Skip to main content
Back to blog

SEO Gida Pausoa 7: Segurtasuna — 2026an Googlesek Espero Duen Oinarria

·11 min read·by LANGR SEO

SEO Gida Pausoa 7: Segurtasuna

Hau da 13 Pausoko SEO Gida pauso 7. Segurtasunak ez du soilik erabiltzailiak babesten — zure bilaketa sailkapenetan eragina zuzena du. Googlek 2014tik aitzindari gisa HTTPS erabili du, eta esperoak inguruan handitu egin dira.

Webgune jabe gehienek segurtasuna biderkatu gisa pentsatzen dute: "SSL dugu, beraz seguru gaude." Errealitatean, Googlek segurtasun seinale asko ebaluatzen ditu. Segurtasun goiburu egokiak, baliozko ziurtagiriak eta ez nahastutako edukiak dituzten guneek, soilik SSL ziurtagiri oinarrizkoa duten guneak gainditzen dituzte — beste guztiak berdin badaude.

Albiste onak: segurtasun konponketa gehienek behin-behineko konfigurazioak dira. Behin ezarrita, zure sailkapenak betiko babestuko dituzte.

SSL Konfigurazioa

SSL (teknikoki TLS) zure zerbitzari eta bisitarien arteko konektibitatea enkriptatzen du. 2014az geroztik, Googlek HTTPS ranking sinal gisa adierazi du. 2026an, HTTPS ez izatea ez da soilik sailkapen arazo bat — Chrome HTTP guneak "Ez Seguru" bezala markatzen ditu helbide barran, erabiltzaileen fidagarritasuna suntsituz.

SSL egokia izateko baldintzak:

| Baldintza | Zergatik | Nola Egiaztatu | |-----------|----------|----------------| | Baliozko ziurtagiria | Irautza = nabigatzaile abisua = erabiltzaileen irteera | Iraungitze data egiaztatu | | Kate osoa | Kate osatuak zenbait gailuetan porrot egiten du | SSL Labs proba | | TLS 1.2+ | Bertsio zaharrek ahultasun ezagunak dituzte | SSL Labs proba | | SHA-1 gabe | Desegokia, nabigatzaileek baztertzen dute | Ziurtagiri xehetasunak | | SAN estaldura | www eta non-www biak estali behar dira | Ziurtagiri xehetasunak | | Auto-renobatzea | Iraungitze katastrofen aurka babesten du | Let's Encrypt / hornitzaile konfigurazioa |

SSL puntuazioa:

100% = Baliozko ziurtagiria + Kate osoa + TLS 1.3 + Cipher indartsua + Auto-renobatzekoa
  0% = Iraungitako edo falta den ziurtagiria

SSL akats arruntak:

  1. Ziurtagiria abisurik gabe iraungitzen da — Behin behineko monitore bat ezarri (Pausoa 6) iraungitze data baino gutxiago 30 egun lehenago
  2. Ziurtagiri kate ez osatua — Zerbitzariak tarteko ziurtagiriak bidali behar ditu, ez bakarrik hosto hori
  3. Edukien nahastea — HTTPS orrialdeak HTTP baliabideak kargatzen ditu (irudiak, scriptak, estiloko orri-sakontesak)
  4. Birbideraketa zikloak — HTTP → HTTPS → HTTP zikloak CDN/proxy okerrez eragindakoak
  5. Non-www vs www ezberdintasunak — Ziurtagiriak bat estaltzen du baina bestea ez

Lortutako irabazia: Atera zure domeinua SSL Labs-en (ssllabs.com/ssltest). "A" irakurketa batetik beherako edonork arretazko arazoak ditu. Hosting hornitzaile gehienek hauek konpontzen dituzte klik batean.

Segurtasun Goiburuak

Segurtasun goiburuak HTTP erantzun goiburuak dira, nabigatzaileei zure gunea kargatzean nola jokatzen den irakasten diotenak. Atentatuen kategorien osokoak prebenitzen dituzte — eta Googleren spiderrek haiek bilatzen dituzte.

Segurtasun goiburu nagusiak:

Edukien-Segurtasun-Politika (CSP)

CSP segurtasun goiburu indartsuena da. Nabigatzaileei zehazki zein baliabide (scriptak, estiloak, irudiak, fontak) kargatzea onartzen zaien esaten die.

