Skip to main content
Back to blog

SEO Gids Stap 7: Feiligens — De Basisliny dy't Google yn 2026 Ferwachtet

·12 min read·by LANGR SEO

SEO Gids Stap 7: Feiligens

Dit is Stap 7 fan de 13-Stappen SEO Gids. Feiligens giet net allinne oer it beskermjen fan brûkers — it hat direkt ynfloed op jo sykranglist. Google brûkt al sûnt 2014 HTTPS as in rangsinaal, en de ferwachtingen binne allinnich mar grutter wurden.

De measte webside-eigners besjen feiligens as in binary: “Wy hawwe SSL, dus wy binne feilich.” Yn 'e praktyk evaluearret Google tsientallen feiligenssinaalen. Sites mei de juiste feiligensheaders, jildige sertifikaten en gjin mingde ynhâld hawwe in bettere ranglist dan sites dy't allinnich in basis SSL-sertifikaat hawwe — alle oare dingen fêst.

It goede nijs: de measte feiligensferbetteringen binne ienmalige konfiguraasjes. Stel se ien kear yn en se beskermje jo ranglist permanent.

SSL Konfiguratie

SSL (technysk TLS) fersifert de ferbining tusken jo server en besikers. Sûnt 2014 hat Google eksplisyt HTTPS befestige as in rangsinaal. Yn 2026 is it net hawwe fan HTTPS gjin probleem mear — Chrome markeart HTTP-websides as "Net Feilich" yn 'e adresbalk, wat it fertrouwen fan brûkers ûndergraven kin.

Eisen foar in goede SSL:

| Eisen | Wêrom | Hoe te Kontrolearje | |----------------|----------------------------|---------------------------| | Jildich sertifikaat | Ferfallen = browser waarskowing = ôfsketten brûkers | Kontrolearje expiry datum | | Folle keten | Yncomplete ketens falle op guon apparaten | SSL Labs test | | TLS 1.2+ | Âlder ymmers hawwe bekende kwetsberens | SSL Labs test | | Gjin SHA-1 | ôfskreaun, browsers rekkene it ôf | Sertifikaat details | | SAN-dekking | www en non-www moatte beide bedekt wêze | Sertifikaat details | | Auto- renewal | Foarkomt ferfal rampen | Let's Encrypt / leveransier konfiguratie |

SSL scoring:

100% = Jildich cert + Folle keten + TLS 1.3 + Sterke cipher + Auto-renew
  0% = Ferfallen of ûntbrekkend sertifikaat

Gemiddelde SSL-fouten:

  1. Sertifikaat ferfalt sûnder warskôging — Set monitoring op (Stap 6) minimaal 30 dagen foar ferfal
  2. Incomplete sertifikaatketen — Server moat tuskenlizzende sertifikaten stjoere, net allinnich it blêd
  3. Mingde ynhâld — HTTPS-pagina laadt HTTP boarnen (bylden, scripts, stylesheets)
  4. Redirect loops — HTTP → HTTPS → HTTP syklussen feroarsake troch misconfigure CDNs/proxy
  5. Non-www vs www mismatch — Sertifikaat dekt de ien mar net de oare

Quick win: Draai jo domein troch SSL Labs (ssllabs.com/ssltest). Alles ûnder in "A"-beoardieling hat aksjoneel issues. De measte hostingproviders fixje dit mei ien klik.

Feiligensheaders

Feiligensheaders binne HTTP-antwurdheaders dy't browsers ynstruearje hoe't se wêze moatte by it laden fan jo webside. Se foarkomme hiele kategoryen fan oanfallen — en Google's crawlers kontrolearje se.

De essinsjele feiligensheaders:

Ynhâld-Security-Policy (CSP)

CSP is de machtichste feiligensheader. It seit browsers krekt hokker boarnen (scripts, styles, bylden, lettertypen) folge binne om te laden op jo siden.

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

Wat CSP foarkomt:

  • Cross-site scripting (XSS) oanfallen
  • Gegevensynjeksje-aanfallen
  • Clickjacking (troch frame-ancestors)
  • Unautorisearre script útfiering (cryptominers, advertinsjes)

CSP ynsetstrategy:

  1. Begjin mei Content-Security-Policy-Report-Only (logged violations sûnder te blokkearjen)
  2. Monitoar reports foar 1-2 weken
  3. Wytlist legitieme boarnen
  4. Wizig nei enforcing mode
  5. Tafoegje report-uri of report-to foar yngeande ynbreuk logging

X-Frame-Options

Foarkomt dat jo webside yn iframes op oare domeinen ynbedrage wurdt (clickjacking-beskerming).

