Skip to main content
Back to blog

SEO गाइड स्टेप 7: सुरक्षा — 2026 में Google की अपेक्षाएँ

·14 min read·by LANGR SEO

SEO गाइड स्टेप 7: सुरक्षा

यह 13-स्टेप SEO गाइड का स्टेप 7 है। सुरक्षा केवल उपयोगकर्ताओं की सुरक्षा के बारे में नहीं है — यह सीधे आपकी खोज रैंकिंग को प्रभावित करती है। Google ने 2014 से HTTPS को एक रैंकिंग सिग्नल के रूप में उपयोग किया है, और अपेक्षाएँ केवल बढ़ी हैं।

ज्यादातर साइट मालिक सुरक्षा को एक बाइनरी के रूप में मानते हैं: "हमारे पास SSL है, तो हम सुरक्षित हैं।" वास्तव में, Google दर्जनों सुरक्षा सिग्नल का मूल्यांकन करता है। जिन साइटों में उचित सुरक्षा हेडर, वैध प्रमाण पत्र, और कोई मिश्रित सामग्री नहीं होती, वे केवल एक बुनियादी SSL प्रमाण पत्र वाली साइटों की तुलना में उच्च रैंक प्राप्त करती हैं — सभी अन्य चीजें समान होने पर।

अच्छी खबर: अधिकांश सुरक्षा सुधार एक बार की कॉन्फ़िगरेशन होती हैं। इन्हें एक बार सेट करें, और ये आपकी रैंकिंग को स्थायी रूप से सुरक्षित करते हैं।

SSL कॉन्फ़िगरेशन

SSL (तकनीकी रूप से TLS) आपके सर्वर और विजिटर्स के बीच कनेक्शन को एन्क्रिप्ट करता है। 2014 से, Google ने स्पष्ट रूप से HTTPS को रैंकिंग सिग्नल के रूप में पुष्टि की है। 2026 में, HTTPS न होना केवल एक रैंकिंग मुद्दा नहीं है — Chrome HTTP साइटों को "Not Secure" के रूप में मार्क करता है, जिससे उपयोगकर्ता विश्वास खो देते हैं।

उचित SSL के लिए आवश्यकताएँ:

| आवश्यकताएँ | क्यों | कैसे जांचें | |-------------|-----|--------------| | मान्य प्रमाण पत्र | समाप्त = ब्राउज़र चेतावनी = बाउंस हुए उपयोगकर्ता | समाप्ति तिथि जांचें | | पूर्ण श्रृंखला | अधूरी श्रृंखलाएँ कुछ उपकरणों पर विफल होती हैं | SSL Labs परीक्षण | | TLS 1.2+ | पुरानी संस्करणों में ज्ञात कमजोरियाँ हैं | SSL Labs परीक्षण | | कोई SHA-1 नहीं | अवहेलित, ब्राउज़र इसे अस्वीकार करते हैं | प्रमाणपत्र विवरण | | SAN कवरेज | www और non-www दोनों को कवर करना चाहिए | प्रमाणपत्र विवरण | | ऑटो-नवीनीकरण | समाप्ति आपदाओं को रोकता है | Let's Encrypt / प्रदाता कॉन्फ़िगरेशन |

SSL स्कोरिंग:

100% = मान्य प्रमाण पत्र + पूर्ण श्रृंखला + TLS 1.3 + मजबूत साइफर + ऑटो-नवीनीकरण
  0% = समाप्त या अनुपस्थित प्रमाण पत्र

सामान्य SSL गलतियाँ:

  1. प्रमाण पत्र बिना सूचना समाप्त हो जाता है — समाप्ति से कम से कम 30 दिन पहले निगरानी सेट करें (स्टेप 6)
  2. अधूरी प्रमाण पत्र श्रृंखला — सर्वर को इंटरमीडिएट प्रमाण पत्र भेजने चाहिए, केवल पत्ते को नहीं
  3. मिश्रित सामग्री — HTTPS पृष्ठ HTTP संसाधनों को लोड करता है (चित्र, स्क्रिप्ट, स्टाइलशीट)
  4. रीडायरेक्ट लूप्स — HTTP → HTTPS → HTTP चक्र जो गलत कॉन्फ़िगर किए गए CDN/प्रॉक्सी द्वारा उत्पन्न होते हैं
  5. Non-www बनाम www की असमानता — प्रमाण पत्र एक को कवर करता है लेकिन दूसरे को नहीं

त्वरित जीत: अपने डोमेन को SSL Labs (ssllabs.com/ssltest) पर चलाएँ। "A" रेटिंग से नीचे कुछ भी कार्यात्मक मुद्दे हैं। अधिकांश होस्टिंग प्रदाता एक क्लिक के साथ इन्हें ठीक करते हैं।

सुरक्षा हेडर

सुरक्षा हेडर HTTP प्रतिक्रिया हेडर होते हैं जो ब्राउज़रों को निर्देशित करते हैं कि आपकी साइट लोड करते समय कैसे व्यवहार करना है। ये पूरी श्रेणियों के हमलों को रोकते हैं — और Google की क्रॉलर्स इन्हें जांचते हैं।

आवश्यक सुरक्षा हेडर:

सामग्री-सुरक्षा-नीति (CSP)

CSP सबसे शक्तिशाली सुरक्षा हेडर है। यह ब्राउज़रों को स्पष्ट रूप से बताता है कि आपकी पृष्ठों पर कौन से संसाधनों (स्क्रिप्ट, स्टाइल, चित्र, फ़ॉन्ट) को लोड करने की अनुमति है।

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

CSP क्या रोकता है:

  • क्रॉस-साइट स्क्रिप्टिंग (XSS) हमले
  • डेटा इंजेक्शन हमले
  • क्लिकजैकिंग (frame-ancestors के माध्यम से)

-Unauthorized script execution (cryptominers, ad injectors)

CSP फेयर प्लानिंग स्ट्रेटेजी:

  1. Content-Security-Policy-Report-Only से शुरू करें (विफलताओं को बिना ब्लॉक किए लॉग करें)
  2. 1-2 हफ्ते रिपोर्ट की निगरानी करें
  3. वैध स्रोतों को श्वेतसूची में डालें
  4. लागू करने के मोड में स्विच करें
  5. निरंतर उल्लंघन लॉगिंग के लिए report-uri या report-to जोड़ें

X-Frame-Options

आपकी साइट को अन्य डोमेन पर iframes में एम्बेड होने से रोकता है (क्लिकजैकिंग संरक्षण)।

X-Frame-Options: DENY

या यदि आपको समान-स्रोत फ्रेमिंग की अनुमति देनी हो:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

ब्राउज़रों को MIME-प्रकार के स्निफ़िंग (घोषित की गई प्रकारों की तुलना में फ़ाइलों को विभिन्न प्रकारों के रूप में व्याख्या करने) से रोकता है।

X-Content-Type-Options: nosniff

यह एक-लाइनर उन आक्रमणों को रोकता है जहाँ एक .jpg फ़ाइल में छिपा हुआ जावास्क्रिप्ट होता है जो ब्राउज़र द्वारा निष्पादित हो सकता है।

Referrer-Policy

नियंत्रित करता है कि उपयोगकर्ता आपकी साइट से लिंक पर क्लिक करते समय कितनी रिफरर जानकारी भेजी जाती है।

Referrer-Policy: strict-origin-when-cross-origin

यह समान-स्रोत अनुरोधों के लिए पूर्ण URL भेजता है लेकिन क्रॉस-स्रोत अनुरोधों के लिए केवल मूल (डोमेन) भेजता है। एनालिटिक्स जरूरतों और गोपनीयता के बीच संतुलन बनाता है।