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

CSPk prebenitzen dituenak:

  • Cross-site scripting (XSS) atentatuak
  • Datu injezio atentatuak
  • Clickjacking ( frame-ancestors erabiliz)
  • Baimentzarik gabeko script exekuzioa (kriptominerak, publizitate injezioak)

CSP ezartze estrategiak:

  1. Hasi Content-Security-Policy-Report-Onlyekin (hautsak logatzen ditu blokeatu gabe)
  2. Monitorizatu txostenak 1-2 astez
  3. Baldintza legittimoak zerrendatu
  4. Ezarri blokatzeko modura
  5. Gehitu report-uri edo report-to jarraitu beharreko hausturen logginga

X-Frame-Options

Zure gunea beste domeinu batzuetako iframetan txertatzea eragozten du (clickjacking babesa).

X-Frame-Options: DENY

Edo iframetan lehen-ainguratu behar baduzu:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

Nabigatzaileei MIME-mota sniffing-a eragozten die (fitxategiak deklaratuta zeuden moten desberdinetako gisa ulertzen).

X-Content-Type-Options: nosniff

Linha honen bidez, .jpg fitxategiek javascript ezkutua duten kasuetan erasoak prebenitzen ditu, nabigatzaileak exekutatu dezakeena.

Referrer-Policy

Zer nolako informazioa bidaltzen den kontrolatzen du, erabiltzaileek zure gunetik loturak klik egiterakoan.

Referrer-Policy: strict-origin-when-cross-origin

Honek same-origin eskaeretan URL osoa bidaltzen du, baina apenas orgina (domeinua) cross-origin eskaeretan. Analitiko beharrak pribatutasunarekin orekatzen ditu.

Permissions-Policy

Zure gunean erabil daitezkeen nabigatzaile funtzioen (kamera, mikrofonoa, geolokalizazioa, etab.) kontrola ematen du.

Permissions-Policy: camera=(), mikrofonoa=(), geolokalizazioa=(), ordainketa=()

Ez erabiltzen dituzun funtzioen desgaitzeak hirugarrenen scriptak abuztatu ez ditzaten prebenitzen du.

Goiburuen ezarpen adibidea (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), mikrofonoa=(), geolokalizazioa=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

Goiburuen ezarpena (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "kamera=(), mikrofonoa=(), geolokalizazioa=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Goiburuen ezarpena (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "kamera=(), mikrofonoa=(), geolokalizazioa=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Lortutako irabazia: Gehitu goiburu horiek guztiak zure zerbitzari konfigurazioan. Honek 5 minutuko denbora hartzen du eta segurtasunari buruzko hobetzea dakartza edozein azterketa-tresnatan.

HSTS Preload

HTTP Strict Transport Security (HSTS) nabigatzaileei beti HTTPS erabiltzera agintzen die zure domeinarentzat — lehenengo eskariaren aurretik ere. HSTS gabe, zure gunera lehenengo bisita HTTP erabil dezake (interzeptatzeko arriskua duen) HTTPSera birbideratu aurretik.

HSTS goiburua:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Hiru aginduak:

| Agindu | Adierazpena | |--------|-------------| | max-age=31536000 | Hau 1 urtez (segundotan) gogoan izan | | includeSubDomains | Azpi-domeinatan ere aplikatu | | preload | Nabigatzaile preload zerrendetan barne-hartzearen eskaera |

HSTS preload zerrenda:

HSTS babes ultimatiboa. Nabigatzaileek beti HTTPS erabili behar duten domeinen zerrenda barnean ekartzen dute. Zure domeina hstspreload.org-era bidaltzeak esan nahi du:

  • Lehen bisitariek HTTPS berehala lortzen dute (ez dago HTTP → HTTPS birbideratzerik)
  • Erregeen atakeei konexioak jaistea ezinezkoa da
  • Iraunkorra (zaila da bidaltzen duen ondoren kendu)

HSTS preloadetarako baldintzak:

  1. Baliozko HTTPS ziurtagiria
  2. HTTP guztia HTTPS-era birbideratu (azpi-domeinetan barne)
  3. HSTS goiburua max-age >= 31536000rekin
  4. HSTS goiburua includeSubDomains barne hartzen du
  5. HSTS goiburua preload barne hartzen du
  6. Azpi-domein guztiak HTTPS onartzen dute

Abisua: Preloadera soilik bidali zure azpi-domein guztiek HTTPS onartzen badute. includeSubDomains aginduak HTTP bakarrizko azpi-domein bat atzitzeak iritsitakoek iritsitakoak ez ditzake.

