Sebuah titik masuk untuk serangan XSS bisa saja formulir email yang tidak dikodekan dengan baik sehingga hanya harapan input terbatas. Formulir yang dikodekan buruk dapat memungkinkan input lain yang dapat menyebabkan penyisipan file berbahaya. Nah, inilah salah satu alasan mengapa kami sebagai agensi mengemas banyak proyek klien tanpa formulir kontak, karena biasanya mereka bisa memenuhi kebutuhan mereka dengan baik.

Dengan header CSP Anda, Anda menentukan melalui daftar Domain seperti whitelist, apa yang boleh dan tidak boleh dimuat oleh situs web Anda. Setiap penyerang yang mengunduh skrip jahat dari server lain di luar grup terpercaya ini akan diblokir. Pada bulan Desember 2016, Kebijakan Keamanan Konten ditingkatkan lagi dengan CSP Level 2, yang menambahkan sumber-hash, sumber-nonce dan lima direktif baru. Tidak diharapkan adanya masalah di sisi peramban karena itu. Pada 11 September 2023, CSP 2 kompatibel dengan 95 persen dari semua peramban.

Pembuatan Kebijakan Keamanan Konten dapat menjadi kuat atau lemah, tergantung pada bagaimana Anda melakukannya. Pada TutKit.com, penyusunan bagian Header sebenarnya memakan waktu paling lama karena semua skrip dan sumber daya harus terdaftar yang akan diunduh dari luar dan ditempatkan ke dalam whitelist. Anda dapat memeriksa keabsahan pemasangan tersebut melalui securityheaders.com, dengan Mozilla Observatory, dan juga melalui Google PageSpeed Insights dalam bagian Praktik Terbaik. Keuntungan dari layanan Mozilla adalah bahwa URL Anda juga diuji oleh alat uji eksternal lainnya. Jika salah satunya menunjukkan hasil negatif, Anda dapat melakukan penelitian lebih lanjut di sana.

Mengapa Header Keamanan Penting?

Header Keamanan penting karena membantu mengurangi bidang serangan pada situs web dan aplikasi web serta menutup kerentanan keamanan yang dikenal. Dengan memberikan instruksi kepada peramban tentang bagaimana seharusnya mereka berperilaku dalam hal keamanan, mereka dapat membantu mencegah berbagai jenis serangan atau setidaknya mempersulitnya. Ini meliputi serangan XSS, Clickjacking, MIME-Spoofing, dan masalah keamanan lainnya.

Toko online yang menyimpan, mentransmisikan, atau memproses transaksi kartu kredit harus sejalan dengan PCI-DSS. Banyak audit PCI-DSS juga memeriksa HSTS yang diaktifkan (HTTP Strict Transport Security) dan header keamanan lainnya. Jika situs web Anda termasuk dalam Compliance PCI, jika Anda memproses pembayaran kartu kredit, dan penyedia pembayaran Anda mengharapkan sertifikasi PCI dari Anda dan Anda harus membuktikannya melalui tes/audit, maka paling tidak saat itu pemasangan Header Keamanan akan menjadi topik bagi Anda.

Sebagai alasan ketiga, pengalaman pengguna Anda akan terjamin, yang akan memberi dampak positif pada upaya SEO Anda. Lebih lanjut tentang hal ini bisa Anda baca di bawah.

Bagaimana Cara Mengimplementasikan Header Keamanan?

Implementasi Header Keamanan biasanya memerlukan perubahan konfigurasi pada level server web atau aplikasi web. 

1. Identifikasi terlebih dahulu Header Keamanan yang diperlukan: Pertimbangkan Header Keamanan mana yang paling penting untuk situs web atau aplikasi web Anda. Pemilihan ini tergantung pada persyaratan dan ancaman spesifik Anda. Jika Anda hanya memiliki halaman satu dengan tidak ada cookie dan formulir kontak, yang sepenuhnya didasarkan pada HTML, risiko Anda lebih rendah daripada toko online dengan cookie, transfer data kartu kredit, data pelanggan dan CMS.

