Skip to main content
Back to blog

SEO Útmutató 7. lépés: Biztonság — Az alapelv, amit a Google 2026-ban elvár

·12 min read·by LANGR SEO

SEO Útmutató 7. lépés: Biztonság

Ez a 13 lépéses SEO Útmutató 7. lépése. A biztonság nem csupán a felhasználók védelméről szól — közvetlen hatással van a keresési rangsorokra is. A Google 2014 óta használja az HTTPS-t mint rangsorolási jelet, és az elvárások csak nőttek.

A legtöbb weboldal tulajdonos úgy gondolja, hogy a biztonság bináris: "Van SSL-ünk, tehát biztonságban vagyunk." A valóság azonban az, hogy a Google tucatnyi biztonsági jelet értékel. Azok az oldalak, amelyek megfelelő biztonsági fejlécekkel, érvényes tanúsítványokkal rendelkeznek, és nincsenek vegyes tartalmúak, felülmúlják azokat, amelyek csak alap SSL tanúsítvánnyal rendelkeznek — minden egyéb egyenlő.

A jó hír: a legtöbb biztonsági javítás egyszeri konfigurációkat igényel. Állítsd be őket egyszer, és azok véglegesen védik a rangsorodat.

SSL Konfigurálás

Az SSL (technikai értelemben TLS) titkosítja a kapcsolatot a szervered és a látogatók között. 2014 óta a Google kifejezetten megerősítette az HTTPS-t mint rangsorolási jelet. 2026-ban az HTTPS hiánya már nem csupán rangsorolási probléma — a Chrome „Nem Biztonságos” felirattal jelöli az HTTP oldalakat a címsorban, tönkretéve a felhasználói bizalmat.

A megfelelő SSL követelményei:

| Követelmény | Miért | Hogyan ellenőrizhető | |-------------------|------------------------------------------|--------------------------| | Érvényes tanúsítvány | Lejárt = böngésző figyelmeztetés = eltávozó felhasználók | Ellenőrizd a lejárati dátumot | | Teljes lánc | Hiányos láncok egyes eszközökön nem működnek | SSL Labs teszt | | TLS 1.2+ | Az idősebb verzióknak ismertek sebezhetőségeik vannak | SSL Labs teszt | | Nincs SHA-1 | Elavult, a böngészők elutasítják | Tanúsítvány részletek | | SAN lefedettség | www és nem-www is fedett kell, hogy legyen | Tanúsítvány részletek | | Automatikus megújítás | Megakadályozza a lejárati katasztrófákat | Let's Encrypt / szolgáltató beállítása |

SSL pontozás:

100% = Érvényes tanúsítvány + Teljes lánc + TLS 1.3 + Erős titkosító + Automatikus megújítás
  0% = Lejárt vagy hiányzó tanúsítvány

Gyakori SSL hibák:

  1. A tanúsítvány lejár figyelmeztetés nélkül — Állíts be monitorozást (6. lépés) legalább 30 nappal a lejárat előtt
  2. Hiányos tanúsítványlánc — A szervernek köztes tanúsítványokat kell küldenie, nem csak a levelet
  3. Vegyes tartalom — HTTPS oldal HTTP erőforrásokat töltenek be (képek, szkriptek, stíluslapok)
  4. Átirányítási hurkok — HTTP → HTTPS → HTTP ciklusok, amelyeket hibásan konfigurált CDN/proxy okoz
  5. Nem-www vs www eltérés — A tanúsítvány az egyik védett, de a másik nem

Gyors nyeremény: Futtasd a domained az SSL Labs-on (ssllabs.com/ssltest). Bármi, ami "A" értéknél alacsonyabb, végrehajtandó problémákat mutat. A legtöbb tárhelyszolgáltató ezeket egy kattintással megoldja.

Biztonsági Fejlécek

A biztonsági fejlécek HTTP válaszfejlécek, amelyek utasítják a böngészőket, hogyan viselkedjenek az oldalad betöltésekor. Megakadályozzák a támadások egész kategóriáját — és a Google crawler-jei keresik őket.

A legfontosabb biztonsági fejlécek:

Tartalom-biztonsági irányelv (CSP)

A CSP a legnagyobb hatású biztonsági fejléce. Megmondja a böngészőknek, hogy pontosan mely erőforrások (szkriptek, stílusok, képek, betűtípusok) tölthetők be az oldaladon.

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

Mit akadályoz meg a CSP:

  • Cross-site scripting (XSS) támadások
  • Adatbefecskendezéses támadások
  • Clickjacking (a frame-ancestors révén)
  • Jogosulatlan szkriptfuttatás (kriptovaluta bányászok, hirdetésbefecskendezők)

CSP bevezetési stratégia:

  1. Kezdj a Content-Security-Policy-Report-Only-val (naplózza a megsértéseket blokkolás nélkül)
  2. Figyeld a jelentéseket 1-2 hétig
  3. Whitelisteld a törvényes forrásokat
  4. Válts érvényesítő módra
  5. Adj hozzá report-uri vagy report-to a folyamatos megsértésnaplózáshoz

X-Frame-Options

Megakadályozza, hogy az oldalad más domainek iframe-jeiben legyen beágyazva (clickjacking védelem).