Lortutako irabazia: Azpi-domein guztietan HTTPS baduzu, gehitu HSTS goiburua osoa eta bidali hstspreload.org-era. Prozesuak aste batzuk irauten ditu baina babesa iraunkorra da.

Ahultasun Ikuskapena

Automatikoki ahultasun ikuskapenak ezagutzen ditu zure stackean dauden segurtasun arazo ezagunak erasotzaileek irabaziak jaso aurretik.

Ahultasun ikuskapenak zer egiaztatzen duen:

  • Software zaharkitua: WordPress, pluginak, CVE ezagunak dituzten JavaScript liburutegiak
  • Iragazkiak itxita: .env, .git, wp-config.php, datu-baseko dumps
  • Informazioa ihes: Zerbitzari bertsio goiburuak, debug modua, pilatuen arrastoak
  • Lehenetsitako kredentzialak: Autentifikaziorik gabeko administrazio orriak, lehenetsitako pasahitzak
  • Ireki portuak/zerbitzuak: Interneten esposatutako zerbitzu behar ez direnak
  • Injekzio puntuetako: CSRF babesa ez den eremuak, balioztatu gabeko sarrerak

Sareko plataforma bakoitzeko ahultasun arruntak:

| Plataforma | Ahultasun nagusia | Konponbidea | |------------|--------------------|--------------| | WordPress | Plugin zaharkituak | Auto-eguneratzea + WAF | | Shopify | Hirugarrenen aplikazio baimenak | Aplikazio zerrenda ikuskatu hiruhilekoan | | Next.js | API bideak esposatuta | Auth middleware + irizpideak mugatzea | | Estatikoak | CDN okerrez konfigurazioa | Cache arauak aztertu | | Pertsonalizatua | SQL injezioa | Parametrozko galderak |

Ikuskapen maiztasuna:

  • Egunero: Automatikoki azaleko ikuskapena (SSL, goiburuak, esposatutako fitxategiak)
  • Astero: Mendekotasunen ahultasun kontrola (npm audit, WordPress plugin ikuskera)
  • Hileko: Ikuskapen sakona autentifikazioa erabiliz
  • Kargatu den bakoitzean: Atzera egiaztapena

Lortutako irabazia: Exekutatu npm audit (Node.js) edo egiaztatu zure CMS plugin zerrenda zaharkituta dauden osagaien bila. Kritiko/altu larritasuneko arazoak berehala konpondu.

Edukien Nahastea

Edukien nahastea gertatzen da HTTPS orrialde bat HTTP bidez baliabideak (irudiak, scriptak, estiloko orri-sakontesak, iframak) kargatzen dituenean. Honek enkriptazioa partzialki hausten du eta nabigatzaileek abisurik ematen dute.

Edukien nahaste mota:

| Mota | Larrialdia | Adibidea | Nabigatzaile Komportamendua | |------|------------|----------|-----------------------------| | Aktiboa | Handia | HTTP script, iframe, CSS | Lehenetsitako blokeatuta | | Pasiboa | Ertaina | HTTP irudia, bideoa, audioa | Abisurik gabe kargatuta |

Aktiboek nahasteak modernoak dituzten nabigatzaileek blokeatzen dituzte — hau da, zure scriptak eta estiloak kargatu ez daitezke. Pasiboa nahasteak kargatuko dira baina segurtasun abisuekin.

Edukien nahastea aurkitzeko:

  1. Ireki Chrome DevTools → Kontsola
  2. Bilatu "Edukien Nahastea" abisuak
  3. Alternatiboki, eskaneatu crawler batekin (Screaming Frog, LANGR)

Edukien nahaste ohiko iturriak:

  • Edukietan sartuta http:// linkak (blog argitalpenak, produktu deskribapenak)
  • Hirugarrenen widgetak HTTP baliabideak kargatzen dituztenak
  • Inbertitutako edukiak (YouTube zaharreko inbertitzen, gizarte komunikabideen widgetak)
  • CSS background-image HTTP linkekin
  • HTTP bidez kargatutako fontak

Edukien nahastea konpontzea:

<!-- Txarra -->
<img src="http://example.com/image.jpg" />

<!-- Ona -->
<img src="https://example.com/image.jpg" />

<!-- Hoberenak (protokoloarekiko, orri-protokoloarekin egokitzen da) -->
<img src="//example.com/image.jpg" />

Datu-basea konpondu (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

Lortutako irabazia: Ireki zure hasiera orria Chrome-n, sakatu F12, eta Kontsola atalean egiaztatu edukien nahasteko abisuak. Azpian agertzen direnak konpondu — hauek zuzenean ikus daitezke Googlen.