2. Konfigurasi server web: Anda dapat menambahkan sebagian besar Header Keamanan dengan menyesuaikan konfigurasi server web Anda. Misalnya, server Apache dapat mengkonfigurasi Header di file .htaccess, sementara Nginx digunakan dalam file konfigurasi nginx.conf atau sites-available.

3. Atur Header dalam respons HTTP: Header harus diatur dalam respons HTTP situs web atau aplikasi web Anda. Ini biasanya dapat dilakukan melalui modul server, skrip, atau middleware.

4. Uji implementasi: Setelah menambahkan header keamanan, Anda harus menguji situs web atau aplikasi web Anda secara menyeluruh untuk memastikan semuanya berfungsi seperti yang diharapkan. Ada juga alat online seperti Security Headers dan Mozilla Observatory yang dapat menganalisis konfigurasi keamanan situs web Anda.

5. Jaga header tetap terbaru: Pantau dan perbarui header keamanan secara berkala untuk memastikan bahwa mereka sesuai dengan praktik terbaik saat ini dan terlindungi dari ancaman baru.

Cara yang tepat untuk menerapkan Security Headers dapat bervariasi tergantung pada teknologi server web dan platform, oleh karena itu disarankan untuk merujuk dokumentasi server dan aplikasi web Anda atau mendapatkan bantuan profesional jika diperlukan. Berikut adalah panduan tentang cara melakukannya pada server Apache dan Nginx. Sayangnya, bagi non-pengembang, tidak semudah mengatur melalui plugin WordPress.

Menambahkan Security Headers melalui .htaccess pada server Apache

Menambahkan Security Headers melalui file .htaccess adalah metode umum yang digunakan untuk meningkatkan keamanan situs web pada server web Apache. File .htaccess memungkinkan Anda untuk menetapkan pengaturan dan konfigurasi di level server, termasuk header keamanan. Berikut adalah panduan langkah demi langkah bagaimana Anda dapat menyertakan Security Headers melalui file .htaccess:

Backup file: Cadangkan situs web Anda dan buat salinan file .htaccess sebelum melakukan perubahan untuk memastikan bahwa Anda tidak secara tidak sengaja membuat situs web tidak dapat diakses.

Buka file .htaccess: Anda biasanya dapat menemukan file .htaccess di direktori akar instalasi WordPress Anda. Anda dapat membukanya dengan editor teks seperti Notepad++, Dreamweaver, PHP Storm, atau Visual Studio Code.

Tambahkan Security Headers: Untuk menambahkan Security Headers, gunakan pernyataan Header dalam file .htaccess. Berikut adalah beberapa contoh Security Headers yang sering digunakan beserta cara mengatakannya:

Content Security Policy (CSP):

Header always set Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src 'self' data:; style-src 'self' 'unsafe-inline';"

X-Content-Type-Options:

Header always set X-Content-Type-Options "nosniff"

X-Frame-Options:

Header always set X-Frame-Options "DENY"

X-XSS-Protection:

Header always set X-XSS-Protection "1; mode=block"

HTTP Strict Transport Security (HSTS):

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

Referrer-Policy:

Header always set Referrer-Policy "strict-origin-when-cross-origin"

Simpan file .htaccess: Setelah Anda menambahkan Security Headers yang diinginkan, simpan file .htaccess dan unggah ke server web Anda jika diperlukan.

Periksa konfigurasi: Pastikan tidak ada kesalahan sintaks dalam file .htaccess dengan mengunjungi situs web dan memperhatikan pesan kesalahan yang mungkin muncul. Anda juga dapat menggunakan alat online untuk memeriksa efektivitas Security Headers Anda.

Uji situs web Anda: Periksa situs web Anda dengan cermat untuk memastikan semua fitur berfungsi dengan baik dan bahwa Security Headers menerapkan langkah-langkah keamanan yang diinginkan.

