Skip to main content
Back to blog

SEO Gidas 7 Žingsnis: Saugumas — Pagrindas, kurio tikisi Google 2026 m.

·11 min read·by LANGR SEO

SEO Gidas 7 Žingsnis: Saugumas

Tai yra 7 žingsnis iš 13 Žingsnių SEO Gido. Saugumas nėra tik vartotojų apsauga — jis tiesiogiai veikia jūsų paieškos reitingus. Google naudoja HTTPS kaip reitingo signalą nuo 2014 m., o lūkesčiai tik didėja.

Dauguma svetainių savininkų saugumą laiko dvejetainiu: "Mes turime SSL, taigi esame saugūs." Iš tiesų, Google vertina dešimtis saugumo signalų. Svetainės su tinkamomis saugumo antraštėmis, galiojančiais sertifikatais ir be mišraus turinio užima aukštesnes pozicijas nei tos, kurios turi tik bazinį SSL sertifikatą — visais kitais atvejais esant vienodoms sąlygoms.

Gerai žinia: dauguma saugumo taisymų yra vienkartinės konfigūracijos. Nustatykite juos vieną kartą, ir jie nuolat apsaugos jūsų reitingus.

SSL Konfigūracija

SSL (techniniu požiūriu TLS) šifruoja ryšį tarp jūsų serverio ir lankytojų. Nuo 2014 m. Google aiškiai patvirtino HTTPS kaip reitingo signalą. 2026 m. neturėti HTTPS nėra tik reitingo problema — "Chrome" žymi HTTP svetaines kaip "Nesaugus" adresų juostoje, taip sunaikindamas vartotojų pasitikėjimą.

Reikalavimai tinkamai SSL:

| Reikalavimas | Kodėl | Kaip patikrinti | |--------------|-------|-----------------| | Galiojantis sertifikatas | Pasibaigęs = naršyklės įspėjimas = atšokę vartotojai | Patikrinkite galiojimo datą | | Pilnas grandinės ryšys | Nepilnos grandinės kai kuriais įrenginiais nepavyksta | SSL Labs testas | | TLS 1.2+ | Senesnės versijos turi žinomų pažeidžiamumų | SSL Labs testas | | Be SHA-1 | Atlikta, naršyklės jį atmeta | Sertifikato duomenys | | SAN aprėptis | www ir ne-www turėtų būti apimami | Sertifikato duomenys | | Automatinis atnaujinimas | Užkerta kelią pasibaigimo katastrofoms | Let's Encrypt / paslaugų teikėjo konfigūracija |

SSL įvertinimas:

100% = Galiojantis sertifikatas + Pilnas grandinės ryšys + TLS 1.3 + Stiprus šifras + Automatinis atnaujinimas
  0% = Pasibaigęs arba trūksta sertifikato

Dažnos SSL klaidos:

  1. Sertifikatas pasibaigia be įspėjimo — Nustatykite stebėjimą (6 žingsnis) mažiausiai 30 dienų prieš galiojimo pabaigą
  2. Nepilna sertifikato grandinė — Serveris turi siųsti tarpininkinius sertifikatus, o ne tik lapo
  3. Mišrus turinys — HTTPS puslapis įkelia HTTP išteklius (nuotraukas, scriptus, stilius)
  4. Peradresavimo ciklai — HTTP → HTTPS → HTTP ciklai atsiranda dėl netinkamos CDN/proxy konfigūracijos
  5. Ne-www prieš www neatitikimas — Sertifikatas apima vieną, bet ne kitą

Greitas sprendimas: Paleiskite savo domeną per SSL Labs (ssllabs.com/ssltest). Bet kas, kas yra žemiau "A" reitingo, turi spręstinų problemų. Dauguma prieglobos teikėjų tai išsprendžia vienu paspaudimu.

Saugumo Antraštės

Saugumo antraštės yra HTTP atsakymo antraštės, kurios nurodo naršyklėms, kaip elgtis, kai įkeliate savo svetainę. Jos užkerta kelią visoms atakų kategorijoms — ir Google robotai jas tikrina.

Būtinos saugumo antraštės:

Turinio Saugumo Politika (CSP)

CSP yra galingiausia saugumo antraštė. Ji nurodo naršyklėms, kokie ištekliai (scriptai, stiliai, nuotraukos, fontai) gali būti įkelti jūsų puslapiuose.

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

CSP, ką ji užkerta:

  • Kryžminio svetainės script'intimo (XSS) atakos
  • Duomenų injekcijos atakos
  • Klikiavoqų (per frame-ancestors)
  • Neįgaliotų scriptų vykdymas (kriptovaliutų kasyklos, reklamos injektoriai)

CSP diegimo strategija:

  1. Pradėkite nuo Content-Security-Policy-Report-Only (fiksuoja pažeidimus, neblokavus)
  2. Stebėkite ataskaitas 1-2 savaites
  3. Balansuokite teisėtus šaltinius
  4. Perjunkite į priverstinį režimą
  5. Pridėkite report-uri arba report-to, kad nuolat žurnaluotumėte pažeidimus

X-Frame-Options

Užkerta jūsų svetainės įspaudimą į iframes kitose domenose (klikiavimo apsauga).