Permissions-Policy

नियंत्रित करता है कि कौन से ब्राउज़र सुविधाएँ (कैमरा, माइक्रोफ़ोन, भू-स्थान, आदि) आपकी साइट पर उपयोग की जा सकती हैं।

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

आपकी उपयोग में न आने वाली सुविधाओं को अक्षम करने से तीसरे पक्ष के स्क्रिप्टों को उनका दुरुपयोग करने से रोका जा सकता है।

हेडर कार्यान्वयन उदाहरण (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

हेडर कार्यान्वयन (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

हेडर कार्यान्वयन (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

त्वरित जीत: अपने सर्वर कॉन्फ़िगरेशन में उपरोक्त सभी 5 हेडर जोड़ें। इसके लिए 5 मिनट लगते हैं और तुरंत आपकी सुरक्षा स्थिति में सुधार होता है।

HSTS प्रीलोड

HTTP स्ट्रिक्ट ट्रांसपोर्ट सुरक्षा (HSTS) ब्राउज़रों को बताता है कि आपकी डोमेन के लिए हमेशा HTTPS का उपयोग करें — यहां तक कि पहले अनुरोध से पहले। HSTS के बिना, आपकी साइट पर पहले आगंतुक अब भी HTTP का उपयोग कर सकते हैं (जो इंटरसेप्शन के प्रति संवेदनशील है) इससे पहले कि HTTPS पर रीडायरेक्ट होता है।

HSTS हेडर:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

तीन निर्दिष्टीकरण:

| निर्दिष्टीकरण | अर्थ | |-----------|---------| | max-age=31536000 | इसे 1 वर्ष (सेकंड में) के लिए याद रखें | | includeSubDomains | सभी उपडोमेन पर लागू करें | | preload | ब्राउज़र प्रीलोड सूचियों में समावेश का अनुरोध करें |

HSTS प्रीलोड सूची:

अंतिम HSTS सुरक्षा। ब्राउज़र एक अंतर्निहित सूची के साथ आते हैं जिसमें डोमेन होते हैं जिन्हें हमेशा HTTPS का उपयोग करना चाहिए। hstspreload.org पर अपने डोमेन को सबमिट करना मतलब:

  • पहली बार के आगंतुक तुरंत HTTPS प्राप्त करते हैं (कोई HTTP → HTTPS रीडायरेक्ट नहीं)
  • हमलावरों के लिए कनेक्शन को डाउनग्रेड करना असंभव
  • स्थायी (एक बार सबमिट होने के बाद हटाना मुश्किल है)

HSTS प्रीलोड के लिए आवश्यकताएँ:

  1. मान्य HTTPS प्रमाण पत्र
  2. सभी HTTP को HTTPS में रिडायरेक्ट करें (उपडोमेनों सहित)
  3. HSTS हेडर में max-age >= 31536000 हो
  4. HSTS हेडर में includeSubDomains शामिल हो
  5. HSTS हेडर में preload शामिल हो
  6. सभी उपडोमेनों को HTTPS का समर्थन करना चाहिए

चेतावनी: केवल तब ही प्रीलोड के लिए सबमिट करें जब आपके सभी उपडोमेनों को HTTPS का समर्थन हो। includeSubDomains निर्दिष्टीकरण का अर्थ है कि कोई भी HTTP-केवल उपडोमेन अनुपलब्ध हो जाएगा।

त्वरित जीत: यदि आपके पास पहले से सभी उपडोमेनों पर HTTPS है, तो पूरा HSTS हेडर जोड़ें और hstspreload.org पर सबमिट करें। प्रोसेसिंग में कुछ सप्ताह लगते हैं लेकिन सुरक्षा स्थायी होती है।

कमजोरियों की स्कैनिंग

स्वचालित कमजोरियों की स्कैनिंग ज्ञात सुरक्षा समस्याओं का पहचान करती है जो आपके स्टैक में हो सकती हैं इससे पहले कि हमलावर उन्हें उपयोग करें।

