Skip to main content
Back to blog

SEO нұсқаулығы 7-қадам: Қауіпсіздік — 2026 жылы Google күтетін базалық талап

·11 min read·by LANGR SEO

SEO нұсқаулығы 7-қадам: Қауіпсіздік

Бұл 13-қадамдық SEO нұсқаулығы нұсқасының 7-қадамы. Қауіпсіздік тек пайдаланушыларды қорғау емес — ол іздеу нәтижелеріңізге тікелей әсер етеді. Google 2014 жылдан бері HTTPS-ті рейтинг сигналымен пайдалануда, және талаптар тек артып келеді.

Көптеген сайт иелері қауіпсіздікті бинарлы түрде қарастырады: "Бізде SSL бар, демек, біз қауіпсізбіз." Шын мәнінде, Google көптеген қауіпсіздік сигналдарын бағалайды. Дұрыс қауіпсіздік заголовкалары, жарамды сертификаттар және аралас мазмұнсыз сайттар тек базалық SSL сертификаты бар сайттардан жоғары орын алады — қалғаны тең болғанда.

Жақсы жаңалық: қауіпсіздік жөніндегі көптеген түзетулер бір реттік конфигурациялар. Бір рет орнатсаңыз, олар рейтингтеріңізді мәңгі қорғап тұрады.

SSL Конфигурациясы

SSL (техникалық жағынан TLS) сервер мен келушілер арасында байланысты шифрлайды. 2014 жылдан бері Google HTTPS-ті рейтинг сигналы ретінде көрсетті. 2026 жылы HTTPS-тің болмауы тек рейтинг мәселесі емес — Chrome HTTP сайттарын адрес жолағында "Қауіпсіз емес" деп белгілейді, бұл пайдаланушылардың сенімін бұзады.

Дұрыс SSL талаптары:

| Талап | Неліктен | Тексеру тәсілі | |-------------|-----|--------------| | Жарамды сертификат | Мерзімі өткен = шолғыш ескертуі = шыққан пайдаланушылар | Мерзімдерін тексеру | | Толық тізбек | Толық емес тізбектер кейбір құрылғыларда сәтсіздікке ұшырайды | SSL Labs тесті | | TLS 1.2+ | Ескі нұсқаларда белгілі осалдықтар бар | SSL Labs тесті | | SHA-1 жоқ | Ескірген, шолғыштар оны қабылдамайды | Сертификат мәліметтері | | SAN қамту | www және www емес екеуі де қамтылуы тиіс | Сертификат мәліметтері | | Авто-жаңарту | Мерзім аяқталу апаттарын болдырмайды | Let's Encrypt / провайдер конфигурациясы |

SSL бағалары:

100% = Жарамды сертификат + Толық тізбек + TLS 1.3 + Мықты шифр + Авто-жаңарту
  0% = Мерзімі өткен немесе жоғалған сертификат

Жиі кездесетін SSL қателіктері:

  1. Сертификат ескертусіз мерзімі өтсе — Мерзім аяқталардан 30 күн бұрын бақылау орнатыңыз (6-қадам)
  2. Толық емес сертификат тізбегі — Сервер аралық сертификаттарды жіберуі тиіс, тек жапырақ сертификатын емес
  3. Аралас мазмұн — HTTPS беті HTTP ресурстарын (суреттер, скрипттер, стильдер) жүктейді
  4. Перенаправление циклдері — HTTP → HTTPS → HTTP циклдары дұрыс конфигурацияланбаған CDN/прокси-ден туындайды
  5. www және www емес екеуінің сәйкес келмеуі — Сертификат біреуін қамтиды, бірақ басқа біреуді емес

Жылдам нәтиже: Сіздің доменіңізді SSL Labs сайтына жүгіртіңіз (ssllabs.com/ssltest). "A" рейтингісінен төмен кез келген нәрселердің шешілуі қажет. Көптеген хостинг провайдерлері мұны бір жылжу арқылы түзетеді.