X-Frame-Options: DENY

Of as jo itselde-oarsprong framing moatte tastimme:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

Foarkomt dat browsers MIME-type sniffing (bestannen ynterpretearje as oare soarten as deklare).

X-Content-Type-Options: nosniff

Dizze ien-regel foarkomt oanfallen wêr't in .jpg-bestân ferburgen Javascript befet dat de browser mooglik útfiert.

Referrer-Policy

Kontrolearret hoefolle referrer ynformaasje ferstjoerd wurdt as brûkers links fan jo webside klikke.

Referrer-Policy: strict-origin-when-cross-origin

Dit stjoert de folsleine URL foarSame-origin fersiken mar allinnich de oarsprong (domein) foar cross-origin fersiken. Balânsje analytyske behoeften mei privacy.

Permissions-Policy

Kontrolearret hokker browserfunksjes (kamera, mikrofoan, geolokaasje, ensfh.) brûkt wurde kinne op jo webside.

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

It útskeakeljen fan funksjes dy't jo net brûke, foarkomt dat tredde partijen se misbrûke.

Header ynsetfoarbyld (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

Header ynset (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Header ynset (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Quick win: Foegje alle 5 headers hjirboppe ta oan jo serverkonfiguratie. Dit duorret 5 minuten en ferbetteret dadelik jo feiligensposysje yn elke scans foar it ark.

HSTS Preload

HTTP Strict Transport Security (HSTS) seit browsers om altyd HTTPS foar jo domein te brûken — sels foar de earste oanvraag. Sûnder HSTS kin de earste besite oan jo webside noch HTTP brûke (kwetsber foar ynterceptie) foardat de oerskeakeljen nei HTTPS bart.

HSTS header:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

De trije wissen:

| Wys | Betekenis | |------|----------------------------| | max-age=31536000 | Hâld dit yn gedachten foar 1 jier (yn sekonden) | | includeSubDomains | Pas ek ta op alle subdomeinen | | preload | Frege om ynsluting yn browser preload listen |

HSTS preload list:

De ultime HSTS-beskerming. Browsers komme mei in ynboude list fan domeinen dy't altyd HTTPS brûke moatte. Jo domein ynstjoere oan hstspreload.org betsjut:

  • Earste besikers krije mededielings op HTTPS ( gjin HTTP → HTTPS oerskeakeljen)
  • It is ûnmooglik foar aanvallers om ferbining te fergrutsjen
  • Permanent (dreech om fuort te nimmen as ynstjoerd)

Eisen foar HSTS preload:

  1. Jildich HTTPS-sertifikaat
  2. Om all HTTP nei HTTPS te rjochtsjen (ynklusyf subdomeinen)
  3. HSTS header mei max-age >= 31536000
  4. HSTS header omfettet includeSubDomains
  5. HSTS header omfettet preload
  6. Alle subdomeinen moatte HTTPS stypje

Warskôging: Stjoer allinnich yn foar preload as ALLE jo subdomeinen HTTPS stypje. De includeSubDomains-wys betsjut dat elke HTTP-allinnich subdomein ynakessabel wurdt.

Quick win: As jo al HTTPS hawwe op alle subdomeinen, foegje de folsleine HSTS-header ta en stjoere oan hstspreload.org. It proses duorret in pear weken, mar de beskerming is permanent.

Kwetsberensscan

Automatyske kwetsberensscan identifisearret bekende feiligensproblemen yn jo stack foardat aanvallers se misbrûke.

Wat kwetsberensscan kontrolearret:

  • Feroare software: WordPress, plugins, JavaScript-biblioteken mei bekende CVE's
  • Eksposearre bestannen: .env, .git, wp-config.php, database dumps
  • Ynformaasje lekke: Serverferzje headers, debug mode, stack traces
  • Standaard credentials: Admin siden sûnder autentikaasje, standaard wachtwurden
  • Iene poarten / tsjinsten: Unnodige tsjinsten eksposearre op it ynternet
  • Ynjeksjepunten: Foarmen sûnder CSRF-beskerming, ûnvalidierte ynputs

Gemiddelde kwetsberens per platfoarm:

| Platfoarm | Top Kwetsberens | Fix | |-----------|------------------------|---------------------| | WordPress | Feroare plugins | Auto-update + WAF | | Shopify | Tredde partij app machtigingen | Audit applist elk kwartaal | | Next.js | Eksposearre API-rûtes | Auth middleware + rate limiting | | Statyske sites | CDN misconfigure | Besjoch cache regels | | Oanpast | SQL ynjeksje | Parameterized queries |

