Skip to main content
Back to blog

SEO маалымат жетекчилиги 7-баскыч: Коопсуздук — 2026-жылы Google күтүп жаткан негизги нормалар

·11 min read·by LANGR SEO

SEO маалымат жетекчилиги 7-баскыч: Коопсуздук

Бул 13-баскычтуу SEO жетекчилигинин 7-баскычы. Коопсуздук жөн гана колдонуучуларды коргоо эмес — ал сиздин издөө рейтингдериңизге түздөн-түз таасир этет. Google 2014-жылдан бери HTTPSти рейтинг сигналы катары колдонуп келет, жана күтүүлөр гана жогорулаган.

Көпчүлүк сайт ээлери коопсуздукту бинардык түшүнүктөр катары карашат: "Бизде SSL бар, демек, биз коопсузбуз." Чындыгында, Google жүздөгөн коопсуздук сигналдарын баалайт. Туура коопсуздук башчылары, жарактуу сертификаттар жана аралаш мазмуну жок сайттар, жөн гана негизги SSL сертификатына ээ сайттардан жогору турат — калган нерселер тең болсо.

Жакшы кабар: көпчүлүк коопсуздук оңдолмолору бир жолу гана конфигурацияланат. Бир жолу орнотсоңуз, ал сиздин рейтингдериңизди туруктуу коргойт.

SSL Конфигурациясы

SSL (техникалык жактан TLS) сервериңиз менен конокторуңуздун ортосундагы байланышты шифрлейт. Google 2014-жылы HTTPSти рейтинг сигналы катары тактоо менен тастыктады. 2026-жылы HTTPS жок болот — Chrome HTTP сайттарды адрес тилкесинде "Коопсуз Эмес" деп белгилейт, колдонуучулардын ишеними бузулат.

Туура SSL үчүн талаптар:

| Талап | Негизги себеп | Текшерүү ыкмасы | |-------------|-----|--------------| | Жарактуу сертификат | Мазмун универсиаларынан өткөн = браузер эскертүүсү = колдонуучуларды чыгаруу | Туратуу датасын текшерүү | | Толук чынжыр | Толук эмес чынжырлар кээ бир түзүлүштөрдө иштебейт | SSL Labs тест | | TLS 1.2+ | Убакты ырмак версиялары белгилүү кемчиликтерге ээ | SSL Labs тест | | SHA-1 жок | Тизмечеленген, браузерлер аны кабыл албайт | Сертификат деталдары | | SAN камтылышы | www жана non-www экөө тең камтылышы керек | Сертификат деталдары | | Авто-тасдим | Өткөрүү даталарын алдын алат | Let's Encrypt / провайдер конфигурациясы |

SSL менен рейтинг:

100% = Жарактуу сертификат + Толук чынжыр + TLS 1.3 + Күчтүү шифр + Авто-тасдим
  0% = Өткөн же жок сертификат

Кеңири таралган SSL катачылыктары:

  1. Сертификат ооздон өткөн учурда эскертүү бербейт — Мурун узак 30 күнгө мониторинг жүргүзүңүз (6-баскыч)
  2. Толук эмес сертификат чынжыры — Сервер ортоңку сертификаттарды жөнөтүшү керек, жөн гана жалын тийгенин камтышы керек
  3. Аралаш мазмун — HTTPS бети HTTP ресурстарын жүктөйт (сүрөттөр, сценарийлер, стилдер)
  4. Редирект циклдары — HTTP → HTTPS → HTTP циклы туура конфигурацияланбаган CDN/proxy же конфигурациялардан улам келип чыгарылат
  5. Non-www жана www мамилеси жок — Сертификат бирин камтыйт, башканы бербейт

Тезирек арыз: Сиздин доменин SSL Labs аркылуу өткөрүңүз (ssllabs.com/ssltest). "A" рейтингинен төмөн бардык маселелер эми бир орунду көйгөй. Көпчүлүк хостинг провайдерлер буларды бир чыкылдатуу менен оңдошот.

Коопсуздук Башчылары

Коопсуздук башчылары — бул HTTP жооп башчылары, браузерлерге сиздин сайтыңызды жүктөө учурунда кандайча иштөөгө көрсөтмөлөрдү берет. Алар толугу менен катарына каршы кол салууларды токтотот — жана Google'дун тиркемелери аларды текшерет.