Қауіпсіздік Заголовкалары

Қауіпсіздік заголовкалары — бұл HTTP жауап заголовкалары, браузерлерге сайтыңыз жүктелген кезде қалай әрекет ету керек екенін көрсетеді. Олар шабуылдардың барлық категорияларын болдырмайды — және Google-дың зиянкестерін оларды тексереді.

Негізгі қауіпсіздік заголовкалары:

Content-Security-Policy (CSP)

CSP — ең күшті қауіпсіздік заголовкасы. Ол браузерлерге дәл қай ресурстардың (скрипттер, стильдер, суреттер, қаріптер) беттеріңізге жүктеле алатынын айтады.

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

CSP неге кедергі келтіреді:

  • Кросс-сайттық скриптинг (XSS) шабуылдары
  • Деректерді енгізу шабуылдары
  • Clickjacking (frame-ancestors арқылы)
  • Рұқсатсыз скрипттің орындалуы (криптоминирлер, жарнама енгізушілер)

CSP енгізу стратегиясы:

  1. Content-Security-Policy-Report-Only-ден бастаңыз (блоктаусыз бұзуларды жазу)
  2. 1-2 апта бойы есептерді мониторинг жүргізіңіз
  3. Заңды көздерді ақ тізімге енгізіңіз
  4. Мәжбүрлеу режиміне ауысыңыз
  5. Бұзуларды үздіксіз жазу үшін report-uri немесе report-to қосыңыз

X-Frame-Options

Сайтыңыздың басқа домендерде iframe-дерге енгізілуіне жол бермейді (clickjacking қорғауы).

X-Frame-Options: DENY

Немесе егер сізге бір домендегі кадрлау рұқсат етілсе:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

Браузерлердің MIME типтерін шолуға жол бермейді (файлдарды жарияланғаннан басқа типтер ретінде интерпретациялау).

X-Content-Type-Options: nosniff

Бұл бір жол еңбекші шабуылдардан, мұнда .jpg файлы жасырын JavaScript-ти қамтиды, браузер оны орындауы мүмкін.

Referrer-Policy

Пайдаланушылар сайтыңыздан сілтемелерді басқан кезде қанша реферер мәліметі жіберілетінін басқарады.

Referrer-Policy: strict-origin-when-cross-origin

Бұл сол домендегі сұратулар үшін толық URL-ді, алайда кросс-доменді сұратулар үшін тек доменді жібереді. Аналитика қажеттіліктерін жеке баспен теңгеруі.

Permissions-Policy

Сайтыңызда қандай браузер функциялары (камера, микрофон, геолокация және т.б.) қолдануға болатынын басқарады.

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

Сіз қолданбайтын функцияларды өшіру, үшінші тарап скрипттерінің оларды теріс пайдалануына жол бермейді.

Заголовка жүзеге асыру мысалы (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

Заголовка жүзеге асыру (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Заголовка жүзеге асыру (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Жылдам нәтиже: Жоғарыда аталған 5 заголовканы сервер конфигурацияңызға қосыңыз. Бұл 5 минут алады және сканер құралында қауіпсіздігіңізді бірден жақсартады.

HSTS Алдын ала Жүктеу

HTTP Strict Transport Security (HSTS) браузерлерге сіздің доменіңіз үшін HTTPS-ті әрдайым қолдануға бұйырады — тіпті бірінші сұрату алдында. HSTS-тің жоқтығында, сайтыңызға алғашқы визит әлі де HTTP-ны (тұтқындалуға осал) қолдануы мүмкін, HTTPS-ке перенаправление орындалғанға дейін.