क्या कमजोरियों की स्कैनिंग जांचती है:

  • पुराना सॉफ़्टवेयर: WordPress, प्लगइन्स, जावास्क्रिप्ट लाइब्रेरी जो ज्ञात CVEs के साथ हैं
  • खुले फ़ाइलें: .env, .git, wp-config.php, डेटाबेस डंप
  • जानकारी का रिसाव: सर्वर संस्करण हेडर, डिबग मोड, स्टैक ट्रेस
  • डिफ़ॉल्ट क्रेडेंशियल्स: बिना प्रमाणीकरण के व्यवस्थापक पृष्ठ, डिफ़ॉल्ट पासवर्ड
  • खुले पोर्ट/सेवाएँ: इंटरनेट पर अनावश्यक सेवाएँ
  • इंजेक्शन प्वाइंट: CSRF सुरक्षा के बिना फॉर्म, अप्रमाणित इनपुट

प्लेटफ़ॉर्म के अनुसार सामान्य कमजोरियाँ:

| प्लेटफ़ॉर्म | शीर्ष कमजोरी | सुधार | |----------|-------------------|-----| | WordPress | पुरानी प्लगइन्स | स्वचालित-अपडेट + WAF | | Shopify | तृतीय-पक्ष ऐप अनुमति | ऐप सूची का त्रैमासिक ऑडिट | | Next.js | खुले API रूट | ऑथ मिडलवेयर + दर सीमा | | स्थैतिक साइटें | CDN गलत कॉन्फ़िगरेशन | कैश नियमों की समीक्षा करें | | कस्टम | SQL इंजेक्शन | पैरामीटर आधारित क्वेरी |

स्कैनिंग की आवृत्ति:

  • प्रतिदिन: स्वचालित सतह स्कैन (SSL, हेडर, खुले फ़ाइलें)
  • साप्ताहिक: अवलंबन कमजोरियों की जांच (npm audit, WordPress प्लगइन स्कैनर)
  • मासिक: प्रमाणीकरण परीक्षण के साथ गहराई से स्कैन
  • प्रत्येक डिप्लॉय के बाद: पुनर्गति जांच

त्वरित जीत: npm audit (Node.js) चलाएँ या पुरानी कंपोनेंट्स के लिए अपने CMS प्लगइन सूची की जांच करें। गंभीर/उच्च गंभीरता के मुद्दों को तुरंत ठीक करें।

मिश्रित सामग्री

मिश्रित सामग्री तब उत्पन्न होती है जब एक HTTPS पृष्ठ संसाधनों (चित्र, स्क्रिप्ट, स्टाइलशीट, iframes) को HTTP के माध्यम से लोड करता है। इससे एन्क्रिप्शन आंशिक रूप से टूट जाता है और ब्राउज़र चेतावनियों को सक्रिय करता है।

मिश्रित सामग्री के प्रकार:

| प्रकार | गंभीरता | उदाहरण | ब्राउज़र का व्यवहार | |------|----------|---------|------------------| | सक्रिय | उच्च | HTTP स्क्रिप्ट, iframe, CSS | डिफ़ॉल्ट रूप से ब्लॉक किया गया | | निष्क्रिय | मध्यम | HTTP चित्र, वीडियो, ऑडियो | चेतावनी के साथ लोड किया गया |

सक्रिय मिश्रित सामग्री को आधुनिक ब्राउज़रों द्वारा ब्लॉक किया जाता है — जिसका अर्थ है कि आपकी स्क्रिप्ट और शैलियाँ लोड नहीं होंगी। निष्क्रिय मिश्रित सामग्री लोड होती है लेकिन सुरक्षा चेतावनियाँ दिखाती है।

मिश्रित सामग्री खोजने के लिए:

  1. Chrome DevTools खोलें → कंसोल
  2. "Mixed Content" चेतावनियों के लिए देखें
  3. वैकल्पिक रूप से, एक क्रॉलर के साथ स्कैन करें (Screaming Frog, LANGR)

