Aizsardzības galvenes jūsu vietnei: labas drošībai un SEO.

Aizsardzības galvenes jūsu vietnei: labi drošībai un SEO.

Matthias Petri
Publicēts:

Šeit uzzini, kas ir Drošības galvenes, kā tās strādā un kāpēc tās ir svarīgas tavas tīmekļa vietnes drošībai, un kā ar tām arī kaut ko dari savu SEO pasākumi.

Drošības galvendam raksturam ietvertie palīdzības raksti apvieno šādas tēmas:

    Kas ir Drošības galvenes?

    Drošības galvenes ir HTTP galvenes, kas tiek izmantotas tīmekļa vietnēs un tīmekļa lietojumprogrammās, lai uzlabotu aizsardzību pret dažāda veida uzbrukumiem un drošības plaisām. Tās sniedz svarīgu drošības līmeni, lai aizsargātu lietotājus un datus no draudiem.

    Ja tev ir šaubas, vai tas tev vispār ir nepieciešams, vari ar tiešsaistes rīku pārbaudīt esošo drošību. To var izdarīt ar securityheaders.com. Tur ievadi savu URL.

    Drošības galvene vietnē TutKit.com

    Kā darbojas Drošības galvenes?

    Drošības galvenes ir sastāvdaļa no HTTP atbildes, ko webserveris nodošanai pārlūkam, kad nosūta vaicājumu uz tīmekļa vietni vai lietojumprogrammu. Šīs galvenes satur norādījumus un informāciju, kas paziņo pārlūkam, kā tam jāuzvedas, attiecībā uz drošību un privātumu. Šeit ir dažas svarīgas Drošības galvenes un kā tās darbojas:

    HTTP Stingra Transporta Drošība (HSTS)

    HSTS spiež pārlūku nodibināt un uzturēt savienojumu ar vietni caur HTTPS, lai novērstu Midens uzbrukumus.

    Dažas vietnes ir iekļāvušas tikai 301 pāradresēšanu no HTTP uz HTTPS. Dažos tīmekļa vietņu saturiskajos saitēs joprojām ir norādes uz HTTP. Ja lietotājs noklikšķina uz tādas saites, vispirms tiek ielādēts HTTP lapa, un tad tiek aktivizēta 301 pāradresācija. Vai arī, ja vienkārši vārdu-sajūtu.com ievadīsi pārlūkā, lai piekļūtu tīmekļa vietnei, neievadot HTTPS daļu, kas lielākajai daļai būs domāts, pastāv Midens uzbrukuma iespēja.

    HSTS novērš iespēju, ka uzbrucējs pārveidos HTTPS savienojumu par HTTP savienojumu, kas ļauj uzbrucējam izmantot nesavaldītas pāradresācijas. Tādējādi tiek spiesta ielādēšana caur drošu HTTPS savienojumu.

    X-Satura-Tipu-Opcijas

    Šī galva nosaka, vai pārlūks mēģina uzminēt resursa MIME tipu, ja norādītais tips nav pareizs. Tas palīdz novērst MIME-Spoofing uzbrukumus, jo stilus un skriptus ielādē tikai ar pareizu MIME tipu. Par fonu: pārlūki var "saprast", vai saturs ir teksts, attēls (.png), video (.mp4) vai HTML, JavaScript un citi satura veidi, kas var tikt lejupielādēti no vietnes.

    Lietojot "X-Satura-Tipu-Opcijas: nosniff", tas ir svarīgs drošības pasākums, jo tas palīdz novērst noteiktus uzbrukumu vektorus, piemēram, caurspīdīgo vietņu skriptēšanu (XSS). Caurspīdīgas vietņu skriptēšanas uzbrukumos - skatīt vēlāk - uzbrucējs var censties ievietot ļaunprātīgu JavaScript kodu resursā kā PDF, liekot pārlūkam uzdoties, ka tas ir PDF, un tad piespiežot pildīt failu kā JavaScript, pat ja MIME tips faktiski norāda uz ko citu, teiksim, PDF.

    Tam ir vairākas negatīvas sekas vietnes apmeklētājam, īpaši, ja ir runa par tā sauktu netīra lejupielādes uzbrukumu, kur tad tiek uzstādīta kaitīga programmatūra apmeklētāja datorā.