X-Frame-Options: DENY

Arba, jei reikia leisti tos pačios kilmės įspaudimą:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

Užkerta naršyklėms MIME tipo klastojimą (interpretuojant failus kaip skirtingus tipus, nei nurodyta).

X-Content-Type-Options: nosniff

Šis vienos eilutės sprendimas užkerta kelią atakoms, kuriose .jpg failas turi paslėptą JavaScript, kurį naršyklė galėtų vykdyti.

Referrer-Policy

Kontroliuoja, kiek informacijos apie užklausas siunčiama, kai vartotojai spustelėja nuorodas iš jūsų svetainės.

Referrer-Policy: strict-origin-when-cross-origin

Tai siunčia visą URL užklausas tos pačios kilmės atveju, tačiau tik kilmę (domeną) užklausoms iš kitų kilmių. Balansuoja analitikos poreikius su privatumu.

Permissions-Policy

Kontroliuoja, kurios naršyklės funkcijos (kamera, mikrofonas, geolokacija ir kt.) gali būti naudojamos jūsų svetainėje.

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

Išjungimas funkcijų, kurių nenaudojate, užkerta kelią trečiųjų šalių scriptams jas piktnaudžiauti.

Antraštės įgyvendinimo pavyzdys (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

Antraštės įgyvendinimas (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Antraštės įgyvendinimas (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Greitas sprendimas: Pridėkite visas 5 aukščiau nurodytas antraštes į savo serverio konfigūraciją. Tai trunka 5 minutes ir iš karto pagerina jūsų saugumo pozicijas bet kurioje skenavimo priemonėje.

HSTS Įkrovimas

HTTP Strict Transport Security (HSTS) nurodo naršyklėms visada naudoti HTTPS jūsų domenui — net ir prieš pirmąją užklausą. Be HSTS, pirmas apsilankymas jūsų svetainėje gali vis dar naudoti HTTP (pažeidžiamas perėmimui) prieš persiunčiant į HTTPS.

HSTS antraštė:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Trys direktyvos:

| Direktyva | Reikšmė | |-----------|---------| | max-age=31536000 | Atminkite tai 1 metams (sekundėmis) | | includeSubDomains | Taikoma visiems subdomenams | | preload | Prašymas įtraukti į naršyklės įkrovimo sąrašus |

HSTS įkrovimo sąrašas:

Pats galutinis HSTS apsaugos būdas. Naršyklės turi įdiegtą domenų, kurie turi visada naudoti HTTPS, sąrašą. Pateikimas jūsų domeno hstspreload.org reiškia:

  • Pirmieji lankytojai gauna HTTPS iškart (be HTTP → HTTPS peradresavimo)
  • Užpuolikams neįmanoma sumažinti ryšių saugumo
  • Nuolatinis (sunku pašalinti po pateikimo)

Reikalavimai HSTS įkrovimui:

  1. Galiojantis HTTPS sertifikatas
  2. Visas HTTP nukreipimas į HTTPS (įskaitant subdomenus)
  3. HSTS antraštė su max-age >= 31536000
  4. HSTS antraštė apima includeSubDomains
  5. HSTS antraštė apima preload
  6. Visi subdomenai turi palaikyti HTTPS

Įspėjimas: Pateikite į įkrovimo sąrašą tik tuo atveju, jei VISI jūsų subdomenai palaiko HTTPS. includeSubDomains direktyva reiškia, kad bet kuris tik HTTP subdomenas taps nepasiekiamas.

Greitas sprendimas: Jei jau turite HTTPS visiems subdomenams, pridėkite pilną HSTS antraštę ir pateikite hstspreload.org. Apdorojimas trunka kelias savaites, tačiau apsauga yra nuolatinė.

Pažeidžiamumo Skenavimas

Automatizuotas pažeidžiamumo skenavimas identifikuoja žinomas saugumo problemas jūsų sistemoje, prieš jas išnaudojant užpuolikams.

Ką tikrina pažeidžiamumo skenavimas:

  • Pasenusi programinė įranga: WordPress, papildiniai, JavaScript bibliotekos su žinomais CVE
  • Atidaryti failai: .env, .git, wp-config.php, duomenų bazės atsarginės kopijos
  • Informacijos nutekėjimas: Serverio versijos antraštės, derinimo režimas, steko pėdsakai
  • Numatytos kredencialai: Administratorių puslapiai be autentifikacijos, numatyti slaptažodžiai
  • Atviri prievadai/paslaugos: Nereikalingos paslaugos, atidarytos internetui
  • Injekcijos taškai: Formos be CSRF apsaugos, nepatikrinti įvedimai

Dažniausios pažeidžiamybės pagal platformą:

| Platforma | Pagrindinė pažeidžiamybė | Taisymas | |-----------|-------------------------|----------| | WordPress | Pasenę papildiniai | Automatinis atnaujinimas + WAF | | Shopify | Trečiųjų šalių programų leidimai | Ketvirtinis programų sąrašo auditavimas | | Next.js | Atidaryti API maršrutai | Autentifikacijos vidurinės programos + greičio apribojimas | | Statinės svetainės | CDN neteisinga konfigūracija | Peržiūrėti talpyklos taisykles | | Pasirinktinis | SQL injekcija | Parametrizuoti užklausos |

