Как плохая безопасность сайта негативно влияет на рейтинг SEO

«Безопасность сайта» — давайте будем честными: когда вы в последний раз серьезно задумывались об этом? Когда в последний раз вы или ваша команда SEO тратили две секунды на последние тенденции безопасности для веб-сайтов?

Компании могут потратить миллиарды долларов на SEO прямо сейчас, но значительный процент предприятий с веб-сайтами даже не задумывается о безопасности веб-сайтов.

Почему веб-безопасность важна

Как предприниматель, вы, вероятно, потратили сотни или даже тысячи долларов за годы на маркетинг и SEO, но самым слабым звеном в цепочке цифрового маркетинга, безусловно, является безопасность сайта:

    Недавний опрос Google показал, что американцы знают о безопасности веб-сайта меньше, чем они думают: 55% американцев старше 16 лет ставят себе «А» или «В» в области безопасности и защиты в Интернете, но 70% из них ошибочно определили, как выглядит безопасный веб-сайт ,
    Опрос Harris Poll, проведенный в марте 2019 года, показывает, что 97% участвующих Millennials получают как минимум один из шести вопросов о безопасности веб-сайта неправильно.
    Атаки на вымогателей (тип вредоносного программного обеспечения, предназначенного для блокирования доступа к компьютерной системе до тех пор, пока не будет выплачена денежная сумма) по сравнению с первым кварталом 2019 года на предприятиях малого и среднего бизнеса выросли на 195%.

Печальная правда в том, что никто не беспокоится о безопасности веб-сайтов, пока они не столкнутся с реальной угрозой атак вредоносных программ или вымогателей. В то время как у людей есть несколько простых и доступных способов обеспечения безопасности в Интернете, малые предприятия и даже более крупные компании видят, что они не хотят платить за это как сложный процесс и не хотят изучать сложный процесс. готов быть активным.

С учетом того, что эта угроза нависла над каждым бизнесом и сервисным сайтом, с каждым днем ​​становится все важнее тратить время и деньги на безопасность сайта. Потому что, если ваш сайт скомпрометирован, весь ваш бизнес скомпрометирован.

Первый шаг к безопасному сайту

Основы безопасности сайта начинаются с SSL / TLS на вашем существующем HTTP.

    SSL означает Secure Sockets Layer и, короче говоря, это стандартная технология для обеспечения безопасности интернет-соединения и защиты любых конфиденциальных данных, передаваемых между двумя системами, предотвращая чтение и изменение преступниками любой передаваемой информации, включая потенциальные личные данные.
    TLS означает безопасность транспортного уровня и является просто обновленной, более безопасной версией SSL. Мы по-прежнему называем наши сертификаты безопасности SSL, потому что это более распространенный термин, но когда вы покупаете SSL у Symantec, вы на самом деле покупаете самые современные сертификаты TLS.

SSL / TLS

В чем разница между HTTP и HTTPS? Согласно SEOPressor:

    HTTP обозначает протокол передачи гипертекста. По сути, он обеспечивает связь между различными системами. Он чаще всего используется для передачи данных с веб-сервера в браузер, чтобы пользователи могли просматривать веб-страницы. Это протокол, который использовался в основном для всех ранних сайтов.
    HTTPS означает «Защищенный протокол передачи гипертекста». Проблема с обычным протоколом HTTP заключается в том, что информация, которая передается с сервера на браузер, не зашифрована, что означает, что ее можно легко украсть. Протоколы HTTPS исправляют это, используя сертификат SSL, который помогает создать безопасное зашифрованное соединение между сервером и браузером, тем самым защищая потенциально конфиденциальную информацию от кражи при ее передаче между сервером и браузером:

HTTPS против HTTP

Переход с HTTP на HTTPS не сложен и не занимает много времени (см. «Как добавить HTTPS на ваш сайт» ниже). С помощью HTTPS и серверы, и клиенты могут продолжать разговор одинаково, но с полным шифрованием их запросов и ответов (то есть данных):

HTTPS

Тем не менее, не все надежно и безопасно с этим дополнительным уровнем шифрования. Сертификация SSL не гарантирует полную безопасность. Даже HTTPS-сайты сталкиваются со своей фишинг-атакой.

Это причина того, что вам нужно принять адекватные меры для обеспечения безопасности вашего сайта, а не просто полагаться на HTTPS для полной безопасности сайта.

Погрузитесь глубже: как спроектировать UX веб-сайта или приложения для увеличения конверсии
HTTPS — ранжирующий сигнал?