    "nosniff" lietošana ir īpaši svarīga sadarbībā ar citiem drošības pasākumiem, piemēram, Satura Drošības Politikas (CSP), lai palielinātu tīmekļa lietojumprogrammu drošību un samazinātu uzbrukumu virzienus. Šai galvenei parasti jābūt aktivizētai visos vietnes resursu (piemēram, HTML, JavaScript, CSS faili) HTTP atbildēs.

    X-Ietvars-Opcijas

    Šī galva novērš tīmekļa vietnes parādīšanu HTML ietvarā vai ietvarā, lai novērstu Clickjacking uzbrukumus. "X-Ietvars-Opcijas" lietošana ir svarīga drošības pasākums, lai novērstu Clickjacking uzbrukumus, kad uzbrucējs cenšas ielādēt tīmekļa vietni neredzamajā ietvarā un izmanto lietotāju klikšķus. Iestatot šo galvu, vietnes īpašnieki var kontrolēt veidu, kādā viņu vietne tiek iegultota ietvaros.

    Jāņem vērā, ka "X-Ietvars-Opcijas" tiek uzskatītas par vecāku metodi Clickjacking novēršanai. Modernāks pieejas veids ir izmantot "Satura Drošības Politikas" galveni (CSP), kas arī var novērst Clickjacking un papildus aptver citus drošības aspektus. Par to vairāk zemāk.

    X-XSS-Aizsardzība

    Šī galva aktivizē vai deaktivē pārlūkprogrammas iebūvēto XSS aizsardzību.

    Uzvākšanas politika

    "Uzvākšanas politika" ir HTTP galvene, ko nosūta serveri, lai norādītu, kā pārlūkam jārīkojas ar informāciju HTTP pieprasījuma "Uzvācējs" laukā. "Uzvācējs" ir HTTP galvenes lauks, kas parasti norāda uz iepriekšējās lapas URL, no kuras lietotājs ir pārnācis uz pašreizējo lapu. "Uzvākšanas politika" sniedz iespēju vietnes operatoriem kontrolēt uzvācēju informācijas nodošanu citām vietnēm un aizsargāt lietotāju privātumu. Vērts zināt visiem, kuri internetā ar saviem saturu pelna naudu: Uzvākšanas politika neietekmē filiāles saites.

    Satura drošības politika (CSP)

    CSP galvenes nosaka, no kādiem avotiem resursi (piemēram, skripti, attēli un stilu lapas) ir atļauti ielādēt. Tas palīdz novērst krustu lapu skriptēšanu (XSS), koda injekcijas un līdzīgas uzbrukumu veidus. 

    Krustu lapu skriptēšanas (XSS) uzbrukumi tiek veidoti tā, lai izmantotu drošības caurumu jūsu CMS vai ietvarā, lai augšupielādētu ļaunīgus skriptus uz jūsu vietni, kas tiks ielādēti jūsu vietnes apmeklētāju pārlūkā. XSS uzbrukuma vārti var būt, piemēram, e-pasta veidlapa, kas nav kodēta tā, lai tiek sagaidīta tikai ierobežota ievade. Slikta kodēta veidlapa var pieļaut citu ievadi, kas var novest pie ļaunu failu ievades. Tas ir, starp citu, arī iemesls, kāpēc mēs kā aģentūra daudzas klienta projektus pilnīgi neaprīkojam ar saraksti, jo parasti var iztikt bez tās labi.

    Ar savu CSP galveni tu ar kādu balto sarakstu domēnu palīdz nosaka, ko tava vietne vispār drīkst ielādēt un ko ne. Katrs uzbrucējs, kas lejupielādē ļaunīgus skriptus no cita servera ārpus šī uzticamā grupas, tiks bloķēts. 2016. gada decembrī Drošības satura politika tika attīstīta tālāk ar CSP 2. līmeni, kurā tika pievienotas hash-source, nonce-source un piecas jaunas direktīvas. Pārlūkošanas laicīgās problēmas nav gaidāmas. Stāvoklī uz 2023. gada 11. septembri CSP 2 ir saderīgs ar 95% visiem pārlūkiem.