HSTS заголовкасы:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Үш директива:

| Директива | Мағына | |-----------|---------| | max-age=31536000 | Мұны 1 жыл (секундпен) есте сақтаңыз | | includeSubDomains | Барлық қосалқы домендерге де қолданылады | | preload | Браузер алдын ала жүктеу тізімдеріне енгізуді сұрайды |

HSTS алдын ала жүктеу тізімі:

Соңғы HSTS қорғау. Браузерлер HTTPS-ті әрқашан қолдануы тиіс домендер тізімін орнатылған күйде ұсынады. Доменіңізді hstspreload.org сайтына жіберу:

  • Бірінші рет келген пайдаланушылар дереу HTTPS алады (HTTP → HTTPS перенаправлении болмайды)
  • Шабуылшыларға байланыстарды төмендету мүмкін емес
  • Тұрақты (жібергеннен кейін алып тастау қиын)

HSTS алдын ала жүктеуі үшін талаптар:

  1. Жарамды HTTPS сертификаты
  2. HTTP-ны HTTPS-ке барлық перенаправление (қосалқы домендермен қоса)
  3. max-age >= 31536000 болатын HSTS заголовкасы
  4. HSTS заголовкасы includeSubDomains қамтуы тиіс
  5. HSTS заголовкасы preload қамтуы тиіс
  6. Барлық қосалқы домендер HTTPS-ті қолдауы тиіс

Ескерту: Барлық қосалқы домендеріңіз HTTPS-ті қолдайтын болса ғана алдын ала жүктеуге жіберіңіз. includeSubDomains директивасы кез келген HTTP-тік қосалқы домен байланыссыз болады.

Жылдам нәтиже: Егер барлық қосалқы домендеріңізде HTTPS болса, толық HSTS заголовкасын қосып, hstspreload.org сайтына жіберіңіз. Процесс бірнеше апта алады, бірақ қорғау тұрақты.

Осалдықтарды Тексеру

Автоматты осалдықтарды тексеру сіздің инфрақұрылымыңыздағы белгілі қауіпсіздік мәселелерін шабуылшылар exploit етуі алдында анықтайды.

Осалдықтарды тексеру не тексереді:

  • Ескі бағдарламалық қамтамасыз ету: WordPress, плагиндер, белгілі CVE-лері бар JavaScript кітапханалары
  • Ашық файлдар: .env, .git, wp-config.php, деректер базасын экспорттаулар
  • Ақпараттың ағып кетуі: Сервер нұсқасы заголовкалары, жөндеу режимі, стек іздері
  • Әдепкі рұқсаттар: Аутентификациясыз әкімші беттері, әдепті парольдер
  • Ашық порттар/қызметтер: Артық қызметтердің интернетке ашық болуы
  • Енгізу нүктелері: CSRF қорғаусыз формалар, тексерілмеген енгізулер

Платформалар бойынша жиі кездесетін осалдықтар:

| Платформа | Ең үлкен осалдық | Шешімі | |----------|-------------------|-----| | WordPress | Ескі плагиндер | Авто-жаңарту + WAF | | Shopify | Үшінші тараптың бағдарлама рұқсаттары | Бағдарламалар тізімін тоқсан сайын тексеру | | Next.js | Ашық API жолдары | Аутентификация middleware + жылдамдық шектеу | | Статикалық сайттар | CDN дұрыс конфигурациясы | Кеш ережелерін шолу | | Арнайы | SQL енгізу | Параметрлік сұраулар |

Тексеру жиілігі:

  • Күнделікті: Автоматты беттік тексеру (SSL, заголовкалар, ашық файлдар)
  • Аптасына: Тәуелділік осалдық тексерісі (npm audit, WordPress плагині сканері)
  • Айына: Аутентификацияландырылған тестілеумен терең тексеру
  • Әр жаңартудан кейін: Тексеру

Жылдам нәтиже: npm audit (Node.js) іске қосыңыз немесе CMS плагиндер тізіміңізді ескірген компоненттер үшін тексеріңіз. Қолайсыз/high маңызды мәселелерді дереу шешіңіз.

Аралас Мазмұн

Аралас мазмұн HTTPS беті ресурстарды (суреттер, скрипттер, стильдер, iframes) HTTP арқылы жүктегенде пайда болады. Бұл шифрлауды жартылай бұзады және браузер ескертулерін тудырады.