Мындан улам керек коопсуздук башчылары:

Контент-Коопсуздук-Саясаты (CSP)

CSP бул эң күчтүү коопсуздук башчысы. Ал браузерлерге сиздин беттериңизде жүктөөгө уруксат берилген ресурстарды (сценарийлер, стилдер, сүрөттөр, шрифттер) так көрсөтөт.

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

CSP эмнени алдын алат:

  • Кросс-сайт сценарийи (XSS) кол салуулар
  • Мазмунду инъекция кол салуулар
  • Кликжакет (аргын frame-ancestors аркылуу)
  • Растактер технологияларын ишке ашыруу (криптомайнерлер, реклама инъекторлору)

CSP жеткирүү стратегиясы:

  1. Content-Security-Policy-Report-Only менен баштаңыз (блоктоочусуз бузулууларды журналга таштоо)
  2. 1-2 жума отчетторду мониторингде кармаңыз
  3. Жарактуу булактарды ак тизмеге киргизиңиз
  4. Бажы режимине өтүңүз
  5. Узак мөөнөттүү бузулууларды журналга алуу үчүн report-uri же report-to кошуңуз

X-Frame-Options

Сиздин сайттын башка домендерде iframe'дерге киргизилишинин алдын алат (кликжакет коргоо).

X-Frame-Options: DENY

Эгерде сизге бир туугон мейкиндикти жүктөөгө уруксат берүү керек болсо:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

Браузерлердин MIME түрүн жутуп алуу (файлдарды далилденгендерден башка түрлөрдө интерпретациялоо) алдын алат.

X-Content-Type-Options: nosniff

Бул бир бөлүкчү .jpg файлында браузер тарабынан иштетилген жашырын JavaScript бар экендигине каршы кол салууларды алдын алат.

Referrer-Policy

Колдонуучулардын сиздин сайтыңыздан шилтемелерди чыкылдаткан учурда жиберилген реферер маалыматтын канчалык көп экендигин аныктайт.

Referrer-Policy: strict-origin-when-cross-origin

Бул бир тууган кайрылуулар үчүн толук URLni жиберет, бирок кросс-тооптук кайрылуулар үчүн тек гана башталышы (домен) жиберет. Анализирлөө муктаждыктарын жеке жашоосуроо менен тең салмакташат.

Permissions-Policy

Камера, микрофон, геолокация ж.б. сыяктуу браузер функцияларын сиздин сайтыңызда кантип пайдаланууга болот.

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

Сиз пайдаланбаган функцияларды иштетпөө үчүн үчүнчү тарап скрипттеринин ашыкча пайдалануусун алдын алат.

Башчыларды ишке ашыруу үлгүсү (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

Башчыларды ишке ашыруу (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Башчыларды ишке ашыруу (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Тезирек арыз: Жогорудагы 5 башчынын бардыктарын сервер конфигурацияңызга кошуңуз. Бул 5 мүнөт убакыт алат жана дароо сиздин коопсуздугуңузду жакшыртат.

HSTS Алдын Ала Жүктөө

HTTP Строгд Транспорт Коопсуздук (HSTS) браузерлерге сиздин домен үчүн ар дайым HTTPSти пайдаланууну туш улантат — биринчи сурап жатканда дагы. HSTS жок, сиздин сайтка биринчи кириш HTTP (аралаш алуунун кертилүүсүнө) кол менен келет, HTTPSке жүктөөнү жүргүзгөнгө чейин.

