دليل السيو - الخطوة 7: الأمان

هذه الخطوة 7 من دليل السيو المكوّن من 13 خطوة. Google تُظهر تحذيرات واضحة للمواقع غير الآمنة — وهذا يقتل CTR والثقة.

الأمان ليس مجرد مسألة تقنية. Chrome يعرض "غير آمن" بجانب المواقع بدون HTTPS، وGoogle تستخدم الأمان كعامل ترتيب مباشر منذ 2014. موقع مخترق يفقد تصنيفه بالكامل.

1. SSL/TLS — الأساس

متطلبات الحد الأدنى

| العنصر | المطلوب | السبب | |---|---|---| | شهادة صالحة | ✓ | Chrome يحذر بدونها | | TLS 1.2+ | ✓ | الإصدارات القديمة غير آمنة | | تحويل HTTP→HTTPS | 301 redirect | تجنب المحتوى المكرر | | HSTS | ✓ | يمنع هجمات downgrade | | الشهادة تشمل www | ✓ | كلا الإصدارين |

التحقق

# فحص شهادة SSL
openssl s_client -connect example.com:443 -servername example.com

# فحص تاريخ الانتهاء
echo | openssl s_client -connect example.com:443 2>/dev/null | openssl x509 -noout -dates

2. ترويسات الأمان (Security Headers)

| الترويسة | الوظيفة | القيمة الموصى بها | |---|---|---| | Strict-Transport-Security | فرض HTTPS | max-age=31536000; includeSubDomains; preload | | X-Content-Type-Options | منع MIME sniffing | nosniff | | X-Frame-Options | منع clickjacking | SAMEORIGIN | | Referrer-Policy | التحكم بالمرجع | strict-origin-when-cross-origin | | Permissions-Policy | تقييد APIs | camera=(), microphone=(), geolocation=() | | Content-Security-Policy | منع XSS | سياسة مخصصة |

3. Content Security Policy (CSP)

CSP هي أقوى حماية ضد هجمات XSS:

Content-Security-Policy:
  default-src 'self';
  script-src 'self' https://cdn.example.com;
  style-src 'self' 'unsafe-inline';
  img-src 'self' data: https:;
  font-src 'self' https://fonts.gstatic.com;
  connect-src 'self' https://api.example.com;

التطبيق التدريجي

البداية: Content-Security-Policy-Report-Only (مراقبة فقط)
التحليل: راجع التقارير لمدة أسبوع
التطبيق: حوّل إلى Content-Security-Policy
التشديد: أزل unsafe-inline تدريجياً

4. HSTS و Preload

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

خطوات HSTS Preload

شهادة SSL صالحة
تحويل كل HTTP → HTTPS
ترويسة HSTS على جميع الردود
تقديم الموقع إلى hstspreload.org
الانتظار (6-12 أسبوع للإدراج)

تحذير: بعد الإدراج في قائمة preload، لا يمكن التراجع بسهولة.

5. أمان ملفات تعريف الارتباط

Set-Cookie: session=abc123;
  Secure;
  HttpOnly;
  SameSite=Strict;
  Path=/;
  Max-Age=86400

| السمة | الحماية | |---|---| | Secure | إرسال عبر HTTPS فقط | | HttpOnly | منع الوصول من JavaScript | | SameSite=Strict | منع CSRF | | Path=/ | تقييد النطاق |

6. حماية من الهجمات الشائعة

الاختراق (Hacking)

تحديث CMS والإضافات
كلمات مرور قوية + مصادقة ثنائية
صلاحيات ملفات صحيحة
نسخ احتياطية يومية

حقن المحتوى (SEO Spam)

مراقبة صفحات جديدة غير مألوفة
فحص خريطة الموقع بانتظام
Google Alerts لاسم موقعك
فحص site:example.com أسبوعياً

DDoS

استخدام CDN (Cloudflare, AWS CloudFront)
Rate limiting على API endpoints
WAF (Web Application Firewall)

7. تأثير الأمان على السيو

| المشكلة | التأثير على السيو | |---|---| | بدون HTTPS | تحذير Chrome + فقدان ترتيب | | شهادة منتهية | الموقع لا يُعرض | | محتوى مختلط (Mixed Content) | تحذيرات + بطء | | موقع مخترق | إزالة من الفهرس | | Malware | تحذير أحمر في نتائج البحث | | بدون HSTS | عرضة لهجمات MITM |

القائمة السريعة

[ ] شهادة SSL صالحة (TLS 1.2+)
[ ] تحويل HTTP→HTTPS (301) على جميع الصفحات
[ ] HSTS مُفعّل (max-age ≥ 1 سنة)
[ ] X-Content-Type-Options: nosniff
[ ] X-Frame-Options: SAMEORIGIN
[ ] CSP مُطبّق (ولو report-only كبداية)
[ ] ملفات تعريف الارتباط: Secure + HttpOnly + SameSite
[ ] لا يوجد محتوى مختلط (Mixed Content)
[ ] CMS والإضافات محدّثة

الخطوة التالية: الخطوة 8: الظهور في محركات الذكاء الاصطناعي — كيف تظهر في ChatGPT وPerplexity وGoogle AI.

أطلق تدقيق SEO مجاني وتحقق من أمان موقعك.

دليل السيو - الخطوة 7: الأمان — كيف يحمي الأمان ترتيبك