    Saderība ar CSP2 pārlūkiem
    Skeits no vietnes https://caniuse.com/contentsecuritypolicy2

    Satura drošības politikas izveide var būt stipra vai vāja, tāda, kā tu to izstrādā. Iestatīšana uz TutKit.com mums patiešām ilgāk aizņēma, jo visi skripti un resursi jāuzskaita, lai tos varētu iestatīt baltajā sarakstā. Pareizas iekļaušanas pārbaudes vari veikt, izmantojot securityheaders.com, izmantojot Mozilla pārbaudi un arī izmantojot Google PageSpeed Insights sadaļā Par labākajām praksēm. Izmantojot Mozillas pakalpojumu, priekšrocība ir tā, ka tava URL tiek pārbaudīta vienlaikus ar vairākiem citiem ārējiem testa rīkiem. Ja viens no tiem rāda negatīvus rezultātus, vari tur vēl dziļāk izpētīt.

    Kāpēc drošības galvenes ir svarīgas?

    Drošības galvenes ir svarīgas, jo tās palīdz samazināt tīmekļa vietņu un tīmekļa lietojumprogrammu uzbrukumu virsmu un aizvērt zināmas drošības caurumus. Sniedzot pārlūkiem norādes par to, kā rīkoties attiecībā uz drošību, tās var palīdzēt novērst vai vismaz sarežģīt dažādu veidu uzbrukumus. Tas ietver XSS uzbrukumus, Clickjacking, MIME maiņu un citus drošības problemāmus.

    Tiešsaistes veikali, kas saglabā, nosūta vai apstrādā kredītkartes darījumus, ir jābūt atbilstošiem PCI-DSS standartam. Daudzi PCI-DSS auditu veic, izvērtējot, vai ir aktivizēta HSTS (HTTP Strict Transport Security) un citas drošības galvenes. Ja tava vietne iekļaujas PCI saskaņojumā, t.i., ja jūs veicat kredītkartes maksājumus, un jūsu maksājumu pakalpojumu sniedzējs no jums sagaida PCI sertifikātu, un jūs to esat spiesti pierādīt caur testu / auditu, tad drošības galvenu iekļaušana kļūst par jautājumu arī jums.

    Kā trešais iemesls ir jūsu lietotāja pieredzes nodrošināšana, kas pozitīvi ietekmē jūsu SEO pasākumus. Par to vairāk zemāk.

    Kā jāievieš drošības galvenes?

    Drošības galvenu ieviešana parasti prasa konfigurācijas izmaiņas tīmekļa serverī vai tīmekļa lietojumprogrammas līmenī. 

    1. Identificē nepieciešamās drošības galvenes: Apsver, kuras drošības galvenes ir svarīgākās jūsu tīmekļa vietnei vai tīmekļa lietojumprogrammai. Izvēle ir atkarīga no jūsu konkrētajiem prasībām un apdraudējumiem. Ja jums ir tikai Onepager bez sīkfailiem un kontaktformu, kas pilnībā balstīts uz HTML, risks ir zemāks nekā veikalā ar sīkfailiem, kredītkartes datu nodošanu, klientu datiem un CMS.
    1. Konfigurē tīmekļa serveri: Lielāko daļu drošības galvenu vari pievienot, pielāgojot savu tīmekļa servera konfigurāciju. Piemēram, Apache serveri var konfigurēt galvenes .htaccess failā, savukārt Nginx var izmantot konfigurācijas failu nginx.conf vai sites-available.
    1. Iestatiet galvenes HTTP atbildē: Galvenes vajadzētu būt iestatītas jūsu tīmekļa vietnes vai lietojumprogrammas HTTP atbildē. Parasti to var panākt, izmantojot servera moduļus, skriptus vai darbstarbību.
    1. Pārbaudi implementāciju: Kad esi pievienojis drošības galvenes, rūpīgi pārbaudi savu tīmekļa vietni vai lietojumprogrammu, lai nodrošinātu, ka viss darbojas gaidītajā veidā. Pastāv arī tiešsaistes rīki, piemēram, Security Headers un Mozilla Observatory, kas var analizēt tavas vietnes drošības konfigurāciju.
    1. Uzturi galvenes atjauninātas: Regulāri uzraugi un atjaunini drošības galvenes, lai nodrošinātu, ka tās atbilst jaunākajām labajām praksēm un ir aizsargātas pret jaunām draudējumiem.