Аралас мазмұнның түрлері:

| Түрі | Өте маңызды | Мысал | Браузердің мінез-құлқы | |------|----------|---------|------------------| | Активті | Жоғары | HTTP скрипті, iframe, CSS | Браузермен блокталады | | Пассивті | Орташа | HTTP суреті, видео, аудио | Ескерту көрсетумен загружена |

Активті аралас мазмұн заманауи браузерлермен блокталады — яғни, скрипттер мен стильдер жүктелмейді. Пассивті аралас мазмұн жүктеледі, бірақ қауіпсіздік ескертулерін көрсетеді.

Аралас мазмұнды табу:

  1. Chrome DevTools → Console терезесін ашыңыз
  2. "Аралас мазмұн" ескертулерін іздеңіз
  3. Альтернативті, сканермен тексеріңіз (Screaming Frog, LANGR)

Жиі кездесетін аралас мазмұн көздері:

  • Контентте кодталған http:// URL-дері (блог жазбалары, өнім сипаттамалары)
  • Үшінші тарап виджеттер HTTP ресурстарын жүктейтін
  • Вставленный контент (YouTube ескі встраивании, әлеуметтік медиа виджеттері)
  • CSS background-image HTTP URL-дерімен
  • HTTP арқылы жүктелген қаріптер

Аралас мазмұнды түзету:

<!-- Жаман -->
<img src="http://example.com/image.jpg" />

<!-- Жақсы -->
<img src="https://example.com/image.jpg" />

<!-- Ең жақсы (протоколға қатысты, бет протоколына үйлеседі) -->
<img src="//example.com/image.jpg" />

Дерекқорды түзету (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

Жылдам нәтиже: Chrome-да бастапқы бетті ашып, F12-ні басып, Console терезесін аралас мазмұн ескертулеріне тексеріңіз. Көрінгендерді түзетіңіз — бұлар Google-ға тікелей көрінеді.

Үшінші Тарап Скрипттер Ризиктері

Жүктейтін әрбір сыртқы скрипт қауіпсіздік (және өнімділік) жауапкершілігі болуы мүмкін. Үшінші тарап скрипттері:

  • Бүлінген болуы мүмкін (жабдық тізбегіндегі шабуылдар)
  • Пайдаланушыларыңызды рұқсатсыз бақылауы мүмкін (GDPR бұзылуы)
  • Сайтыңызды баяулатады (орынды блоктау, желілік кешігу)
  • Функционалдығын бұзуы мүмкін (нұсқалық жаңартулар, апаттар)
  • Қажетсіз контент енгізуі мүмкін (жарнама скрипттері)

Сіздің үшінші тарап скрипттеріңізді тексеру:

| Скрипт | Қажет пе? | Ризик деңгейі | Баламасы | |--------|-----------|------------|-------------| | Google Analytics | Іс жүзінде ия | Төмен | Сервер жағындағы бақылау | | Чат виджеттері | Мүмкін | Орташа | Өздігінен орналастырылған шешімдер | | Әлеуметтік бөлісу түймешіктері | Сирек | Орташа | Статикалық бөлісілетін сілтемелер | | A/B тестілеу | Кейде | Жоғары | Сервер жағындағы тестілеу | | Ретаргетинг пиксельдері | Бизнес шешімі | Жоғары | Бірінші тарап мәліметтері | | Қаріп CDNs | Ыңғайлы | Төмен | Өздігінен орналастырылған қаріптер |

Міндетті үшінші тарап скрипттері үшін ризикті төмендету:

  1. Subresource Integrity (SRI): Хэш тексеру модификацияланған скрипттердің жүктелуіне кедергі келтіреді.
<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>
  1. CSP шектеулері: Тек танымал домендерден скрипттерді рұқсат етіңіз
  2. Песочница iframe-тері: Үшінші тарап виджеттерін оқшауланған
  3. Тұрақты аудит: Барлық сыртқы ресурстарды тоқсан сайын шолу
  4. Мониторинг: Сіздің беттеріңізде жаңа сыртқы домендердің пайда болуына ескерту

Жылдам нәтиже: Сіздің HTML-дің сыртқы домендерден жүктелетін әрбір