Hirugarrenen Scripten Arriskua

Kargatzen duzun hirugarren script bakoitza arrisku potentziala (eta errendimendu) da. Hirugarren scriptak:

  • Konprometituta egon daitezke (hornidura kateetako erasotutako)
  • Erabiltzaileak baimendu gabe jarraipena egin dezakete (GDPR haustea)
  • Zure webgunea moteldu dezakete (render-blokeatzea, sareko atzerapena)
  • Funtzionaltasuna hautsi (bertsio eguneratzeak, gutxiago)
  • Eduki desegokiak txertatu (publizitate scriptak oker)

Hirugarren scriptak ikuskatu:

| Script | Beharrezkoa? | Arrisku-maila | Alternatiba | |--------|--------------|---------------|--------------| | Google Analytics | Sarritan bai | Baxua | Zerbitzari aldeko jarraipena | | Txat widgetak | Agian | Ertaina | Auto-hosting irtenbideak | | Sosialak partekatzeko botoiak | Azken finean | Ertaina | Estatikoki partekatzeko linkak | | A/B egiaztatzeko | Batzuetan | Handia | Zerbitzari aldeko testinga | | Erretargeting pixelak | Negozio erabakia | Handia | Lehenengo alderdiko datua | | Font CDNak | Erraza | Baxua | Fontak bere egin |

Hirugarren script garrantzitsuen arriskuak murrizteko:

  1. Subresource Integrity (SRI): Hash egiaztapenak kargatzen dituen script haustuak prebenitzen ditu
<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>
  1. CSP murrizketak: Ez utzi scriptak ezagutzen diren domeinetatik
  2. Sandboxed iframak: Hirugarrenen widgetak isolatzeko
  3. Erregularrak ikuskatu: Hiruhileko batean kanpoko baliabide guztien berrikuntza
  4. Monitorizatzea: Edozein kanpoko domeinuren agerpen berriaren abisua

Lortutako irabazia: Zure HTMLn src etiketak kargatzen dituen domeinotik loturak listatu. Ez ezagutu edo ez dutelako ez duten edo ez dutelako zure beharrak dituztenak ezabatu. Ezabatze bakoitzean segurtasuna eta orriaren abiadura hobetzen ditu.

Malware Detekzioa & Google Segurtasun Nabigazioa

Googlek malware banatzen duten edo phishing edukiak duten guneen listo batekin Segurtasun Nabigazioa mantentzen du. Hemen agertzea katastrofikoa da SEO-rako — Googlek erabiltzaileek zure gunera bisita egiteko lehen orri osoa abisatzen du.

Nola bultzatzen diren webguneak:

  • Malware banatzen duen gunea (hacked WordPress, etab.)
  • Script injezitua gaizto diren guneetara birbideratzen
  • Zure domeinan ostatuatutako phishing orriak
  • Erabiltzaileek sortutako edukiak malware lotzen
  • Arriskutsutzat jotzen den fitxategietan ostatu

Zure Segurtasun Nabigazio egoera egiaztatzea:

https://transparencyreport.google.com/safe-browsing/search?url=yourdomain.com

Edo Google Search Console-n: Segurtasun Arazoen atal.

Prebentzioa:

  • Software guztiak eguneratuta mantendu (CMS, pluginak, liburutegiak)
  • Indartsu, bakar administrazio pasahitzak + 2FA erabili
  • Fitxategien integritatearen gainbegiratzea (desautorizatutako aldaketak detektatu)
  • Erabiltzaileek igotako edukia eskaneatu
  • Erabiltzen ez diren pluginak/temak ezabatu
  • Administrazio erabiltzaileak aldizka berrikusi

Markatu baduzu:

  1. Identifikatu eta ezabatu malware/phishing edukiak
  2. Software guztiak eguneratu eta pasahitz guztiak aldatu
  3. Eskaera egin Google Search Console-n
  4. Azterketek, oro har, 1-3 egun irauten dute
  5. Hurbil zaindu 30 egun (berrikastatzea ohikoa da)

Lortutako irabazia: Zure gunea checkatu transparencyreport.google.com-en. Garbi badago, ziurtatu zure CMS eta plugin guztiak eguneratuta daudela horrela mantentzeko.