    Detalizēta ieviešanas metode Drošības galvenu implementēšanai var atšķirties atkarībā no tīmekļa servera tehnoloģijas un platformas, tāpēc ir ieteicams konsultēties ar savas servera un tīmekļa lietojumprogrammas dokumentāciju vai vajadzības gadījumā saņemt profesionālu atbalstu. Zemāk esošajām instrukcijām ir norādīts, kā to var izdarīt, izmantojot Apache un Nginx serverus. Servera konfigurēšana, ja esi ne-programmētājs, diemžēl nav tik vienkārša kā, piemēram, izmantojot WordPress spraudni.

    Drošības galvenes pievienošana Apache serveros, izmantojot .htaccess

    Drošības galvenu pievienošana, izmantojot .htaccess failu, ir bieži izmantota metode, lai uzlabotu tīmekļa vietnes drošību Apache tīmekļa serverā. .htaccess failam ļauj uzstādīt servera mēroga iestatījumus un konfigurācijas, ieskaitot drošības galvenes. Šeit ir soli pa solim instrukcija par to, kā var pievienot drošības galvenes, izmantojot .htaccess failu:

    Izveido rezerves kopiju: Droši saglabājot intervējošās izmaiņas sācējevietā un veicot rezerves kopiju .htaccess failam, pirms veicat izmaiņas, lai nodrošinātu, ka vietne netiek nejauši padarīta nepieejama.

    Atver .htaccess failu: Parasti .htaccess failu atradīsi savas WordPress instalācijas saknes direktorijā. To varēsi atvērt ar teksta redaktoru, piemēram, Notepad++, Dreamweaver, PHP Storm vai Visual Studio Code.

    Pievieno drošības galvenes: Lai pievienotu drošības galvenes, izmanto Header komandu savā .htaccess failā. Šeit ir daži piemēri parastāk izmantotajām drošības galvenēm un kā tās var pievienot:

    Satura drošības politika (CSP):

    Header always set Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src 'self' data:; style-src 'self' 'unsafe-inline';"

    X-Satura-Tipu-Opcijas:

    Header always set X-Content-Type-Options "nosniff"

    X-Freim-Opcijas:

    Header always set X-Frame-Options "DENY"

    X-XSS-Aizsardzība:

    Header always set X-XSS-Protection "1; mode=block"

    HTTP Stroga Trasporta Drošības (HSTS):

    Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

    Referrer politika:

    Header always set Referrer-Policy "strict-origin-when-cross-origin"

    Saglabā .htaccess failu: Kad esi pievienojis vēlamos drošības galvenes, saglabā .htaccess failu un augšupielādē to savā tīmekļa serverī, ja tas ir nepieciešams.

    Pārbaudi konfigurāciju: Pārliecinies, ka .htaccess failā nav sintakses kļūdu, apmeklējot vietni un uzmanīgi sekojot iespējamām kļūdu ziņojumiem. Drošības galvenu efektivitāti varēsi pārbaudīt arī, izmantojot tiešsaistes rīkus.

    Pārbaudi savu vietni: Rūpīgi pārbaudi savu vietni, lai nodrošinātu, ka visas funkcijas darbojas pareizi un drošības galvenes īsteno vēlamos drošības pasākumus.

    Lūdzu ņem vērā, ka drošības galvenu pievienošana, izmantojot .htaccess failu, darbosies tikai Apache serveros. Ja izmanto Nginx vai citu tīmekļa serveri, būs nepieciešams rediģēt atbilstošās konfigurācijas datnes, lai iestatītu drošības galvenes. Par to varēsi uzzināt vairāk turpmāk...

    Drošības galvenes iekļaušana Nginx serveros

    Drošības galvenu pievienošana Nginx notiek, izmantojot Nginx konfigurācijas datnes, parasti failā ar paplašinājumu .conf. Šeit ir soli pa solim instrukcija, kā vari iekļaut drošības galvenes Nginx:

    Veici rezerves kopiju: Pirms veicat izmaiņas savā Nginx konfigurācijā, izveido rezerves kopijas konfigurācijas datnēm, lai nodrošinātu, ka problēmu gadījumā vari atgriezties pie darba konfigurācijas.