HSTS башчысы:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Үч негизги параметр:

| Параметр | Мазмун | |-----------|---------| | max-age=31536000 | Бир жылга (секундтарда) эстеп кал | | includeSubDomains | Бардык субдомендерге да колдонулат | | preload | Браузердин алдын ала тизмелерине киргизүүнү сураныч |

HSTS алдын ала жүктөө тизмеси:

HSTS коргоонун жогорку түрү. Браузерлер HTTPSти дайыма пайдаланууга тийиш болгон домендердин бонуска тизмеси менен келет. hstspreload.org сайтына доменди жөнөтүү демек:

  • Биринчи жолу келген конокторго дароо HTTPS келет (HTTP → HTTPS редиректи жок)
  • Кол салуучуларга байланыштарды начарлатууга мүмкүн эмес
  • Туруктуу (бир жолу жөнөтүлгөндөн кийин алып салуу кыйын)

HSTS алдын ала жүктөө үчүн талаптар:

  1. Жарактуу HTTPS сертификаты
  2. HTTPны HTTPSке редиректи кертүүнү (субдомендерди кошо)
  3. max-age >= 31536000 бар HSTS башчысы
  4. HSTS башчысы includeSubDomains камтуусу керек
  5. HSTS башчысы preload камтуусу кылуу керек
  6. Бардык субдомендер HTTPSти колдоо керек

Эскертүү: Эгерде бардык субдомендер HTTPSти колдосо, анда гана алдын ала жүктөөгө жөнөтүңүз. includeSubDomains параметри HTTP гана атайын субдоменди жеткиликтүү болбойт.

Тезирек арыз: Эгер сиздин бардык субдомендерде HTTPS болсо, толук HSTS башчысы менен кошуп hstspreload.org сайтына жөнөтүңүз. Кайра иштетүү көп апталарды алат, бирок коргоо туруктуу.

Кемчиликти Сканерлөө

Автоматташтырылган кемчиликти сканерлөө белгилүү коопсуздук маселелерин сиздин структураңызда тааныбай туруп кол салуучулардын пайдалануусун алдын алат.

Кемчиликти сканерлөөнүн текшерүүлөрү:

  • Эски программалык камсыздоолор: WordPress, плагиндер, белгилүү CVE өкүлдөрү менен JavaScript китепканалары
  • Ачылган файлдар: .env, .git, wp-config.php, база маалыматтары
  • Маалымат агып кетүү: Сервер версия башчылары, дебаг режим, стек тректер
  • Дефолт ыйгарым укуктар: Системадагы аутентификациясыз админ баракчалары, дефолт паролдор
  • Ачык порттор/кызматтар: Интернетке киргизилген керексиз кызматтар
  • Инъекция пункттары: CSRF коргоосуз формалар, текшерилбеген киргизүүлөр

Платформа боюнча кеңири таралган кемчиликтер:

| Платформа | Топ Кемчилик | Оңдоо | |----------|-------------------|-----| | WordPress | Эски плагиндер | Авто- жаңыртуу + WAF | | Shopify | Үчүнчү тараптын колдонмолору | Жарым жыл сайын колдонмолорду текшерүү | | Next.js | Ачык API жолдору | Аутентификациялык оратор + аралыкты чектөө | | Статикалык сайттар | CDN жаңылышуулар | Кэш эрежелерин карап чыгуу | | Custom | SQL инъекциясы | Параметрленген суроолор |

Сканерлөө бир убакта:

  • Күндөлүк: Автоматташтырылган бет сканери (SSL, башчылар, ачылган файлдар)
  • Апталык: Тажрыйба менен жараксыз текшерүү (npm audit, WordPress плагин сканери)
  • Айлык: Кудайлык сыналгыда терең текшерүү
  • Ар бир жайгаштыруу менен: Редукциялык текшерүү

Тезирек арыз: npm audit (Node.js) же сиздин CMS плагин тизмеңизде эски компоненеттерди текшерип барыңыз. Мындан тышкары, жөнгө салууну дароо чечиңиз.

Аралаш Мазмун

Аралаш мазмун HTTPS бетинин ресурстарын (сүрөттөр, сценарийлер, стилдер, iframe'лер) HTTP аркылуу жүктөөдө пайда болот. Бул шифрленүүнү жарым-жартылай бузуп, браузер тынчсыздануусун туудурат.

Аралаш мазмун түрлөрү:

| Түр | Кырдаал | Мисал | Браузер Давыждылары | |------|----------|---------|------------------| | Активд түр | Жогорку | HTTP сценарий, iframe, CSS | Негизги шарттар боюнча бөгөттөлгөн | | Пассивд түр | Орто | HTTP сүрөт, видео, үн | Тынчсыздануулар менен жүктөлөт |

Активд аралаш мазмун заманбап браузерлер тарабынан бөгөттөлүп турат — демек, сиздин сценарийлер жана стилдер жөн эле жүктөлбөйт. Пассивдик аралаш мазмун жүктөлөт, бирок коопсуздук эскертүүлөрүн көрсөтөт.

