Skip to main content
Back to blog

Treoir SEO Céim 7: Slándáil — An Bunlíne a éilíonn Google i 2026

·13 min read·by LANGR SEO

Treoir SEO Céim 7: Slándáil

Is é seo Céim 7 den Treoir SEO 13 Céim. Níl slándáil ag baint le cosaint a dhéanamh ar úsáideoirí amháin — tá tionchar díreach aici ar do ranganna cuardaigh. Úsáideann Google HTTPS mar chomhartha ranga ó 2014, agus tá na hionchais ag dul i méid.

Síleann an chuid is mó atá ina n-úinéirí suíomh gréasáin go bhfuil slándáil ina rud déanta as dhá ghné: "Tá SSL againn, mar sin táimid slán." I ndáiríre, déanann Google measúnú ar na céadta comhartha slándála. Aithníonn suíomhanna a bhfuil ceannteidil shlán i gceart acu, aicmeanna bailí, agus gan ábhar measctha níos airde ná suíomhanna le deimhniú SSL bunúsach amháin — má tá gach rud eile comhoiriúnach.

Is é an dea-scéal: tá an chuid is mó de na réitigh slándála ina comhoiriúnachtaí aon-uair. Socraigh iad uair amháin, agus cosnaíonn siad do ranganna go buan.

Comhoiriúnacht SSL

Cuireann SSL (teicniúil TLS) cosc ar chomhoiriúnacht idir do shéirbhís agus do chuairteoirí. Ó 2014 i leith, chonacthas go soiléir ag Google go bhfuil HTTPS mar chomhartha ranga. I 2026, ní hamháin go bhfuil gan HTTPS ina cheist rangíochta — marcálann Chrome suíomhanna HTTP mar "Níl Slán" sa bharra seolta, atá ag scriosadh muinín úsáideoirí.

Riachtanais le haghaidh SSL cuí:

| Riachtanas | Cén fáth | Conas le seiceáil | |-------------|-----|--------------| | Deimhniú bailí | D'aois = foláireamh brabhsála = úsáideoirí a chaitheamh | Seiceáil dáta a bhfuil sé in aois | | Léargas iomlán | Teipíonn slatanna neamhcomhlán ar roinnt gléasanna | Tástáil SSL Labs | | TLS 1.2+ | Tá laige ann ar leaganacha níos sine | Tástáil SSL Labs | | Gan SHA-1 | Déanta neamhshuime, glacann brabhsálaithe é | Sonraí an deimhnithe | | Clúdach SAN | Caithfidh www agus non-www a bheith clúdaithe | Sonraí an deimhnithe | | Uath-nuashonrú | Cuireann sé cosc ar phlódú dramhaíola | Socruithe Let's Encrypt / soláthraí |

Scóráil SSL:

100% = Deimhniú bailí + Léargas iomlán + TLS 1.3 + Cipher láidir + Uath-nuashonrú
  0% = Deimhniú a d'aois nó a bhí in easnamh

Earráidí coitianta SSL:

  1. Céim deimhnithe a d'aois gan rabhadh — Socraigh monatóireacht (Céim 6) ar a laghad 30 lá roimh dheireadh
  2. Slat lán deimhnithe neamhcomhlán — Caithfidh an freastalaí deimhnithe idirmheánacha a sheoladh, ní hamháin an duilleog
  3. Ábhar measctha — Lódáil tae HTTPS ábhar HTTP (imigeanna, scripteanna, stíleanna)
  4. Laochta athsheoladh — Dochta HTTP → HTTPS → HTTP a dhéanann CDN/proxy atá mí-chumraithe
  5. Easnamh comhoiriúnachta non-www vs www — Clúdaíonn deimhniú amháin ach ní clúdaíonn an ceann eile

Láithreach bua: Reáchtáil do dhomain trí SSL Labs (ssllabs.com/ssltest). Tá aon rud faoi "A" leibhéal ag leibhéil gníomhaíochta. Réitíonn an chuid is mó de na soláthraithe óstála é seo le cliceáil amháin.