Harap dicatat bahwa menambahkan Security Headers melalui file .htaccess hanya berlaku untuk server Apache. Jika Anda menggunakan server web lain seperti Nginx, Anda perlu mengedit file konfigurasi yang sesuai untuk server web tersebut agar Security Headers dapat ditetapkan. Lebih lanjut tentang hal ini akan dijelaskan selanjutnya ...

Menyertakan Security Headers pada server Nginx

Menambahkan Security Headers di Nginx dilakukan melalui file konfigurasi Nginx, biasanya dalam file dengan ekstensi .conf. Berikut adalah panduan langkah demi langkah bagaimana Anda dapat menyertakan Security Headers di Nginx:

Lakukan backup: Sebelum melakukan perubahan pada konfigurasi Nginx Anda, buatlah salinan cadangan dari file konfigurasi untuk memastikan bahwa Anda dapat kembali ke konfigurasi berfungsi jika terjadi masalah.

Buka file konfigurasi Nginx: File konfigurasi utama Nginx biasanya berada di direktori seperti /etc/nginx/ pada sistem Linux. File yang tepat dapat berbeda dari satu sistem ke sistem lain, namun biasanya dinamai nginx.conf atau default atau sites-available untuk setiap situs web.

Gunakan editor teks atau editor baris perintah (seperti nano, vim atau gedit) untuk membuka file konfigurasi. Anda memerlukan izin root atau superuser untuk dapat mengedit file tersebut.

Tambahkan Security Headers yang diinginkan: Anda dapat menambahkan Security Headers yang diinginkan dengan bantuan direktif add_header ke konfigurasi Nginx Anda. Berikut contoh-contoh beberapa Security Headers yang sering digunakan:

Kebijakan Keamanan Konten (CSP):

add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src 'self' data:; style-src 'self' 'unsafe-inline';";

Opsi Jenis Konten-X:

add_header X-Content-Type-Options "nosniff";

Opsi Frame-X:

add_header X-Frame-Options "DENY";

Proteksi X-XSS:

add_header X-XSS-Protection "1; mode=block";

Keamanan Transportan Ketat HTTP (HSTS) (Perhatian: Hanya gunakan jika situs web Anda selalu dapat diakses melalui HTTPS):

add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";

Kebijakan Referrer:

add_header Referrer-Policy "strict-origin-when-cross-origin";

Simpan dan tutup file konfigurasi: Setelah Anda menambahkan header yang diinginkan, simpan dan tutup file konfigurasi tersebut.

Periksa kemudian konfigurasi: Anda dapat memeriksa keabsahan konfigurasi Nginx dengan perintah nginx -t. Jika konfigurasi valid, pesan sukses akan muncul.

Mulai atau perbarui Nginx: Setelah Anda memeriksa konfigurasi, mulai atau perbarui server Nginx agar header baru diaktifkan. Anda dapat me-restart server dengan perintah sudo service nginx restart (di Debian/Ubuntu) atau sudo systemctl restart nginx (di sistem berbasis systemd).

Uji situs web Anda: Periksa situs web Anda untuk memastikan bahwa semua fungsi berjalan dengan baik dan bahwa Security Headers menerapkan langkah-langkah keamanan yang diinginkan.

Perhatikan bahwa konfigurasi Nginx dapat berbeda dari satu sistem ke sistem lain, terutama jika Anda menggunakan beberapa host virtual (blok server) atau konfigurasi yang lebih kompleks. Pastikan Anda mengedit file konfigurasi yang benar untuk situs web Anda.

Plugin untuk WordPress untuk Security Headers

Ada berbagai plugin WordPress yang dapat membantu Anda menyiapkan Security Headers di situs web WordPress Anda. Plugin-plugin ini memudahkan implementasi langkah-langkah keamanan, bahkan jika Anda tidak memiliki pengetahuan teknis yang dalam.