Аралаш мазмунду табуу:

  1. Chrome DevTools'ту ачыңыз → Консоль
  2. "Аралаш мазмун" эскертүүлөрүн карап чыгыңыз
  3. Же альтернативдүү, сканерчү менен сканерлеп карагыла (Screaming Frog, LANGR)

Аралаш мазмундун кеңири таралган булагы:

  • Мазмундун ичиндеги каттоо http:// URL'лери (блог посттору, продукт сыпаттама)
  • HTTP ресурстарын жүктөгөн үчүнчү тарап филигранттары
  • Жүктөлгөн мазмун (YouTube эски жана социалдык медиа вентиляторлор)
  • CSS background-image HTTP URL'лер менен
  • HTTP аркылуу жүктөлгөн шрифттер

Аралаш мазмунду оңдоо:

<!-- Жаман -->
<img src="http://example.com/image.jpg" />

<!-- Жакшы -->
<img src="https://example.com/image.jpg" />

<!-- Эң мыкты (протоколдун салыштыруучу, бет протоколуна ылайыкташтырылат) -->
<img src="//example.com/image.jpg" />

Мамлекеттик оңдоо (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

Тезирек арыз: Chrome'да баштапкы бетиңизди ачыңыз, F12 басыңыз, Консоль табын текшерип, аралаш мазмунга тынчсызданууларды текшериңиз. Көрсөтүлгөндүн бардыгын оңдоп калыңыз — булар Google'га даректелген маалымат катары көрнөк болуп турат.

Үчүнчү Тарап Скрипттеринин Кооптуулугу

Сиз жүктөгөн ар бир тышкы скрипт коопсуздук (жана натыйжалуулук) жактан жоопкерчилик болушу мүмкүн. Үчүнчү тарап скрипттери:

  • Тагынат (жеткиликтүү чынжыр кол салуулары)
  • Кошумча колдонуучуларыңызды күзөтөт (GDPR эрежесин бузуу)
  • Сиздин сайтыңызды жайлатуусу (ашыра турган, тармактын кечиккендиги)
  • Функционалдуулугун бузат (версийди жаңыртуу, катастрофалар)
  • Уюлдук контенттерди киргизет (реклама скрипттери)

Сиздин үчүнчү тарап скрипттериңизди текшериңиз:

| Скрипт | Зарылбы? | Коопсуздук Тапшырмасы | Альтернатив | |--------|-----------|------------|-------------| | Google Analytics | Көп учурда ооба | Төмөн | Сервер тараптан күзөт | | Чат филтри | Мүмкүн | Орто | Өз-өзүнчө хостуучу чечимдер | | Социалдык шеринг кнопкалары | Азаыр | Орто | Токтоо шилтемелер | | A/B тесттери | Кээде | Жогорку | Сервер тараптан тестирлөөлөр | | Ретаргетинг пикселдери | Бизнес чечими | Жогорку | Бир тарап маалымат | | Шрифт CDN'лери | Ыңгайлуу | Төмөн | Шрифттерди өз-өзүнчө хосттоо |

Тийиштүү үчүнчү тарап скрипттери үчүн коопсуздукту башкаруу:

  1. Subresource Integrity (SRI): Хэштик текшерүү өткөрбөйт, ал ачык скрипттерди жүктөөгө жол бербейт
<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>
  1. CSP чектөөлөрү: белгилүү домендерден гана скрипттерди жүктүүгө уруксат берүү
  2. Санд-богу тилдер: Үчүнчү тарап виджеттерин айкындайт
  3. Талдоолорду мезгил-мезгили менен: Бардык сырткы ресурс Eaglesи жыл сайын текшерип туруу
  4. Мониторинг: Сиздин беттерде жаңы сыртка домендер пайда болгондо эскертүүлөр

Тезирек арыз: Сиздин HTML'ңызда тышкы домендерден жүктөлгөн ар бир