Scanfrekwinsje:

  • Deistich: Automatyske oerflakscan (SSL, headers, eksposearre bestannen)
  • Wekliks: Kwetsberenskontrole fan ôfhinklikheden (npm audit, WordPress plugin scanner)
  • Moanliks: Djippe scan mei autentike testen
  • Nei elke ynkear: Regression kontrole

Quick win: Draai npm audit (Node.js) of kontrolearje jo CMS-pluginlist foar ferâldere komponinten. Fixje kritike/hege ernstsproblemen immediat.

Mingde Ynhâld

Mingde ynhâld ûntstiet as in HTTPS-pagina boarnen (bylden, scripts, stylesheets, iframes) oer HTTP laadt. Dit brekt partial de fersifering en aktiveart browser warskôgingen.

Soarten mingde ynhâld:

| Type | Ernst | Foarbyld | Gedrach fan browser | |---------|-----------|-----------------------|---------------------| | Aktiv | Heech | HTTP-script, iframe, CSS | Blokkeard troch standard | | Passyf | Medium | HTTP-ibyld, fideo, audio | Laadt mei waarskôging |

Aktive mingde ynhâld wurdt blokkearre troch moderne browsers — dat betsjut dat jo scripts en styles simpelwei net laadt. Passive mingde ynhâld laadt mar lit feiligenswarskôgingen sjen.

Finen fan mingde ynhâld:

  1. Iepenje Chrome DevTools → Console
  2. Socht "Mingde Ynhâld" warnings
  3. Alternatyf, scan mei in crawler (Screaming Frog, LANGR)

Gemiddelde boarnen fan mingde ynhâld:

  • Hardcoded http:// URLs yn ynhâld (blogposts, produktbeskriuwingen)
  • Tredde partij widgets dy't HTTP-boarnen lade
  • Embed ynhâld (âlde embeds fan YouTube, sosjale media widgets)
  • CSS background-image mei HTTP-URLs
  • Fonts laden oer HTTP

Fixearjen fan mingde ynhâld:

<!-- Slecht -->
<img src="http://example.com/image.jpg" />

<!-- Goed -->
<img src="https://example.com/image.jpg" />

<!-- Best (protokol-relatyf, past him oan it sideprotokol) -->
<img src="//example.com/image.jpg" />

Databasefix (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

Quick win: Iepenje jo homepage yn Chrome, druk op F12, kontrolearje it Console tab foar mingde ynhâld waarskôgingen. Fixje elke dy't ferskynt — dizze binne direkt sichtber foar Google.

Tredde-Partijen Script Risico's

Elk eksterne script dat jo laden, is in potensjele feiligens (en prestaasjes) ferantwurdlikheid. Tredde-partij scripts kinne:

  • Kompromitteard wêze (supply chain attacks)
  • Jo brûkers folgje sûnder tastimming (GDPR-oertredingen)
  • Jo webside traach meitsje (render-blocking, netwurk latency)
  • Funksjonaliteit brutsen (ferzje-updates, ûnderbrekkingen)
  • Ien nije ynhâld ynjeksje (advertinsjescripts dy't ferkeard gean)

Audit jo tredde-partij scripts:

| Script | Nefedich? | Risiko-nivo | Alternatyf | |---------------------------|-----------|-------------|----------------------------------| | Google Analytics | Faak ja | Leech | Server-side tracking | | Chat widgets | Miskien | Medium | Selbstgehoste oplossingen | | Sosjale share knoppen | Selden | Medium | Statyske diel links | | A/B testen | Somtiden | Heech | Server-side testen | | Retargeting pixels | Bedriuwsbesluting | Heech | First-party data | | Font CDNs | Handich | Leech | Selbstgehoste fonts |

Risiko's om te minimalisearjen foar essinsjele tredde-partij scripts:

  1. Subresource Integrity (SRI): Hash ferifikaasje foarkomt dat tampered scripts laden wurde
<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>
  1. CSP-beheiningen: Allinnich tastimme scripts fan bekende domeinen
  2. Sandboxed iframes: Isolearje tredde-partij widgets
  3. Regelmjittige audits: Kwartierlike evalutaasje fan alle eksterne boarnen
  4. Monitoring: Waarskôging oer nije eksterne domeinen dy't yn jo sidan ferskine

Quick win: List elkenien