Переключение с HTTP на HTTPS — это простой шаг, который может продвинуть ваш бизнес с помощью SERP от Google, поскольку Google помечает каждый сайт как «небезопасный», если он не имеет сертификата HTTPS.

Сначала HTTPS был легким сигналом ранжирования, а затем со временем Google придавал больший вес HTTPS как сигналу ранжирования. По состоянию на август 2014 года Google объявил, что HTTPS является сигналом ранжирования:

Google HTTPS как сигнал ранжирования

Сегодня HTTPS — это плакат доверия и безопасности, напрямую влияющий на UX и SEO сайта. Фактически, по состоянию на июль 2018 года, все посетители сайтов без сертификата TLS получают от Google «небезопасное» уведомление:

Эти уведомления привели к тому, что веб-сайты без дополнительного уровня SSL видят снижение трафика и коэффициентов конверсии. Теперь можно с уверенностью сказать, что это стало важным аспектом технического SEO.

Как добавить HTTPS на ваш сайт

Вот несколько простых шагов, которые вы можете выполнить, чтобы переключиться с HTTP на HTTPS:
Купить сертификат SSL

Приобретение SSL-сертификата не так уж сложно. Во-первых, свяжитесь с вашей веб-хостинговой компанией. Ваш хостинг-план включает сертификат? Если цены и тип сертификата соответствуют вашим требованиям, поговорите с ними о добавлении их в ваш сервис.

Кроме того, вы можете посмотреть на центры сертификации. Ищите предпочтительные цены и типы сертификатов. Далее купите и подтвердите свой сертификат. Сертификаты SSL могут быть разных типов, включая DV, OV, EV, мульти-сайт и подстановочные знаки.

CertWizard от Digicert может подсказать, какой тип SSL-сертификата вам нужен:

CertWizard от Digicert
Проверьте и установите сертификат

После того, как вы приобрели сертификат SSL, соответствующий вашим требованиям, пришло время проверить его. Проверка может занять от нескольких минут до нескольких дней, в зависимости от типа вашего сертификата.

После получения сообщения от вашего центра сертификации загрузите файлы.

Процесс установки будет зависеть от источника вашего сертификата. Услуги веб-хостинга обычно берут на себя установку и упрощают шаги для веб-мастера.

Вот как вы можете установить свой сертификат, приобретенный за пределами вашего веб-хостинга:

    Войдите в свой аккаунт менеджера веб-хостинга.
    Перейдите к опции «Установить сертификат SSL».
    Введите сертификат SSL, ваше доменное имя, которому требуется SSL, и ваш ключ (ваш центр сертификации должен предоставить вам ключ и сертификат SSL).
    Нажмите «Установить».

Подтвердите сертификат SSL

Следующим шагом является проверка, и для этого вам необходимо выйти из своего менеджера веб-хостинга и интерфейса редактора веб-сайта. Затем проверьте адресную строку — показывает ли она тег HTTPS? Помимо адреса HTTPS, вы должны увидеть следующее:

    Зеленый замок в адресной строке
    Название вашей компании (сертификаты EV)
    Зеленая адресная строка (сертификаты EV)

SSL зеленый замок зеленый бар

    Личная охранная печать доверия или значка доверия (в зависимости от типа сертификата и центра сертификации):

Значки доверия

Вы должны использовать инструмент проверки SSL на всякий случай, чтобы обеспечить статус безопасности вашего сайта.
Обновите ваш сайт Ссылки

Установка SSL-сертификата через панель управления должна без проблем переключить ваш HTTP-сайт на HTTPS. Помимо основных страниц сайта, вам нужно проверить другой контент, который имеет ссылки на ваш сайт:

    Сообщения в социальных сетях и биографии
    Блоги хостинга контента вашего сайта
    Профили маркетинга и продаж в Интернете
    Профили форума онлайн
    Партнерские сайты, на которых есть прямая ссылка на логотип вашего сайта

Примечание. Имейте в виду, что ваши старые социальные сети, сообщения в блогах и встроенные ссылки могут по-прежнему направлять трафик на HTTP-версию сайта, поэтому вам нужно вручную пролистать свои прошлые посты за пределами сайта, чтобы исправить эти старые ссылки.

Погружение глубже: как исправить 15 распространенных технических проблем с SEO на месте
Обновите свой Sitemap

Создание новой карты сайта XML не является сложной задачей. Вы можете сделать это из своего аккаунта Google Analytics. Проверьте URL-адрес вашего веб-сайта по умолчанию в разделе «Свойства» в разделе «Свойства» вашей учетной записи администратора.

Обновите http: // до https: // и сохраните изменения.