मिश्रित सामग्री के सामान्य स्रोत:

  • सामग्री में हार्डकोडेड http:// यूआरएल (ब्लॉग पोस्ट, उत्पाद विवरण)
  • HTTP संसाधन लोड करने वाले तृतीय-पक्ष विजेट
  • एम्बेडेड सामग्री (YouTube पुराने एम्बेड, सामाजिक मीडिया विजेट)
  • CSS background-image के साथ HTTP यूआरएल
  • HTTP के माध्यम से लोड किए गए फ़ॉन्ट

मिश्रित सामग्री को ठीक करने के लिए:

<!-- खराब -->
<img src="http://example.com/image.jpg" />

<!-- अच्छा -->
<img src="https://example.com/image.jpg" />

<!-- सबसे अच्छा (प्रोटोकॉल-सापेक्ष, पृष्ठ प्रोटोकॉल के लिए अनुकूलित) -->
<img src="//example.com/image.jpg" />

डेटाबेस सुधार (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

त्वरित जीत: Chrome में अपनी होमपेज खोलें, F12 दबाएँ, कंसोल टैब में मिश्रित सामग्री चेतावनियों की जांच करें। जो भी दिखाई दे, उसे ठीक करें — ये सीधे Google को दिखाई दे रहे हैं।

थर्ड-पार्टी स्क्रिप्ट जोखिम

आपके द्वारा लोड की गई हर बाहरी स्क्रिप्ट एक संभावित सुरक्षा (और प्रदर्शन) जोखिम है। तृतीय-पक्ष स्क्रिप्ट:

  • समझौता की जा सकती हैं (सप्लाई चेन हमले)
  • आपकी सहमति के बिना आपके उपयोगकर्ताओं पर नज़र रख सकती हैं (GDPR उल्लंघन)
  • आपकी साइट को धीमा कर सकती हैं (रेंडर-ब्लॉकिंग, नेटवर्क लैटेंसी)
  • कार्यक्षमता को तोड़ सकती हैं (संस्करण अपडेट, आउटेज)
  • अवांछित सामग्री इंजेक्ट कर सकती हैं (गलत तरीके से गए विज्ञापन स्क्रिप्ट)

अपनी थर्ड- पार्टी स्क्रिप्टों का ऑडिट करें:

| स्क्रिप्ट | आवश्यक? | जोखिम स्तर | विकल्प | |--------|-----------|------------|-------------| | Google Analytics | अक्सर हाँ | कम | सर्वर-साइड ट्रेकिंग | | चैट विजेट | शायद | मध्यम | स्वयं-होस्टेड समाधान | | सामाजिक साझा बटन | शायद | मध्यम | स्थैतिक साझा लिंक | | A/B परीक्षण | कभी-कभी | उच्च | सर्वर-साइड परीक्षण | | पुनः टार्गेटिंग पिक्सेल | व्यवसाय निर्णय | उच्च | पहले-पार्टी डेटा | | फ़ॉन्ट CDNs | सुविधाजनक | कम | स्वयं-होस्ट फ़ॉन्ट |

आवश्यक तृतीय-पक्ष स्क्रिप्टों के लिए जोखिम समाप्ति:

  1. सब रिसोर्स इंटीग्रिटी (SRI): हैश सत्यापन संभावित स्क्रिप्टों को लोड करने से रोकता है
<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>
  1. CSP प्रतिबंध: केवल ज्ञात डोमेन से स्क्रिप्टों की अनुमति दें
  2. सैंडबॉक्सेड iframes: तृतीय-पक्ष विजेटों को पृथक करें
  3. नियमित ऑडिट: सभी बाहरी संसाधनों की त्रैमासिक समीक्षा
  4. निगरानी: आपकी पृष्ठों में नए बाहरी डोमेन दिखाई देने पर अलर्ट

त्वरित जीत: HTML में अपने हर