Segurtasun SEO Zerrenda

  • [ ] Baliozko SSL ziurtagiria auto-renobatzekoa konfiguratutako
  • [ ] HTTP → HTTPS birbideratzea orrialde guztietan (301, ez 302)
  • [ ] HSTS goiburua max-age >= 31536000rekin
  • [ ] Edukien-Segurtasun-Politika goiburua konfiguratutako
  • [ ] X-Content-Type-Options: nosniff
  • [ ] X-Frame-Options: DENY edo SAMEORIGIN
  • [ ] Referrer-Policy: strict-origin-when-cross-origin
  • [ ] Permissions-Policy desgaitutako ez erabiltzen diren funtzioak
  • [ ] Ez edukien nahastea (HTTPS orrialdeetan HTTP baliabideak)
  • [ ] Fitxategi sentikorrak ez direla esposatu (.env, .git, konfigurazio fitxategiak)
  • [ ] Zerbitzari bertsio goiburuak ezabatu edo generikoak
  • [ ] Software/plugin guztiak eguneratuta
  • [ ] Google Segurtasun Nabigazio egoera: garbia
  • [ ] Hirugarren scriptak ikuskatu eta minimizatu
  • [ ] SRI hashak kritikoen kanpoko scriptetan

Segurtasun Akats Arruntak (SEO Eraginaren arabera sailkatuta)

  1. Iraungitako SSL ziurtagiria — Sailkapen erori azkar + nabigatzaile abisua
  2. Edukien nahastea — Fidagarritasun seinaleak jeitsi, enkriptazio partzialak erabilgarritasunik ez
  3. HSTS gabe — Lehen eskaera ahultasun, segurtasun postura ahula seinalatzen du
  4. CSP falta — Edozein script exekutatu ez du (XSS vetor)
  5. Fitxategi sentikorrak esposatuak.env API giltzekin, .git iturri kodearekin
  6. Software/plugin zaharkituak — Ezagutu laguntzak, azkenean konpromisoa
  7. Ez da inolako segurtasun goibururik — Segurtasuna kontuan ez hartu duzula seinalatzen du
  8. Hirugarren script gehiegizko baimenak — Segurtasun zuloak controlatzen ez dituzunak

Zer da hurrengoa?

Pausoa 8: AI Ikusgarritasuna — 2026ko SEO-a aurreratuena. Nola optimizatu Google AI Ikuspegirako, ChatGPT hitzak, Perplexity erreferentziak, eta Gemini — lehiakideek ez duten aurreikuspenera nazio gehiago azkar handitzen ari den aurkezpen kanal bat.

Gida hau LANGRen 13 pausoetako SEO seriearen parte da. Doako azterketa bat exekutatu ikusteko nola dagoen zure webgunea 13 diziplinetako bakoitzen guztietan.

Want to know where your site stands?

Run a free SEO audit — it takes under 60 seconds.

Recently Analyzed

uca.edu.br90portalpopmais.com.br81knowunity.co78discosdobrasil.com.br68socialbauru.com.br77elimeira.com.br84

Related articles

SEO Gida Pauso 13: E-commerce SEO — Produktu Orrialdeak Salmenta Makina bihurtzea

Ikasi nola optimizatu produktu orrialdeak, kategorien egitura, erosketen iragazkiak eta esquema markatua e-commerce dendetarako. SEO gidaren 13. pausoa.

8 min read

SEO Gida 12. Pausoa: Tokiko SEO — Zure Hirian Bilaketa Emaitzetan Nagusitzea

Ikasi nola sailkatu Google-ren Tokiko Paketean, optimizatu zure Google Negozio Profila, eta eraiki tokiko agintea. SEO gidako 12. pausoa 13 pausoetatik.

7 min read

SEO Gida 11. Pausoa: B2B Lead Aurkikuntza — SEO Datuak Kualifikatutako Lead bihurtzea

Learn how to use SEO data for automated lead generation, domain-based prospecting, lead scoring from SEO metrics, and outreach based on SEO findings. 13 pausoko SEO gidaren 11. pausoa.

16 min read