Ceannteidil Slándála

Is ceannteidil freagartha HTTP iad ceannteidil slándála a threoraíonn brabhsálaithe conas a shaoileann siad le do shuíomh a lódáil. Cuireann siad cosc ar chatagóirí iomlána d'ionsaithe — agus scríonn crawlers Google orthu.

Na ceannteidil shlán riachtanacha:

Polasaí Slándála Ábhair (CSP)

Is é CSP an ceanntéile slándála is cumhachtaí. Tugann sé le tuiscint do bhrabhsálaithe go díreach cé na hacmhainní (scripteanna, stíleanna, imigeanna, clónna) atá ceadaithe a lódáil ar do leathanacha.

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

Cad a choinníonn CSP:

  • Ionsaithe táthóirí tras-suíomh (XSS)
  • Ionsaithe iontrála sonraí
  • Clickjacking (trí frame-ancestors)
  • Feidhmeanna scripte neamhúdaraithe (cryptominers, ad injectors)

Straitéis forbartha CSP:

  1. Tosaigh le Content-Security-Policy-Report-Only (logs sárú gan blocáil)
  2. Monatóireacht a dhéanamh ar na tuairiscí ar feadh 1-2 seachtain
  3. Liostáil foinsí dlisteanacha
  4. Athraigh chuig mód éigeantach
  5. Cuir report-urireport-to le haghaidh logála sárú leanúnach

X-Frame-Options

Cuireann sé cosc ar do shuíomh a bheith comhoiriúnaithe i iframes ar dhomain eile (cosaint clickjacking).

X-Frame-Options: DENY

Nó más gá duit cead a thabhairt do ghrianghathanna comhfhreagracha:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

Cuireann sé cosc ar bhrabhsálaithe ó sníomh MIME (tuilleadh eolais a thabhairt ar comhoiriúnachtaí) a dhéanamh.

X-Content-Type-Options: nosniff

Cuirtear cosc ar mhí-eagrú atá comhtháite, ina dtéann comhoibriú do leathanach níos cosanta.

Referrer-Policy

Rialaíonn sé cé mhéid faisnéise referrer a sheoltar nuair a chliceálann úsáideoirí ar na naisc ó do shuíomh.

Referrer-Policy: strict-origin-when-cross-origin

Seolann sé an URL iomlán do na hiarratais comhoiriúnachta ach ní tharchuirtear ach an t-eolas (domhan) do na hiarratais tras-dhorais. Cuidíonn sé le riachtanais anailíseacha le príobháideacht.

Permissions-Policy

Rialaíonn sé cé na gnéithe brabhsála (ceamara, micreafón, geolocation, srl.) is féidir a úsáid ar do shuíomh.

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

Cuireann sé cosc ar ghnéithe nach n-úsáidtear a bheith mí-úsáidte ag scripteanna tríú páirtí.

Sampla cur i bhfeidhm ceannteidil (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

Cur i bhfeidhm ceannteidil (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Cur i bhfeidhm ceannteidil (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Láithreach bua: Cuir na 5 ceannteidil thuas leis an gcomhoibriúchán freastalaí. Tógann sé 5 nóiméad agus feabhsaíonn sé do stádas slándála go láithreach ar aon uirlis scanadh.

HSTS Preload

Tugann HTTP Strict Transport Security (HSTS) le fios do bhrabhsálaithe úsáid i gcónaí as HTTPS do do dhomain — fiú roimh an gcéad iarratas. Gan HSTS, d'fhéadfadh an chéad chuairt ar do shuíomh fós úsáid a bhaint as HTTP (laige le haghaidh gníomhairí) sula dtéann an t-athsheoladh go HTTPS.