    Atver Nginx konfigurācijas failu: Nginx galvenā konfigurācijas datne parasti atrodas mapē kā /etc/nginx/ Linux sistēmās. Precīzu failu varēs atrast sistēma no sistēmas atšķirīgu, taču to parasti sauc par nginx.conf vai default vai sites-available katrai vietnei.

    Lai rediģētu konfigurācijas failu, izmanto teksta redaktoru vai komandrindas redaktoru (piemēram, nano, vim vai gedit), lai atvērtu konfigurācijas failu. Lai varētu rediģēt failu, tev būs nepieciešamas root vai superlietotāja tiesības.

    Pievieno vēlamos drošības galvenus: Drošības galvenus var pievienot savā Nginx konfigurācijā, izmantojot add_header direktīvas. Šeit ir piemēri dažiem bieži izmantotiem drošības galveniem:

    Satura Drošības Politika (CSP):

    add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src 'self' data:; style-src 'self' 'unsafe-inline';";

    X-Satura-Tipu-Opcijas:

    add_header X-Content-Type-Options "nosniff";

    X-Frame-Opcijas:

    add_header X-Frame-Options "DENY";

    X-XSS-Aizsardzība:

    add_header X-XSS-Protection "1; mode=block";

    Stingrā Transporta Drošības Politika (HSTS) (Uzmanību: Izmantot tikai tad, ja tava tīmekļa vietne vienmēr ir pieejama caur HTTPS):

    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";

    Referrer-Politika:

    add_header Referrer-Policy "strict-origin-when-cross-origin";

    Saglabā un aizver konfigurācijas failu: Kad esi pievienojis vēlamos galvenus, saglabā konfigurācijas failu un aizver to.

    Pārbaudi tagad konfigurāciju: Nginx konfigurācijas derīgumu vari pārbaudīt ar komandu nginx -t. Ja konfigurācija ir derīga, vajadzētu parādīties veiksmes ziņojumam.

    Sāc vai atjaunini Nginx: Pēc konfigurācijas pārbaudes sāc vai atjaunini Nginx serveri, lai jaunie galveni tiktu aktivizēti. Serveri var pārstartēt ar komandu sudo service nginx restart (Debian/Ubuntu sistēmās) vai sudo systemctl restart nginx (sistēmās, kas balstītas uz systemd).

    Pārbaudi savu tīmekļa vietni: Pārbaudi savu tīmekļa vietni, lai pārliecinātos, ka visi funkciju darbojas pareizi un ka drošības galveni īsteno vēlamās drošības pasākumus.

    Ņem vērā, ka Nginx konfigurācija var atšķirties no sistēmas uz sistēmu, īpaši, ja izmanto vairākas virtuālas mītnes (servera blokus) vai sarežģītāku konfigurāciju. Tāpēc pārliecinies, ka rediģē pareizo konfigurācijas failu, kas ir atbildīgs par tavu tīmekļa vietni.

    WordPress spraudņi drošības galveniem

    Eso dažādi WordPress spraudņi, kas var palīdzēt drošības galvenu iestatīšanā jūsu WordPress vietnē. Šie spraudņi atvieglo drošības pasākumus, pat ja tev nav dziļas tehniskas zināšanas.

    Spraudnis "Headers Security Advanced & HSTS WP" ir speciāli paredzēts, lai īstenotu drošības galvenus un Stingrā Transporta Drošības Politiku (HSTS) WordPress vietnēs. Tas piedāvā lietotājam draudzīgu veidu, kā konfigurēt šos galvenus un drošības pasākumus.
    https://de.wordpress.org/plugins/headers-security-advanced-hsts-wp/

    Galvenes drošība uzlabota ar HSTS spraudni WordPress platformai.

