Skip to main content
Back to blog

SEO juhend Samm 7: Turvalisus — Baas, mida Google ootab 2026. aastal

·11 min read·by LANGR SEO

SEO juhend Samm 7: Turvalisus

See on Samm 7 13-sammulises SEO juhendis. Turvalisus ei ole ainult kasutajate kaitsmine — see mõjutab otseselt teie otsingureitingut. Google on HTTPS-i hinnangutena kasutanud alates 2014. aastast ja ootused on ainult kasvanud.

Enamik veebilehe omanikest mõtleb turvalisusele binaarses mõttes: "Meil on SSL, seega oleme turvalised." Tegelikult hindab Google kümneid turvasignaale. Veebilehed, millel on õiged turvaheaderid, kehtivad sertifikaadid ja millel pole segatud sisu, edestavad lehti, millel on vaid põhine SSL-sertifikaat — kõigis muudes aspektides võrdsed.

Hea uudis: enamik turvaparandusi on ühekordse seadistamisega. Seadistage need kord ja need kaitsevad teie reitinguid püsivalt.

SSL-i konfiguratsioon

SSL (tehniliselt TLS) krüpteerib ühenduse teie serveri ja külastajate vahel. Alates 2014. aastast on Google selgelt kinnitanud HTTPS-i hinnangusignaalina. 2026. aastal ei ole HTTPS-i puudumine mitte ainult reitingu probleem — Chrome märgib HTTP lehti kui "Mitte turvaline" aadressiribas, kahjustades kasutajate usaldust.

Nõuded nõuetekohasele SSL-ile:

| Nõue | Miks | Kuidas kontrollida | |-------------|-----|--------------| | Kehtiv sertifikaat | Aegunud = brauseri hoiatus = kasutajate lahkumine | Kontrolli aegumiskuupäeva | | Täielik ahel | Puudulikud ahelad ei tööta mõnel seadmel | SSL Labs test | | TLS 1.2+ | Vanematel versioonidel on tuntud haavatavused | SSL Labs test | | Ei SHA-1 | Ajalooline, brauserid lükkavad selle tagasi | Sertifikaadi detailid | | SAN-kate | www ja non-www peavad olema kaetud | Sertifikaadi detailid | | Automaatne uuendamine | Takistab aegumishädasid | Let's Encrypt / teenusepakkuja seadistus |

SSL-i skoorimine:

100% = Kehtiv sertifikaat + Täielik ahel + TLS 1.3 + Tugev cipher + Automaatne uuendus
  0% = Aegunud või puuduv sertifikaat

Tavalised SSL-i vead:

  1. Sertifikaat aegub ilma teavitamiseta — Seadista jälgimine (Samm 6) vähemalt 30 päeva enne aegumist
  2. Puudulik sertifikaadi ahel — Server peab saatma vahe-sertifikaate, mitte ainult lehe
  3. Segatud sisu — HTTPS leht laadib HTTP ressursse (pildid, skriptid, stiililehed)
  4. Suunamistsüklid — HTTP → HTTPS → HTTP tsüklid valesti seadistatud CDN/i või proxy tõttu
  5. Non-www vs www konflikt — Sertifikaat katab ühe, mitte teise

Kiire võit: Käita oma domeeni SSL Labs'is (ssllabs.com/ssltest). Kõik, mis on madalam kui "A" reiting, sisaldab tegevusvõimalusi. Enamik hostiteenuseid lahendab need ühe klikiga.

Turvaheaderid

Turvaheaderid on HTTP vastuseheaderid, mis annavad brauseritele juhiseid, kuidas käituda, kui laadite oma saiti. Need takistavad kogu kategooriate rünnakute toimumist — ja Google'i indekseerijad kontrollivad neid.

Olulised turvaheaderid:

Content-Security-Policy (CSP)

CSP on kõige võimsam turvaheader. See ütleb brauseritele täpselt, millised ressursid (skriptid, stiilid, pildid, fondid) on lubatud teie lehtedel laadida.

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

Mida CSP takistab:

  • Ristveebaitide skriptimise (XSS) rünnakud
  • Andmete süstimise rünnakud
  • Klikkide vargus (via frame-ancestors)
  • Lubamatute skriptide täitmine (krüptominejad, reklaami süstijad)

CSP rakendamise strateegia:

  1. Alusta Content-Security-Policy-Report-Only kasutamisest (logib rikkumised ilma blokeerimata)
  2. Jälgi aruandeid 1-2 nädalat
  3. Lisa valged nimekirja õiged allikad
  4. Lülitu sundrežiimile
  5. Lisa report-uri või report-to pidevaks rikkumiste logimiseks

X-Frame-Options

Takistab teie saidi manustamist teiste domeenide iframetesse (klikivarguse kaitse).