Ceannteidil HSTS:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Na trí dtreoirlínte:

| Treoirlínte | Cén chiall | |-----------|---------| | max-age=31536000 | Cuimhnigh ar an méid seo le haghaidh 1 bhliain (i soicind) | | includeSubDomains | Conas a chuaigh sé chuig fo-dhomainí | | preload | Iarr sintiús ina liostaí preload brabhsálaí |

Liosta HSTS preload:

An cosaint HSTS foirfe. Seolann brabhsálaithe liosta réamhshocraithe de na domhains a bhfuil gá acu leis HTTPS. Cuir do dhomain isteach ar hstspreload.org agus tuigeann tú:

  • Faighteoirí den chéad uair HTTPS láithreach (gan athsheoladh HTTP → HTTPS)
  • Is dodhéanta do lucht ionsaí an conradh a chíoradh
  • Buan (deacair é a bhaint nuair a chuirtear isteach)

Riachtanais le haghaidh HSTS preload:

  1. Deimhniú HTTPS bailí
  2. Athsheoladh gach HTTP go HTTPS (lena n-áirítear fo-dhomainí)
  3. Ceannteidil HSTS le max-age >= 31536000
  4. Ceannteidil HSTS lena n-áirítear includeSubDomains
  5. Ceannteidil HSTS lena n-áirítear preload
  6. Caithfidh gach fo-dhomain HTTPS a tacaíocht

Caidreamh: Níor chóir duit ach síntiúis a thabhairt do preload más bhfuil HTTPS ag gach fo-dhomain agat. Éilíonn an treoir includeSubDomains go mbeidh fo-dhomain a bhfuil HTTP amháin ar fáil, do-suímh a bhaistítear.

Láithreach bua: Má tá HTTPS agat ar gach fo-dhomain, cuir an ceannteidil HSTS iomlán leis agus iarr ar hstspreload.org. Tógann próiseáil seachtainí ach is buan é an cosaint.

Scagadh Laige

Tarlaíonn scagadh laige uathoibríoch nuair atá ceisteanna slándála ar eolas san ardán roimhe sin, roimh ghoid limistéar glactha.

Cad a sheiceáilann scagadh laige:

  • Bogearraí as dáta: WordPress, scripteanna, leabharlanna JavaScript a bhfuil CVEanna ar eolas ann
  • Comhoiriúnachtaí nochtanna: .env, .git, wp-config.php, dumpanna bunachar sonraí
  • Taispeántas faisnéise: Ceannteidil leagan freastalaí, mód deisiú, rian na gcuairteoirí
  • Creidiúnachtaí réamhshocraithe: Leathanaigh admin gan athbhreithniú, pasfhocail réamhshocraithe
  • Ports/sliseanna oscailte: Seirbhísí neamhúsáideach fisiciúil do na hionaid
  • Laige iontrála: Foirmí gan cosaint CSRF, ionchur neamhúdaraithe

Laige coitianta de réir ardán:

| Ardán | Laige is gnách | Réitigh | |----------|-------------------|-----| | WordPress | Scripteanna as dáta | Ath-nuashonrú + WAF | | Shopify | Ceadaíochtaí aipeanna tríú páirtí | Aiseol l | | Next.js | Conas a chur in iúl API | Uathoibriú córais + riail raon | | Suíomhanna staitici | Comhoiriúnachtaí CDN | Athbhreithniú ar rialacha comhoiriúnachta | | Saincheaptha | Iontráil SQL | Cuairteanna comhoiriúnacha |

Minicíocht scagtha:

  • Gach lá: Scanadh dromchla uathoibríoch (SSL, ceannteidil, comhoiriúnachtaí nochtanna)
  • Gach seachtain: Seiceáil laige le haghaidh brabhsála (audit npm, scanner leabhar WordPress)
  • Gach mí: Scanadh domhain le tástáil údaraithe
  • Tar éis gach seoladh: Seiceáil gleachtadh

Láithreach bua: Reáchtáil npm audit (Node.js) nó seiceáil do liosta síneagh aipeanna CMS le haghaidh comhoiriúnachtaí as dáta. Réitigh earráidí ar ardchaighdeán nó criticiúla láithreach.

Ábhar Measctha

Tarlaíonn ábhar measctha nuair a lódálann leathanach HTTPS acmhainní (imigeanna, scripteanna, stíleanna, iframes) trí HTTP. Briseann sé sin comhoiriúnacht go páirteach agus cuireann sé foláireamh ar bhrabhsálaithe.