    Šeit ir daži citi WordPress spraudņi, kas var palīdzēt ar Drošības galvenu iestatīšanu:

    1. WP Security Headers: Šis spraudnis ļauj konfigurēt dažādus drošības galvenus jūsu WordPress vietnē. Tas piedāvā draudzīgu lietotāja saskarni un ļauj pielāgot galvenus, piemēram, Satura Drošības Politiku (CSP), X-Frame-Options u.c.
    1. HTTP Headers: HTTP Headers ir WordPress spraudnis, kas ļauj iestatīt dažādus HTTP galvenus lielākai drošībai un datu aizsardzībai. Ar to vari konfigurēt galvenus, piemēram, X-Content-Type-Options, X-XSS-Protection un Referrer-Policy.
    1. Security Headers: Šis spraudnis ir īpaši paredzēts Satura Drošības Politikas (CSP) iestatīšanai. Tas nodrošina vienkāršu veidu, kā iestatīt un pielāgot CSP politiku jūsu vietnei.
    1. Easy Security Headers: Šis spraudnis piedāvā vienkāršu veidu, kā aktivizēt un konfigurēt svarīgus drošības galvenus WordPress. Tas iekļauj galvenus, piemēram, Satura Drošības Politiku, Stingro Transporta Drošības Politiku un X-Satura-Tipu-Opcijas.

    Pirms izmanto kādu spraudni drošības galveniem iestatīšanai WordPress, pārliecinies, vai tas ir saderīgs ar tavu WordPress versiju un PHP versiju.

    Drošības galveni Headless CMS Strapi sistēmā ieviest

    Strapi ir populārs Headless-CMS (Satura pārvaldības sistēma), kas balstās uz Node.js. Līdzīgi kā WordPress, arī Strapi ir iespējams ieviest drošības galvenus. Strapi ierasti konfigurē drošības galvenus uz dziļākas līmeņa, jo tas ir servera lietojumprogramma. Šeit ir soļi, lai iestatītu drošības galvenus Strapi lietojumprogrammā:

    Lietot starpposlu: Strapi varat izmantot starpposlus, lai iestatītu HTTP galvenes. Jūs varat izveidot pielāgotu starpposlu, kas pievieno vēlamo drošības galvenes HTTP atbilžu. Šeit ir piemērs, kā to varat izdarīt:

    1. Izveidojiet failu, piemēram, security-headers.js, savā starpposlu direktorijā

    module.exports = (strapi) => {
    return {
    initialize() {
    strapi.app.use(async (ctx, next) => {

    2. Iestatiet vēlamos drošības galvenes

    ctx.set('Content-Security-Policy', "default-src 'self'"); ctx.set('X-Content-Type-Options', 'nosniff'); ctx.set('X-Frame-Options', 'DENY'); ctx.set('X-XSS-Protection', '1; mode=block'); ctx.set('Strict-Transport-Security', 'max-age=63072000; includeSubDomains; preload'); ctx.set('Referrer-Policy', 'strict-origin-when-cross-origin');

    3. Izsauciet nākamo starpposlu soļu

    await next(); 
    });
    },
    };
    };

    Reģistrējiet starpposlu: Pēc tam, kad esat izveidojis starpposlu, to ir jāreģistrē jūsu Strapi lietojumprogrammas middleware.js failā, lai nodrošinātu, ka to izpilda katrā HTTP pieprasījumā.

    module.exports = {
    settings: {

    Citi iestatījumi ...

    },
    middleware: {

    Citi starpposli ...

    securityHeaders: { 
    enabled: true,
    },
    },
    };

    Pielāgošana un testēšana: Pielāgojiet galvenes vērtības starpposlā saskaņā ar jūsu prasībām. Pārliecinieties, ka galvenes ir pareizi iestatītas, testējot lietojumprogrammu un izmantojot rīkus, piemēram, Drošības galvenu pārbaudējs.

    Pārbaudiet serverkonfigurāciju: Papildus Middleware iestatīšanai Strapi ir svarīgi pārliecināties, ka arī jūsu tīmekļa serveris (piemēram, Nginx vai Apache), ja tas ir pieejams, neiestata pretrunīgas galvenes, kas varētu pārrakstīt Strapi noteiktās galvenes.

    Precīza īstenošana var atšķirties atkarībā no jūsu Strapi iestatījuma un servera. Alternatīvai izpildei var izmantot arī config/app.js Strapi izstrādes vadlīnijā. Tomēr ceļš caur Middleware nodrošina jums lielāku kontroli un elastību.