Чтобы обновить карту сайта, посетите Инструменты для веб-мастеров:

    Перейти к поисковой консоли
    Нажмите на настройки — значок шестеренки в правом верхнем углу
    Выберите «изменение адреса»

Google проведет вас через следующие шаги по обновлению карты сайта, включая выбор нового сайта и подтверждение перенаправлений 301. Нажмите «Отправить», как только вы закончите вносить изменения.

Получение и установка сертификата HTTPS довольно проста для всех пользователей сайта. Шаги, которые мы описали выше, относятся ко всем версиям WordPress и некоторым другим платформам CMS.

Если у вас есть надежный поставщик услуг веб-хостинга, вам следует поговорить с ним для быстрой установки и плавного перехода вашего сайта с HTTP на HTTPS, изменив свой план хостинга.

Что лежит за пределами HTTPS в сфере кибербезопасности?

Хотя HTTPS имеет важное значение, это еще не все для безопасности веб-сайта. Во время работы веб-сайты сталкиваются с различными типами угроз кибербезопасности, такими как:
1) SQL-инъекции

SQL-инъекция — это техника внедрения кода и гнусная негативная технология SEO, которую может использовать хакер (или ваш конкурент) для взлома вашего сайта. Злоумышленник получает доступ к серверной части вашей базы данных, внедряя коды в уязвимое или поврежденное содержимое базы данных посредством ввода веб-страницы (например, пользователь вводит свое «имя пользователя» с помощью оператора SQL). Это все еще одна из самых распространенных угроз, потому что она очень эффективна.

Это может повлиять на любой веб-сайт, который использует MySQL, Oracle и SQL-серверы.
Как проверить, что ваш сайт подвергается атаке SQL-инъекций?

Чтобы предотвратить атаки с использованием SQL-инъекций, вы можете запускать сканирование уязвимостей с помощью надежных антивирусных программ. Узнайте, подвергается ли веб-сайт атаке, с помощью такого инструмента, как SQL Injection Test Online.

Следуйте этим правилам, чтобы предотвратить атаки SQL-инъекций:

    Вы никогда не должны включать входные данные напрямую, а очищать все входные данные.
    Предоставляйте только необходимые права доступа к учетным записям, используемым для соединения с базой данных.
    Не отображать операторы SQL в сообщениях об ошибках; вместо этого используйте общее сообщение.

2) Неправильные конфигурации в безопасности

Ошибочные конфигурации безопасности могут включать в себя отсутствие сертификата SSL, но они обычно включают в себя больше факторов. Они охватывают практически все типы уязвимостей, возникающих в результате отсутствия обслуживания и обновления приложений веб-сайта.

Неправильная конфигурация безопасности может возникнуть из-за устаревших надстроек или сторонних неавторизованных надстроек на веб-сайте. Они могут предоставить злоумышленникам возможность использовать конфиденциальную информацию в веб-базе данных. Кроме того, безопасность базы данных может быть поставлена ​​под угрозу из-за злоупотребления правами пользователя, слабой аутентификации или плохой практики резервного копирования данных. Помимо успешных атак на вымогателей, это также может привести к полному закрытию сайта.
Как вы можете укрепить надлежащую безопасность сайта?

Безопасность сайта начинается с HTTPS. Однако вам нужно глубже изучить состояние ваших плагинов, обновить ядро ​​CMS и установить программное обеспечение безопасности на вашем сайте. Безопасная конфигурация должна быть реализована на уровне приложений, сервера приложений, платформы, сервера базы данных, веб-сервера и платформы.

Это самые распространенные уязвимости, которые могут сегодня затронуть любой веб-сайт. Обновления вашего сайта до HTTPS может быть недостаточно, чтобы остановить эти атаки, поэтому вам нужно думать не только о сертификатах SSL, чтобы обеспечить безопасность базы данных вашего сайта и пользователей.
3) Межсайтовый скриптинг (XSS)

XSS включает в себя внедрение вредоносных скриптов в веб-сайты и является еще одной негативной тактикой SEO. Злоумышленник использует веб-приложение для отправки вредоносного кода пользователю в виде сценария браузера.

Ничего не подозревающий пользователь доверенного сайта, скорее всего, нажмет на код, который дает коду доступ к файлам cookie пользователя, конфиденциальной информации на стороне браузера и токенам сеанса. Сценарии XSS также могут переписывать содержимое страниц HTML-сайта.
Как проверить, что ваш сайт подвергся атаке XSS?

Используйте инструмент, такой как XSS Scanner:

Тест XSS
Что вы можете сделать, чтобы предотвратить атаки XSS?