Conas a chuaigh ábhar measctha:

| Cineál | Duibhe | Sampla | Iompraíocht Brabhsálaí | |------|----------|---------|------------------| | Gníomhach | Ard | Scripteanna HTTP, iframe, CSS | Blocáilte go cúng | | Pasach | Meán | Imigeanna HTTP, físeáin, fuaime | Lódáil le foláireamh |

Blocálann brabhsálaithe nua-aimseartha ábhar measctha gníomhach — agus mar sin ní lódálfaidh do scripteanna agus do stíleanna. Lódálann ábhar measctha pasach ach taispeántar foláirimh slándála.

Conas ábhar measctha a fháil:

  1. Oscail DevTools Chrome → Conas
  2. Féach ar "Foláirimh Ábhair Measctha"
  3. Mar rogha eile, scanadh le crawler (Screaming Frog, LANGR)

Foinsí coitianta ábhar measctha:

  • URLs crua-sholáthair http:// ina hábhair (poist bhlag, cur síos ar tháirgí)
  • Widgets tríú páirtí a lódáil acmhainní HTTP
  • Ábhar comhoibrithe (grianghraif aois YouTube, widgets sóisialta)
  • CSS background-image leis na URLs HTTP
  • Fonts a lódáil trí HTTP

Conas ábhar measctha a réiteach:

<!-- Mícheart -->
<img src="http://example.com/image.jpg" />

<!-- Ceart -->
<img src="https://example.com/image.jpg" />

<!-- Is fearr (relatív, a chéile na protocal) -->
<img src="//example.com/image.jpg" />

Réiteach comhoiriúnachta (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

Láithreach bua: Oscail do leathanach baile i Chrome, brúigh F12, seiceáil an clóbhuíon ar an bConas le haghaidh foláirimh ábhair measctha. Réitigh haon a dhéantar - tá sé seo infheicthe go díreach d'fhonn Google.

Rioscaí Scripte Tríú Páirtí

Is riosca slándála (agus feidhmíochta) é gach scripte seachtrach a lódálann tú. Is féidir le scripteanna tríú páirtí:

  • Bheith curtha in iúl (ionsaithe shlabhra soláthair)
  • Monatóireacht a dhéanamh ar do úsáideoirí gan aontú (sárú GDPR)
  • Míle praghas a chur faoi do shuíomh (blocáil feidhme, moilleanna líonra)
  • Sceitheadh feidhmeanna (nuashonruithe leagan, laige)
  • Chuir isteach ábhar neamhúdaraithe (scripteanna fógraíochta a theip)

Audít de do scripteanna tríú páirtí:

| Scripte | Riachtanach? | Leibhéal Riosca | Malartach | |--------|-----------|------------|-------------| | Google Analytics | Is minic | Íseal | Monatóireacht ó thaobh freastala | | Widgets comhoibrithe | B'fhéidir | Meán | Réitigh féin-ósta | | Cnaipí roinnte sóisialta | Uaireanta | Meán | Nascanna roinnte staitici | | Tástáil A/B | Uaireanta | Ard | Tástáil ón taobh freastala | | Peirceanna ath-thraenála | Cinneadh gnó | Ard | Sonraí a bhaistíonn | | Font CDNs | Áisiúil | Íseal | Fonts féin-ósta |

Míniú riosca a bhaineann le scripteanna tríú páirtí riachtanacha:

  1. Subresource Integrity (SRI): Deimhnigh gnáth gníomhaíochtaí a dhéanann le scripteanna a chur in iúl
<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>
  1. CSP srianta: Bí gníomhach le scripteanna a fhéachann ar na domhan taithí
  2. iframes clúdaithe: Isoláisiú scripteanna tríú páirtí
  3. dearcadh rialta: Athbhreithniú ceathrú machnamh ar gach acmhainn sheachtraigh
  4. Monatóireacht: Alerta ar na domhains sheachtraigh nua ag teacht i do leathanach

Láithreach bua: Liostaigh gach