X-Frame-Options: DENY

Või kui peate lubama sama päritolu raamimise:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

Takistab brausereid MIME-tüüpi nuusutamast (tõlgib faile erinevateks tüüpideks kui deklareeritud).

X-Content-Type-Options: nosniff

See üks rida takistab rünnakuid, kus .jpg fail sisaldab varjatud JavaScripti, mille brauser võib täita.

Referrer-Policy

Kontrollib, kui palju referrer'i teavet saadetakse, kui kasutajad klikivad linke teie saidilt.

Referrer-Policy: strict-origin-when-cross-origin

See saadab täis-URL sama päritolu päringute jaoks, kuid ainult päritolu (domeen) ristsuundumiste jaoks. Tasakaalustab analüütika vajadusi privaatsusega.

Permissions-Policy

Kontrollib, milliseid brauseri funktsioone (kaamera, mikrofoni, geolokatsiooni jne) saab teie saidil kasutada.

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

Funktsioonide keelamine, mida te ei kasuta, takistab kolmandate osapoolte skriptide nende väärkasutamist.

Headeri rakendamise näide (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

Headeri rakendamine (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Headeri rakendamine (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Kiire võit: Lisa kõik 5 ülaltoodud headerit oma serveri konfiguratsiooni. See võtab 5 minutit ja parandab teie turvalisuse taset koheselt igas skannimistööriistas.

HSTS eelring

HTTP Strict Transport Security (HSTS) ütleb brauseritele, et nad peavad alati kasutama HTTPS-i teie domeenil — isegi enne esimest päringut. Ilma HSTS-ta võib teie saidi esimene külastus endiselt kasutada HTTP-d (vastuvõtutundlikkus) enne suunamist HTTPS-ile.

HSTS header:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Kolm direktiivi:

| Direktiiv | Tähendus | |-----------|---------| | max-age=31536000 | Pea meeles seda 1 aasta jooksul (sekundites) | | includeSubDomains | Rakenda ka kõikidele alamdomeenidele | | preload | Taotle lisamist brauseri eelringide nimekirjadesse |

HSTS eelringide nimekiri:

Lõplik HSTS kaitse. Brauserid saadavad endaga kaasas sisseehitatud nimekirja domeenidest, mis peavad alati kasutama HTTPS-i. Oma domeeni esitamine hstspreload.org-le tähendab:

  • Esmakordsed külastajad saavad TLS-i kohe (ilma HTTP → HTTPS suunamiseta)
  • Ründajatel ei ole võimalik seoseid alandada
  • Püsiv (raske eemaldada pärast saatmist)

HSTS eelringide nõuded:

  1. Kehtiv HTTPS-sertifikaat
  2. Suunata kõik HTTP HTTPS-ile (sealhulgas alamdomeenid)
  3. HSTS header koos max-age >= 31536000
  4. HSTS header sisaldab includeSubDomains
  5. HSTS header sisaldab preload
  6. Kõik alamdomeenid peavad toetama HTTPS-i

Hoiatus: Esita eelringidele ainult siis, kui KÕIK teie alamdomeenid toetavad HTTPS-i. includeSubDomains direktiiv tähendab, et iga HTTP-ainult alamdomeen muutub ligipääsmatuks.

Kiire võit: Kui sul juba on HTTPS kõikidel alamdomeenidel, lisa täis HSTS header ja esita hstspreload.org-le. Töötlus võtab paar nädalat, kuid kaitse on püsiv.

Haavatavuste skaneerimine

Automatiseeritud haavatavuste skaneerimine tuvastab teadaolevaid turvaprobleeme teie infrastruktuuris enne, kui ründajad neid ära kasutavad.

Mida haavatavuste skaneerimine kontrollib:

  • Aegunud tarkvara: WordPress, pluginad, JavaScripti raamatukogud, millel on tuntud CVE-d
  • Avatud failid: .env, .git, wp-config.php, andmebaasi dumpid
  • Teabe leke: Serveri versiooni headerid, silumise režiim, virnatrellid
  • Vaikimisi mandaadid: Administraatori lehed ilma autentimiseta, vaikimisi paroolid
  • Avarad pordid/teenused: Tarbetud teenused, mis on internetis avatud
  • Süstimispunktid: Vormid ilma CSRF-kaitseta, valideerimata sisend

Tavalised haavatavused platvormide kaupa:

| Platvorm | Peamine haavatavus | Parandus | |----------|-------------------|-----| | WordPress | Aegunud pluginad | Automaatne uuendus + WAF | | Shopify | Kolmandate osapoolte rakenduste load | Auditeeri rakenduste nimekiri kord kvartalis | | Next.js | Avatud API marsruudid | Autentimise vahend + määrusi piiramine | | Staatilised saidid | CDN vale seadistus | Ülevaatus vahemälu reeglitest | | Kohandatud | SQL süstimine | Parameetrilised päringud |