X-Frame-Options: DENY

Vagy ha szükséges engedélyezni a saját tartományos keretezést:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

Megakadályozza a böngészők MIME-típus meghatározást (a fájlok eltérő típusúként való értelmezését).

X-Content-Type-Options: nosniff

Ez a sort megakadályozza azokat a támadásokat, ahol egy .jpg fájl rejtett JavaScriptet tartalmazhat, amelyet a böngésző végrehajthat.

Referrer-Policy

Szabályozza, mennyi referer információt küld, amikor a felhasználók linkekre kattintanak az oldaladról.

Referrer-Policy: strict-origin-when-cross-origin

Ez a teljes URL-t küldi az azonos tartományú kérések esetén, de csak az eredetet (domaint) a kereszt-tartományú kérések esetén. Egyensúlyozza az elemzési igényeket a magánélettel.

Permissions-Policy

Szabályozza, mely böngészőfunkciók (kamera, mikrofon, helymeghatározás stb.) használhatók az oldaladon.

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

Azok a funkciók letiltása, amelyeket nem használsz, megakadályozza a harmadik fél szkriptek visszaélését.

Fejléc végrehajtási példa (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

Fejléc végrehajtása (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Fejléc végrehajtása (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Gyors nyeremény: Add hozzá az összes fenti 5 fejlécet a szerver konfigurációhoz. Ez 5 percet vesz igénybe, és azonnal javítja a biztonsági helyzetedet bármelyik vizsgálóeszközben.

HSTS Előtöltés

A HTTP Strict Transport Security (HSTS) megmondja a böngészőknek, hogy mindig HTTPS-t használjanak a domainodra — még az első kérés előtt is. HSTS nélkül az első látogatásod során még lehet, hogy HTTP-t használnak (sebezhető az elfogásra), mielőtt az átirányítás HTTPS-re történik.

HSTS fejléc:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

A három direktíva:

| Direktíva | Jelentése | |-----------------------|-----------------------------------------------| | max-age=31536000 | Egy évig emlékezz rá (másodpercben) | | includeSubDomains | Aldomainokra is alkalmazni kell | | preload | Kérés a böngésző előttöltő listákba való felvételre |

HSTS előtöltési lista:

Az ultimate HSTS védelem. A böngészők egy beépített listával érkeznek, amely a domainokat tartalmaz, amelyeknek mindig HTTPS-t kell használniuk. Ha a domainedet benyújtod a hstspreload.org-ra, az azt jelenti, hogy:

  • Az első látogatók azonnal HTTPS-t kapnak (nincs HTTP → HTTPS átirányítás)
  • A támadók számára lehetetlenné válik a kapcsolatok visszaminősítése
  • Tartós (nehéz eltávolítani, miután benyújtották)

HSTS előtöltés követelményei:

  1. Érvényes HTTPS tanúsítvány
  2. Az összes HTTP átirányítása HTTPS-re (a subdomainokat is beleértve)
  3. HSTS fejléc max-age >= 31536000
  4. HSTS fejléc tartalmazza az includeSubDomains-t
  5. HSTS fejléc tartalmazza a preload-t
  6. Az összes aldomainnek támogatnia kell a HTTPS-t

Figyelmeztetés: Csak akkor add be az előtöltést, ha MINDEN aldomained támogatja a HTTPS-t. Az includeSubDomains direktíva azt jelenti, hogy bármely HTTP-only aldomain elérhetetlen lesz.

Gyors nyeremény: Ha már van HTTPS az összes aldomainen, add hozzá a teljes HSTS fejlécet és nyújtsd be a hstspreload.org-ra. A feldolgozás néhány hetet vehet igénybe, de a védelem tartós.

Sebezhetőségi Vizsgálat

Az automatizált sebezhetőségi vizsgálat ismert biztonsági problémákat azonosít a stackben, mielőtt a támadók kihasználhatnák őket.

A sebezhetőségi vizsgálat ellenőrzése:

  • Elavult szoftver: WordPress, pluginek, ismert CVE-kkel rendelkező JavaScript könyvtárak
  • Kibővített fájlok: .env, .git, wp-config.php, adatbázis mentések
  • Információszivárgás: Szerver verziófejlécek, hibakeresési mód, stack trace
  • Alapértelmezett hitelesítők: Admin lapok hitelesítés nélkül, alapértelmezett jelszavak
  • Megnyitott portok/szolgáltatások: Felesleges szolgáltatások, amelyek a neten vannak
  • Befecskendezési pontok: Őrzötten nem védett űrlapok, nem validált bemenetek

Gyakori sebezhetőségek platformonként:

| Platform | Legnagyobb sebezhetőség | Megoldás | |-------------|---------------------------|-----------------------| | WordPress | Elavult pluginek | Automatikus frissítés + WAF | | Shopify | Harmadik féltől származó alkalmazás engedélyek | Negyedéves alkalmazáslista ellenőrzés | | Next.js | Kiszivárgott API útvonalak | Auth middleware + rate limiting | | Statikus oldalak | CDN hibás konfigurálása | Ellenőrizd a gyorsítótár szabályait | | Testreszabott | SQL befecskendezés | Paraméterezett lekérdezések |