    Tā izskatās mūsu aģentūras vietnē 4eck-media.de, kas izmanto galvu bez CMS Strapi:

    Skenēšanas rezultāti vietnei Strapi 4eck-media.de

    Testa rīki drošības galvenēm un tīmekļa vietņu drošības trūkumiem

    Kad esat ieviesis drošības galvenes, noteikti veiciet funkciju testu ar savu vietni, izmantojot dažādus pārlūkus un ierīces. Izmantot arī šos divus testa rīkus, lai pārbaudītu, vai viss ir pareizi integrēts:

    • securityheaders.com => Šis rīks īpaši pārbauda drošības galvenes. Skaties šo attēlu augstāk.
    • securityscan.getastra.com => Šis rīks pārbauda vairāk nekā 140 drošības trūkumus, un drošības galvenes ir arī šī sastāvdaļa.

    Tagad, pēc veselības pārbaudes, mums ir vērtējums 90/100 vietnē tutkit.com, izmantojot https://securityscan.getastra.com/:

    Tīmekļa vietnes neaizsargātības skeneris ar veselības pārbaudi

    Kā redzat, vēl ir kāda vieta uzlabošanai, lai arī viss ir labi. Mums tas saistās ar konkrētiem moduļiem, kas JavaScript izvada citādi nekā ieteikts pēc drošības prasībām lieliskai praksei. Nākamajā lielajā atjauninājumā mūsu JavaScript struktūra vue.js un Laraberg moduļi no TutKit.com mums parūpēsies par to.

    Vai drošības galvenes ir noderīgas SEO (Meklētājdzinis optimizācija)?

    Ir saistība starp drošības galvenēm un SEO (meklēšanā veiktā optimizācija), lai gan šī saistība ir diezgan netieša.

    Google 2020. gada maijā norādīja, ka 2021. gadā Page Experience apkopo septiņus dažādus faktorus un veido kopēju priekšstatu par vietnes kvalitāti.

    Galvenie tīmekļa pamatparametri.

    HTTPS un drošs pārlūkošana ir svarīgākie faktori, kas veicina pozitīvus signālus Page Experience. Google ir nosaukusi HTTPS izmantošanu par vienu no savas rangu sistēmas faktoriem. Sākotnēji tā bija attiecināma arī uz drošu pārlūkošanu. 2021. gada augustā Google atkāpās un norādīja, ka droša pārlūkošana tomēr vairs netiek ņemta vērā kā rangu faktors, jo daudzi tīmekļa vietņu īpašnieki nevar nodrošināt pret hakēšanu. 

    PageSpeed Insights Droša pārlūkošana

    Papildus Google vērtē vietnes augstāk, kas atbilst EEAT principam, t.i., kuru saturu ekspertīze, pieredze, autoritāte un uzticamība ir validēti. Uzticamība attiecas uz vietnes vai tīmekļa satura uzticamību un pārliecību. Google novērtē uzticamību, ņemot vērā faktorus, piemēram, datu aizsardzību, drošību un skaidrību.

    Tagad konkrēti izprast, kā Drošības galvenes ietekmē SEO, var viegli izskaidrot piecu priekšrocību ziņā, kā HTTP galvenes dod labumu taviem mājas lapas apmeklētājiem:

    1. Uzticība un drošība: Vietne, kas izmanto drošības galvenes, signalizē apmeklētājiem un meklētājprogrammām, ka tā rūpējas par saviem lietotājiem un datiem. Tas var stiprināt lietotāju uzticību vietnei un samazināt drošības problēmu risku, piemēram, datu noplūdēm un ļaunprātīgiem uzbrukumiem ar vīrusiem.
    1. Drošības problēmu novēršana: Drošības galvenes, piemēram, saturu drošības politiku (CSP) un X-XSS-Protection, palīdz novērst zināmu drošības caurumus, piemēram, krustvietas skriptēšanas uzbrukumus. Vietnes, kas ir uzņemīgas pret drošības problēmām, var tikt sodītas ar meklētājprogrammu vai parādīt lietotājiem brīdinājumus, kas var negatīvi ietekmēt SEO.
    1. Uzlaboti ielādes laiki: Daudzas drošības galvenes, piemēram, HTTP stingro transportēšanas drošību (HSTS), var palīdzēt uzlabot vietnes ielādes laikus, jo tās pārliecinās pārlūku uzstādīt savienojumu caur HTTPS. Ātrāki ielādes laiki ir svarīgs SEO faktors, jo meklētājprogrammas, piemēram, Google, ņem vērā ielādes laiku kā rangkārtas kritēriju.
    1. Clickjacking un Phishing novēršana: Drošības galvenes, piemēram, X-Frame-Options, var palīdzēt novērst Clickjacking uzbrukumus, kad vietnes saturs tiek parādīts neredzamā rāmī. Tas var palielināt lietotāju uzticību vietnei un samazināt iespējamību uz Phishing uzbrukumiem.
    1. HTTPS un rangs: Lai gan tas nav tieši saistīts ar drošības galvēm, HTTPS izmantošana (kas tiek veicināta arī drošības galvenēm, piemēram, HSTS) ir svarīgs SEO faktors. Google jau 2010. gadā paziņoja, ka viņi ņem vērā HTTPS kā rangkārtas signālu, un tīmekļa vietnes ar HTTPS var būt SEO priekšrocībā.