Plugin "Headers Security Advanced & HSTS WP" difokuskan pada header keamanan dan HTTP Strict Transport Security (HSTS) di situs web WordPress. Ini menyediakan cara yang ramah pengguna untuk mengonfigurasi header dan langkah-langkah keamanan ini.
https://de.wordpress.org/plugins/headers-security-advanced-hsts-wp/

Berikut beberapa Plugin WordPress lain yang dapat membantu Anda dalam Menyiapkan Security Headers:

1. WP Security Headers: Plugin ini memungkinkan Anda mengonfigurasi berbagai Security Headers di situs web WordPress Anda. Ini menyediakan antarmuka yang ramah pengguna dan memungkinkan Anda menyesuaikan header seperti Content Security Policy (CSP), X-Frame-Options, dan lainnya.

2. HTTP Headers: HTTP Headers adalah plugin WordPress yang memungkinkan Anda menetapkan berbagai header HTTP untuk keamanan dan privasi yang lebih baik. Anda dapat mengonfigurasi header seperti X-Content-Type-Options, X-XSS-Protection, dan Referrer-Policy menggunakan plugin ini.

3. Security Headers: Plugin ini fokus pada konfigurasi Kebijakan Keamanan Konten (CSP). Ini menyediakan cara yang mudah untuk menetapkan dan menyesuaikan kebijakan CSP untuk situs web Anda.

4. Easy Security Headers: Plugin ini memberikan cara mudah untuk mengaktifkan dan mengonfigurasi Security Headers penting di WordPress. Ini mencakup header seperti Content Security Policy, Strict-Transport-Security, dan X-Content-Type-Options.

Sebelum menggunakan plugin untuk menyiapkan Security Headers di WordPress, pastikan kompatibel dengan versi WordPress dan versi PHP Anda.

Security Headers untuk mengimplementasikan CMS Headless Strapi

Strapi adalah CMS Headless (Content Management System) populer yang berbasis Node.js. Sama seperti WordPress, Anda juga dapat mengimplementasikan Security Headers untuk Strapi. Konfigurasi Security Headers di Strapi biasanya dilakukan pada tingkat yang lebih dalam karena ini adalah aplikasi berbasis server. Berikut langkah-langkah untuk menyiapkan Security Headers di aplikasi Strapi:

Menggunakan Middleware: Di Strapi, kamu bisa menggunakan middleware untuk mengatur header HTTP. Kamu bisa membuat middleware khusus yang menambahkan Security Headers yang diinginkan ke dalam respons HTTP. Berikut adalah contoh bagaimana cara melakukannya:

1. Buat sebuah file, misalnya security-headers.js, di direktori middleware kamu

module.exports = (strapi) => {
return {
initialize() {
strapi.app.use(async (ctx, next) => {

2. Tentukan Security Headers yang diinginkan

ctx.set('Content-Security-Policy', "default-src 'self'"); ctx.set('X-Content-Type-Options', 'nosniff'); ctx.set('X-Frame-Options', 'DENY'); ctx.set('X-XSS-Protection', '1; mode=block'); ctx.set('Strict-Transport-Security', 'max-age=63072000; includeSubDomains; preload'); ctx.set('Referrer-Policy', 'strict-origin-when-cross-origin');

3. Panggil langkah middleware berikutnya

await next(); 
}); 
},
};
};

Registrasi Middleware: Setelah membuat middleware, kamu harus mendaftarkannya di file middleware.js dalam aplikasi Strapi kamu untuk memastikan bahwa ia dijalankan setiap kali ada HTTP Request.

module.exports = {
settings: {

Pengaturan lainnya ...

},
middleware: {

Middleware lainnya ...

securityHeaders: { 
enabled: true, 
},
},
};

Customisasi dan pengujian: Sesuaikan nilai-nilai header dalam middleware sesuai kebutuhan kamu. Pastikan header teratur dengan menguji aplikasi dan menggunakan tools seperti Security Header Checker.