Vizsgálati gyakoriság:

  • Napi: Automatizált felületi vizsgálat (SSL, fejlécek, kiszivárgott fájlok)
  • Heti: Felelősségteljes sebezhetőségi ellenőrzés (npm audit, WordPress plugin scanner)
  • Havi: Mélyreható vizsgálat hitelesített teszteléssel
  • Minden telepítés után: Regresziós ellenőrzés

Gyors nyeremény: Futtasd az npm audit-ot (Node.js) vagy ellenőrizd a CMS plugin listádat elavult komponensekért. Azonnal javítsd a kritikus/magas súlyosságú problémákat.

Vegyes Tartalom

A vegyes tartalom akkor fordul elő, amikor egy HTTPS oldal HTTP-n keresztül tölti be az erőforrásokat (képek, szkriptek, stíluslapok, iframe-ek). Ez részben megszünteti a titkosítást, és böngésző figyelmeztetéseket vált ki.

A vegyes tartalom típusai:

| Típus | Súlyosság | Példa | Böngésző Magatartás | |------------|-----------|---------------------|-------------------------| | Aktív | Magas | HTTP szkript, iframe, CSS | Alapértelmezés szerint blokkolva | | Passzív | Közepes | HTTP kép, videó, audio | Figyelmeztetéssel betöltve |

Az aktív vegyes tartalom blokkolva van a modern böngészők által — tehát a szkriptek és stílusok egyszerűen nem töltenek be. A passzív vegyes tartalom betöltődik, de biztonsági figyelmeztetésekkel jár.

Vegyes tartalom megtalálása:

  1. Nyisd meg a Chrome DevTools-t → Konzol
  2. Keresd a "Vegyes tartalom" figyelmeztetéseket
  3. Alternatívaként, vizsgálj meg egy crawler-t (Screaming Frog, LANGR)

Gyakori vegyes tartalom források:

  • Közvetlenül kódolt http:// URL-ek a tartalomban (blogbejegyzések, termékleírások)
  • Harmadik fél widgetek HTTP erőforrásokat töltenek be
  • Beágyazott tartalom (régi YouTube beágyazások, közösségi média widgetek)
  • CSS background-image HTTP URL-okkal
  • HTTP-n keresztül betöltött betűtípusok

Vegyes tartalom javítása:

<!-- Rossz -->
<img src="http://example.com/image.jpg" />

<!-- Jó -->
<img src="https://example.com/image.jpg" />

<!-- Legjobb (protokollrelatív, alkalmazkodik az oldal protokolljához) -->
<img src="//example.com/image.jpg" />

Adatbázisos javítás (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

Gyors nyeremény: Nyisd meg a kezdőoldalad a Chrome-ban, nyomd meg az F12-t, és ellenőrizd a Konzol fület vegyes tartalom figyelmeztetésekért. Javítsd ki azokat, amelyek megjelennek — ezek közvetlenül láthatóak a Google számára.

Harmadik Fél Szkript Kockázatok

Minden külső szkript, amelyet betöltesz, potenciális biztonsági (és teljesítmény) felelősség. A harmadik fél szkriptek:

  • Megsérülhetnek (ellátási lánc támadások)
  • Követhetik a felhasználóidat beleegyezés nélkül (GDPR megsértése)
  • Lassan betöltik a site-ot (render-blocking, hálózati késleltetés)
  • Megtörhetik a funkciót (verziófrissítések, hibák)
  • Kívánt tartalmat injektálhatnak (tönkrement hirdetési szkriptek)

Auditáld a harmadik féltől származó szkripteket:

| Szkript | Szükséges? | Kockázati Szint | Alternatíva | |----------------------|-----------|-----------------|-------------------------| | Google Analytics | Gyakran igen | Alacsony | Szerveroldali nyomkövetés | | Csevegő widgetek | Talán | Közepes | Önálló megoldások | | Közösségi megosztás gombok | Ritkán | Közepes | Statikus megosztási linkek | | A/B tesztelés | Néha | Magas | Szerveroldali tesztelés | | Retargeting pixelek | Üzleti döntés | Magas | Elsődleges adatok | | Betűtípus CDNs | Kényelmes | Alacsony | Önálló betűtípusok |

Kockázatcsökkentés az alapvető harmadik féltől származó szkriptek esetén:

  1. Alvállalkozói integritás (SRI): A hash ellenőrzés megakadályozza a manipulált szkriptek betöltését
<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>
  1. CSP korlátozások: Csak a jól ismert domainekből származó szkriptek engedélyezése
  2. Sandboxolt iframe-ek: A harmadik fél widgetek elszigetelése
  3. Rendszeres auditok: Negyedéves ellenőrzés minden külső forrásról
  4. Monitorozás: Figyelmeztetés az új külső domainek megjelenéséről az oldaladon

Gyors nyeremény: Listázd az összes