Skaneerimise sagedus:

  • Iga päev: Automatiseeritud pinnaskaneerimine (SSL, headerid, avatud failid)
  • Iga nädal: Sõltuvuse haavatavuse kontroll (npm audit, WordPressi pluginaskaneerija)
  • Iga kuu: Süva skaneerimine autentimisega testimisega
  • Pärast iga juurutamist: Tagasikäik

Kiire võit: Käita npm audit (Node.js) või kontrollige oma CMSi pluginate nimekirja aegunud komponentide osas. Parandage kriitilised/ kõrge taseme probleemid koheselt.

Segatud sisu

Segatud sisu tekib siis, kui HTTPS leht laadib ressursse (pildid, skriptid, stiililehed, iframed) üle HTTP. See katab osaliselt krüpteeringut ja aktiveerib brauseri hoiatused.

Segatud sisu tüübid:

| Tüüp | Tõsidus | Näide | Brauseri käitumine | |------|----------|---------|------------------| | Aktiivne | Kõrge | HTTP skript, iframe, CSS | Blokeeritud vaikimisi | | Passiivne | Keskmine | HTTP pilt, video, audio | Laaditud hoiatusega |

Aktiivne segatud sisu blokeeritakse kaasaegsete brauserite poolt — see tähendab, et teie skriptid ja stiilid lihtsalt ei lae. Passiivne segatud sisu laaditakse, kuid kuvatakse turvalisuse hoiatus.

Segatud sisu leidmine:

  1. Ava Chrome DevTools → Konsool
  2. Otsi "Segatud Sisu" hoiatusi
  3. Alternatiivina skaneeri indekseerijaga (Screaming Frog, LANGR)

Tavalised segatud sisu allikad:

  • Koodis kõvutatud http:// URL-id (blogipostitustes, tootekirjeldustes)
  • Kolmandate osapoolte vidinad, mis laadivad HTTP ressursse
  • Manustatud sisu (YouTube'i vanad embedded, sotsiaalmeedia vidinad)
  • CSS background-image HTTP URL-dega
  • Fondid, mis laetakse üle HTTP

Segatud sisu parandamine:

<!-- Halb -->
<img src="http://example.com/image.jpg" />

<!-- Hea -->
<img src="https://example.com/image.jpg" />

<!-- Parim (protokolli suhteline, kohandub lehe protokolliga) -->
<img src="//example.com/image.jpg" />

Andmebaasi parandamine (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

Kiire võit: Ava oma avaleht Chromes, vajuta F12, vaata Konsooli vahekaardil segatud sisu hoiatusi. Parandage kõik, mis ilmneb — need on Google'i jaoks otse nähtavad.

Kolmandate Osapoolte Skriptide Riskid

Iga väline skript, mida laadite, on potentsiaalne turvarisk (ja jõudluse) vastutus. Kolmandate osapoolte skriptid võivad:

  • Olla ohustatud (varustusketi rünnakud)
  • Jälgida teie kasutajaid ilma nõusolekuta (GDPR rikkumine)
  • Aeglustada teie saiti (renderdamise blokeerimine, võrgu latentsus)
  • Rikkuda funktsionaalsust (versiooniuuendused, katkestused)
  • Süüdistada soovimatut sisu (vale reklaamisüster)

Auditige oma kolmandate osapoolte skripte:

| Skript | Vajalik? | Riskitase | Alternatiiv | |--------|-----------|------------|-------------| | Google Analytics | Tihti jah | Madal | Serveripoolne jälgimine | | Vestlusvidinad | Võib-olla | Keskmine | Iseseisvalt hostitud lahendused | | Sotsiaalsed jagamisnupud | Harva | Keskmine | Staatilised jagamislingid | | A/B testimine | Mõnikord | Kõrge | Serveripoolne testimine | | Uute suunamiskoodide kestus | Äriküsimus | Kõrge | Esimese osapoole andmed | | Fondi CDN-id | Mugav | Madal | Ise hostitud fondid |

Riski leevendamine hädavajalike kolmandate osapoole skriptide jaoks:

  1. Alamdressi Tunnustamine (SRI): Hashi kinnitamine takistab manipuleeritud skriptide laadimist
<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>
  1. CSP piirangud: Luba ainult skripte tuntud domeenidest
  2. Mürgitatud iFrame'id: Isolatsioon kolmandate osapoolte vidinatest
  3. Regulaarsed kontrollid: Kvartaalne ülevaade kõigist välistest ressurssidest
  4. Jälgimine: Teavitamine uute välistest domeenidest, mis teie lehtedel ilmuvad

Kiire võit: Loetlege iga