Periksa konfigurasi server: Selain pengaturan middleware di Strapi, penting untuk memastikan bahwa server web kamu (misalnya Nginx atau Apache) juga tidak mengatur header yang bertentangan yang mungkin akan menimpa header yang ditetapkan oleh Strapi.

Pelaksanaannya dapat bervariasi tergantung pada setup Strapi dan server tertentu kamu. Cara implementasi alternatif juga dapat dilakukan melalui config/app.js pada Strapi CMS. Namun, penggunaan middleware memberikan kontrol dan fleksibilitas yang lebih besar.

Begini tampilannya di situs web agen kami 4eck-media.de, yang menggunakan CMS Headless Strapi:

Alat Uji untuk Header Keamanan dan Kerentanan Situs Web

Jika kamu telah mengimplementasikan Security Headers, pastikan untuk melakukan uji fungsi dengan situs web kamu menggunakan berbagai browser dan perangkat. Gunakan juga kedua alat uji berikut untuk memeriksa apakah semuanya terpasang dengan benar:

• securityheaders.com => alat ini khusus menguji Security Headers. Lihat tangkapan layar di atas.
• securityscan.getastra.com => alat ini menguji lebih dari 140 kerentanan keamanan dan termasuk Security Headers.

Saat melakukan Health-Check melalui https://securityscan.getastra.com/, nilai 90/100 telah diperoleh untuk tutkit.com:

Seperti yang terlihat, masih ada sedikit perbaikan yang perlu dilakukan, meskipun semuanya sudah berjalan baik. Di sisi kami, ini terkait dengan modul tertentu yang mengeluarkan JavaScript secara berbeda dari kebutuhan keamanan untuk praktik terbaik. Dengan pembaruan besar berikutnya pada kerangka kerja JavaScript kita vue.js dan modul Laraberg dari TutKit.com, kami juga akan menangani masalah tersebut.

Apakah Security Headers Penting untuk Optimisasi Mesin Pencari (SEO)?

Terdapat korelasi antara Security Headers dan SEO (Optimisasi Mesin Pencari), meskipun hubungan tersebut cenderung bersifat tidak langsung.

Pada Mei 2020, Google menyatakan bahwa mulai tahun 2021, Page Experience akan menggabungkan tujuh faktor berbeda dan membentuk gambaran yang komprehensif tentang kualitas dalam pengalaman situs web.

HTTPS dan Safe Browsing termasuk dalam faktor-faktor primer yang memberikan sinyal positif untuk Page Experience. Penggunaan HTTPS juga disebut sebagai faktor peringkat oleh Google. Hal yang sama berlaku juga untuk Safe Browsing pada awalnya. Namun pada Agustus 2021, Google mengubah pendapatnya dan menyatakan bahwa Safe Browsing sekarang tidak lagi dianggap sebagai faktor peringkat, karena banyak pemilik situs web tidak bertanggung jawab atas tindakan peretasan.  

Pada PageSpeed Insights serta uji Lighthouse melalui Dev-Tools di browser Chrome, kamu akan melihat rekomendasi untuk Safe Browsing. Oleh karena itu, dapat diasumsikan bahwa Safe Browsing dalam SEO masih relevan:

Selain itu, Google memberi bobot lebih tinggi pada situs web yang memenuhi prinsip EEAT, yang berarti kontennya divalidasi berdasarkan keahlian (Expertise), Pengalaman (Experience), Otoritas (Authority), dan Kepercayaan (Trustworthiness). Kepercayaan ini berkaitan dengan keandalan dan kredibilitas sebuah situs web atau konten web. Google menilai kepercayaan berdasarkan faktor-faktor seperti privasi, keamanan, dan transparansi.

Bagaimana hubungan Header Keamanan dengan SEO dapat dipahami dari lima manfaat header HTTP untuk situs web Anda dan pengunjung situs web Anda:

1. Kepercayaan dan Keamanan: Situs web yang menggunakan header keamanan memberi sinyal kepada pengunjung dan mesin telusur bahwa mereka peduli terhadap keamanan pengguna dan data mereka. Hal ini dapat meningkatkan kepercayaan pengguna terhadap situs web dan mengurangi risiko masalah keamanan seperti kebocoran data dan serangan malware.