    Drošības galvenu izmantošana, manuprāt, varētu pozitīvi ietekmēt SEO rangs vietnes gadījumā, bet tās nav vienīgā kritērija, bet gan ļoti maza daļa no kopējās drošības un SEO vienādojuma. Vietne, kas piedāvā nesaistītu saturu vai nepietiekamu lietotāja pieredzi, neuzlabos savu pozīciju meklētājprogrammās vienīgi ar drošības galvēm. SEO ir sarežģīts process, kas ņem vērā daudzus faktorus, tai skaitā augstvērtīgu saturu, labu lietotāja pieredzi, mobilo optimizāciju un daudz ko citu. Tomēr drošības galvenes ir svarīga sastāvdaļa, lai iegūtu lietotāju uzticību un padarītu vietni kopumā drošāku, kas var beigās pozitīvi ietekmēt SEO rangs.

    Vai, otrādi: ja tava vietne ir inficēta ar ļaunprogrammatūru un Google sniedz brīdinājumu vietnes apmeklētājiem, tas tieši negatīvi ietekmēs tava reputāciju. Tavs rangs nokritīs un tādējādi arī visi tevis līdz šim iegūtie SEO panākumi. Kā vietnes īpašnieks no Google saņemsiet paziņojumu Search konsole. Kā alternatīvu jūs varat šeit pārbaudīt jūsu Vietni uz ļaunprogrammatūras iedarbību.

    Mēs noteikti lepojamies ar to, ka mūsu drošības galvenes mūs ir nostabilējušas jaunākajā līmenī ar drošības spurtu. Un ar to mēs ieņēmām arī Slavu zālē:

    Drošības galvas atzinības zāle.

    Apgalvojums: Drošības galvju implementēšana nav kosmoss zinātne un to vajadzētu ņemt vērā katras vietnes izlaišanas gadījumā. Diemžēl to dara diez vai daudzi vietnes īpašnieki, aģentūras un SEO eksperti, tāpēc būtu labi, ja SEO rīki iekļautu HTTP galvenu pārbaudi savos auditos. Mēs redzēsim ... pie SEOBILITY vadības es jau esmu iesniedzis šo vēlmi iepriekš:-)

    Publicēts no Matthias Petri
    Publicēts:
    Nozīmējis Matthias Petri
    Matthias Petri kopā ar savu brāli Stefanu Petri 2010. gadā nodibināja aģentūru 4eck Media GmbH & Co. KG. Kopā ar savu komandu viņš vada populāro nozares forumu PSD-Tutorials.de un e-mācību portālu TutKit.com. Viņš publicējis daudzus apmācības materiālus attēlu labošanai, mārketingam un dizainam, kā arī pasniedzis kā lektors FHM Rostock par "Digitālo mārketingu & komunikāciju". Par savu darbību viņš tika atzīts vairākas reizes, tai skaitā ar Mecklenburg-Vorpommern 2011. gada Tīmekļa vietnes balvas Honorary Award un kā Mecklenburg-Vorpommern 2015. gada Radošais cilvēks. 2016. gadā viņu iecēla par Kompetenču centra Kultūras un radošās ekonomikas federācijas biedru un viņš iesaistījies iniciatīvā “Wir sind der Osten” kā uzņēmējs un izpilddirektors, kas pārstāv daudzus citus austrumvācietības nozīmīgos cilvēkus.
    Atgriezties pie sākuma