Skenavimo dažnumas:

  • Kasdien: Automatizuotas paviršiaus skenavimas (SSL, antraštės, atidaryti failai)
  • Kiekvieną savaitę: Priklausomybių pažeidžiamumo patikrinimas (npm audit, WordPress papildinių skeneris)
  • Kiekvieną mėnesį: Giluminis skenavimas su autentifikuotu testavimu
  • Po kiekvieno diegimo: Regresijos patikrinimas

Greitas sprendimas: Paleiskite npm audit (Node.js) arba patikrinkite savo CMS papildinių sąrašą dėl pasenusių komponentų. Skubiai išspręskite kritines / didelio rimtumo problemas.

Mišrus Turinio

Mišrus turinys atsiranda, kai HTTPS puslapis įkelia išteklius (nuotraukas, scriptus, stilius, iframes) per HTTP. Tai iš dalies nutraukia šifravimą ir sukelia naršyklių įspėjimus.

Mišraus turinio tipai:

| Tipas | Rimtumas | Pavyzdys | Naršyklės elgesys | |-------|----------|----------|--------------------| | Aktyvus | Didelis | HTTP scriptas, iframe, CSS | Automatiškai blokuojamas | | Pasyvus | Vidutinis | HTTP nuotrauka, vaizdo įrašas, garsas | Įkeliamas su įspėjimu |

Aktyvus mišrus turinys yra blokuojamas modernių naršyklių — tai reiškia, kad jūsų scriptai ir stiliai tiesiog nebus įkelti. Pasyvus mišrus turinys įkeliamas, bet rodomas saugumo įspėjimai.

Mišraus turinio nustatymas:

  1. Atidarykite Chrome DevTools → Konsolė
  2. Ieškokite "Mixed Content" įspėjimų
  3. Alternatyviai, skenuokite naudodami crawler'į (Screaming Frog, LANGR)

Dažniausi mišraus turinio šaltiniai:

  • Kietai užkoduoti http:// URL'ai turinyje (blogo įrašai, produktų aprašymai)
  • Trečiųjų šalių widget'ai, kurie įkelia HTTP išteklius
  • Įdiegti turiniai (YouTube seni įterpimai, socialinės medijos widget'ai)
  • CSS background-image su HTTP URL'ais
  • Fontai, įkeliami per HTTP

Mišraus turinio taisymas:

<!-- Blogai -->
<img src="http://example.com/image.jpg" />

<!-- Gerai -->
<img src="https://example.com/image.jpg" />

<!-- Geriausia (protokolą atitinkantis, prisitaiko prie puslapio protokolo) -->
<img src="//example.com/image.jpg" />

Duomenų bazės taisymas (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

Greitas sprendimas: Atidarykite savo pradinį puslapį Chrome, paspauskite F12, patikrinkite Konsolės kortelę dėl mišraus turinio įspėjimų. Išspręskite bet kokius pasirodančius — šie matomi Google.

Trečiųjų Šalių Scriptų Rizikos

Kiekvienas išorinis scriptas, kurį įkeliate, yra potenciali saugumo (ir našumo) atsakomybė. Trečiųjų šalių scriptai gali:

  • Būti kompromituoti (tiekimo grandinės atakos)
  • Stebėti jūsų vartotojus be sutikimo (GDPR pažeidimas)
  • Lėtinti jūsų svetainę (užlaikanti, tinklo delsimas)
  • Sugadinti funkcionalumą (versijų atnaujinimai, avarijos)
  • Įterpti nepageidaujamą turinį (nepavykusios reklaminės scriptos)

Apsvarstykite savo trečiųjų šalių scriptus:

| Scriptas | Būtinas? | Rizikos lygis | Alternatyva | |----------|----------|---------------|-------------| | Google Analytics | Dažnai taip | Žemas | Serverio stebėjimas | | Pokalbių widget'ai | Galbūt | Vidutinis | Savarankiškai hostinamos sprendimai | | Socialiniai dalijimosi mygtukai | Retai | Vidutinis | Statinės dalijimosi nuorodos | | A/B testavimas | Kartais | Didelis | Serverio pusės testavimas | | Rekalifikavimo pixeliai | Verslo sprendimas | Didelis | Pirmųjų šalių duomenys | | Fontų CDN | Patogu | Žemas | Savarankiškai hostinami fontai |

Rizikos mažinimas esminiams trečiųjų šalių scriptams:

  1. Subresursų vientisumas (SRI): Hash tikrinimas užkerta kelią pakraunamiems pakeistiems scriptams
<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>
  1. CSP apribojimai: Leiskite tik scriptus iš žinomų domenų
  2. Sandarūs iframes: Apsaugokite trečiųjų šalių widgetus
  3. Reguliarūs auditai: Keturiniai visi išoriniai ištekliai
  4. Stebėjimas: Alertas dėl naujų išorinių domenų, besikartojančių jūsų puslapiuose

Greitas sprendimas: Išvardinkite kiekvieną