2. Pencegahan Masalah Keamanan: Security Headers, seperti Content Security Policy (CSP) dan X-XSS-Protection, membantu mencegah kerentanan keamanan yang diketahui seperti Cross-Site Scripting (XSS). Situs web yang rentan terhadap masalah keamanan dapat dikenai hukuman oleh mesin telusur atau muncul dalam peringatan kepada pengguna, yang dapat berdampak negatif pada SEO.

3. Waktu Muat yang Lebih Baik: Beberapa Security Headers, seperti HTTP Strict Transport Security (HSTS), dapat membantu meningkatkan waktu muat situs web, karena mereka memaksa browser untuk membuat koneksi melalui HTTPS. Waktu muat yang lebih cepat adalah faktor penting dalam SEO, karena mesin telusur seperti Google mempertimbangkan waktu muat sebagai kriteria peringkat.

4. Mencegah Clickjacking & Phishing: Security Headers seperti X-Frame-Options dapat membantu mencegah serangan Clickjacking, di mana konten situs web ditampilkan dalam bingkai yang tidak terlihat. Hal ini dapat meningkatkan kepercayaan pengguna terhadap situs web dan mengurangi kemungkinan serangan phishing.

5. HTTPS dan Peringkat: Meskipun tidak langsung terkait dengan Security Headers, penggunaan HTTPS (dipromosikan oleh header keamanan seperti HSTS) adalah faktor penting dalam SEO. Google telah mengumumkan sejak tahun 2010 bahwa HTTPS akan dipertimbangkan sebagai sinyal peringkat, dan situs web dengan HTTPS dapat memiliki keunggulan SEO.

Menggunakan Security Headers dapat secara positif memengaruhi peringkat SEO sebuah situs web menurut pendapat saya, namun hal ini bukan satu-satunya kriteria, melainkan hanya bagian kecil dari keseluruhan persamaan keamanan dan SEO. Sebuah situs web yang menawarkan konten yang tidak relevan atau pengalaman pengguna yang kurang memuaskan tidak akan secara otomatis meraih peringkat lebih tinggi dalam hasil pencarian hanya dengan menambahkan Security Headers. SEO adalah proses kompleks yang mempertimbangkan banyak faktor, termasuk konten berkualitas tinggi, pengalaman pengguna yang baik, optimisasi mobile, dan banyak lagi. Namun, Security Headers merupakan komponen penting untuk memperoleh kepercayaan pengguna dan membuat situs web lebih aman secara keseluruhan, yang pada akhirnya dapat berdampak positif pada peringkat SEO.

Atau sebaliknya: Jika situs web Anda terinfeksi malware dan Google memberikan peringatan kepada pengunjung situs web, hal ini akan langsung berdampak negatif pada reputasi Anda. Peringkat Anda akan turun dan dengan demikian juga semua keberhasilan SEO sebelumnya. Sebagai pemilik situs web, Anda akan menerima pemberitahuan dari Google melalui Search Console dalam hal ini. Alternatifnya, Anda juga dapat memeriksa situs web Anda terinfeksi malware di sini: Test Malware di Situs Web Anda.

Kami bangga telah membawa Security Headers kami ke standar terbaru dalam satu Sprint Keamanan. Dengan demikian, kami juga masuk ke dalam Hall of Fame:

Kesimpulan: Mengimplementasikan Security Headers bukanlah hal yang sulit dan seharusnya dipertimbangkan setiap kali meluncurkan situs web. Sayangnya, kebanyakan pemilik situs web, agensi, dan ahli SEO tidak memiliki pengetahuan tentang hal ini, sehingga akan baik jika alat SEO menyertakan pengecekan header HTTP dalam audit mereka. Kita akan lihat... setidaknya saya sudah menyampaikan permintaan ini kepada pemimpin di SEOBILITY :-)