Контекстно-зависимое выходное кодирование необходимо для предотвращения какой-либо безопасности XSS. Большинство современных веб-сайтов содержат XSS-фильтр. Однако они требуют правильного применения кодировки URL.

Веб-мастерам необходимо разрешать только ссылки с протоколами из белого списка, такими как https: //, поэтому никакие скрипты с URL-схемами, такими как javascript: //, не будут запрещены.
4) Подделка межсайтовых запросов

CSRF заставляет пользователя выполнять действия, которые он или она, возможно, не намеревался выполнить. Это вредоносная атака, нацеленная на запросы об изменении состояния на месте.

Использование социальной инженерии позволяет хакеру-преступнику обманом заставить конечного пользователя выполнить действия злоумышленника. Это может включать перевод средств, предоставление паролей или изменение их адреса электронной почты. Если жертва является администратором веб-сайта, атака CSRF может поставить под угрозу функции веб-сайта всей компании.

И, если вы думаете, что вы слишком умны, чтобы обмануться, подумайте еще раз. Посмотрите на эти распространенные 6 типов атак социальной инженерии от Norton:

травля
    Фишинг / Spear phishing
    Взлом электронной почты и контактный спам
    предлог,
    Услуга за услугу
    вишинг

Как вы можете узнать, подделан ли ваш веб-сайт подделкой межсайтовых запросов? Вот рекомендации OWASP по идентификации CSRF.
Как вы можете остановить атаки CSRP?

HTTPS недостаточно, чтобы остановить CSRF-атаки. Администратор сайта должен добавить хеш к формам, одноразовый запрос для форм и URL-адрес и проверить заголовок реферера в HTTP-запросе от клиента. Другие шаги включают добавление идентификатора сеанса в сценарии ViewState for .NET.
Как взлом может повлиять на органический трафик сайта и SEO?

Злоумышленники не различают сайты по размеру и трафику для атак. Вот как это может повлиять как на ваш трафик, так и на SEO:


Черный список

Черный список — когда ваш сайт удаляется из индекса поисковых систем — является одним из самых серьезных последствий атак вредоносных программ. Поскольку большинство веб-сайтов не получают никаких уведомлений, они могут неоднократно подвергаться атакам вымогателей и вредоносных программ. Некоторые веб-сайты имеют постоянные уязвимости, которые делают их подверженными инъекциям SQL, XSS, CSRF и фишинговым атакам.

Неполучение какого-либо уведомления может означать постоянную потерю денег, репутации и посетителей, когда Google обнаруживает аномальное поведение и помещает в черный список сайт. Попадание в черный список — это конец всего трафика и SEO для любого сайта. Тем не менее, это один из способов начать с нуля с чистого сайта.


Ошибки при сканировании

Боты-скребки сканируют сайты для очистки контента, блокируют роботов поисковых систем и участвуют в краже данных. Ваш рейтинг в поисковой выдаче также может получить удар, когда боты-скребки создают дублированный контент в другом месте. Они могут создавать ошибки 404 и 503 в вашей консоли поиска Google. Они отвечают за создание ресурсоемких бесконечных циклов.

Обнаружив дублированный контент, подайте жалобу DMCA в Google. Регулярный анализ файлов журналов с помощью инструментов премиум-класса может дать исчерпывающий список ботов, просматривающих ваш сайт. Определите их источник, чтобы отделить хороших ботов от плохих.

Погружение глубже: Google перестает поддерживать Robots.txt Noindex: что это значит для вас
SEO Спам

Преступные хакеры могут получить SEO-спам с помощью SQL-инъекций, что может привести к внесению в черный список вашего сайта или полному изменению того, как ваш сайт отображается в поисковой выдаче Google. Они также могут снизить скорость вашего сайта, что является одним из главных сигналов рейтинга.

Вам нужны плагины безопасности и инструменты SEO, которые могут выявлять вредоносную активность в реальном времени на вашем сайте. Исправление уязвимостей абсолютно необходимо. Проверьте платные платформы, которые предлагают полноценный мониторинг веб-сайтов, такие как Sucuri, лидер в области безопасности WordPress (это платная услуга, но они предлагают ограниченное сканирование WordPress бесплатно).

Последние мысли

В конце концов, вы не должны делать Google своим антивирусом. Google помечает ненадежные сайты и вносит их в черный список тех, которые представляют угрозу для пользователей, но полагаться на обновления Google не является проактивным способом заботиться о безопасности вашего сайта и SEO.

Если вы хотите улучшить SEO и увеличить посещаемость вашего сайта, всегда начинайте с HTTPS. Затем подумайте об инвестировании в систему наблюдения за сайтом, которая отслеживает не только сертификацию SSL вашего сайта.