Skip to main content
Back to blog

SEO മാർഗ്ഗനിർദേശത്തിന്റെ പതിനഞ്ചാം പടി: സുരക്ഷ — 2026-ൽ Google പ്രതീക്ഷിക്കുന്ന അടിസ്ഥാനരേഖ

·10 min read·by LANGR SEO

SEO മാർഗ്ഗനിർദേശത്തിന്റെ പതിനഞ്ചാം പടി: സുരക്ഷ

ഇത് 13-പടി SEO മാർഗ്ഗനിർദേശംന്റെ പതിനികം പടി. സുരക്ഷ ഉപയോക്താക്കളെ സംരക്ഷിക്കുന്നത് മാത്രമല്ല — അതിന്റെ സുരക്ഷിതത്വവും നിങ്ങളുടെ സെർച്ച് റാങ്കിംഗുകളെയും നേരിട്ട് ബാധിക്കുന്നു. 2014-ൽ부터 Google HTTPS-നെ റാങ്കിംഗിന്റെ സൂചനയായി ഉപയോഗിക്കുന്നു, പ്രതീക്ഷകൾ കൂടിയിട്ടുണ്ട്.

ഒരു സൈറ്റിന്റെ ഉടമകൾ ഭൂരിഭാഗം സമയവും സുരക്ഷയെ ഒരു ബൈനറി ആയി കാണിക്കുന്നു: "നമുക്ക് SSL ഉണ്ട്, അതതിനാൽ നാം സുരക്ഷിതരാണ്." യാഥാർത്ഥ്യത്തിൽ, Google സത്യമായും രണ്ട് ഡോസൻ സുരക്ഷാ സൂചനകൾ വിലമതിക്കുന്നു. വ്യാപകമായ സുരക്ഷാ ഹെഡറുകൾ, ശരിയായ സർട്ടിഫിക്കറ്റുകൾ, കൂടാതെ മിശ്രിത ഉള്ളടക്കമില്ലാത്ത സൈറ്റുകൾ, അടിസ്ഥാന SSL സർട്ടിഫിക്കറ്റുള്ള സൈറ്റുകളെക്കാൾ ഉയർന്ന റാങ്കിൽ നഗരം നേടിക്കുന്നു — മറ്റു എല്ലാവിധം ഒരേഏകീഭവനത്തിലായപ്പോൾ.

ശ്രീമാനരാക്കിയ വാർത്ത: ഭൂരിഭാഗം സുരക്ഷാ നിവാര്യങ്ങൾ ഒരിക്കൽ മാത്രം ക്രമീകരണങ്ങൾ ആണ്. ഒരിക്കൽ തന്നെ സജ്ജീകരിക്കുക, അവ ശാശ്വതമായി നിങ്ങളുടെ റാങ്കിംഗുകൾ സംരക്ഷിക്കുന്നു.

SSL ക്രമീകരണം

SSL (സാങ്കേതികമായി TLS) നിങ്ങളുടെ സെർവർ കൂടാതെ സന്ദർശകരെ ബന്ധിപ്പിക്കുന്നത് എൻക്രിപ്റ്റ് ചെയ്യുന്നു. 2014-ൽ, Google HTTPS-നെ റാങ്കിംഗിന്റെ സൂചനയായി വ്യക്തമാക്കിക്കൊണ്ടു സ്ഥിരീകരിച്ചു. 2026-ൽ HTTPS ഇല്ലാത്തത് ഒരു റാങ്കിംഗ് പ്രശ്നമല്ല — Chrome HTTP സൈറ്റുകൾ വിലമതിക്കുന്നതിനാൽ "സുരക്ഷിതമല്ല" എന്ന് വ്യക്തമാക്കുന്നു, ഉപയോക്തൃ വിശ്വസനം തകർക്കുന്നു.

ശ്രേഷ്ഠമായ SSL-നുള്ള ആവശ്യങ്ങൾ:

| ആവശ്യങ്ങൾ | എന്തിനാണ് | പരിശോധിക്കാൻ എങ്ങനെ | |-------------|-----|--------------| | സാധുവായ സർട്ടിഫിക്കറ്റ് | കാലഹരണപ്പെട്ടു = ബ്രൗസർ മുന്നറിയിപ്പ് = ഉപഭോക്താക്കൾ വിട്ട് പോകുന്നു | കാലാവധി തിയതി പരിശോധിക്കുക | | പൂര്‍ണമായ ശൃംഖല | ക്ഷീണിതമായ ശൃംഖലകളാണ് ചില ഉപകരണങ്ങളിൽ പരാജയപ്പെടുന്നത് | SSL Labs പരീക്ഷണം | | TLS 1.2+ | പഴയ പതിപ്പുകൾവിലക്കുറവുകൾ അറിയപ്പെടുന്ന സ്ഥിതിയിലാണ് | SSL Labs പരീക്ഷണം | | SHA-1 ഇല്ല | പുരാതനം, ബ്രൗസർ ദൃവിച്ചുകൊണ്ടും നിരസിക്കുന്നു | സർട്ടിഫിക്കറ്റിന്റെ വിശദാംശങ്ങൾ | | SAN കവറേജ് | www, non-www രണ്ടും പരിഗണിക്കണം | സർട്ടിഫിക്കറ്റിന്റെ വിശദാംശങ്ങൾ | | സ്വയം നവതി | കാലഹരണത്തിന്റെ ദുരന്തങ്ങൾ തടയുന്നു | Let's Encrypt / പ്രദായകന്റെ ക്രമീകരണം |

SSL സ്കോറിംഗ്:

100% = സാധുവായ സർട്ടിഫിക്കറ്റ് + പൂര്‍ണമായ ശൃംഖല + TLS 1.3 + ശക്തമായ സിഫർ + സ്വയം നവതി
  0% = കാലഹരണപ്പെട്ട അല്ലെങ്കിൽ ഇല്ലാത്ത സർട്ടിഫിക്കറ്റ്

സ്വകാര്യ SSL പിഴവുകൾ:

  1. സർട്ടിഫിക്കറ്റ് മുന്നറിയിപ്പ് ഇല്ലാതെയാണ് കാലഹരണപ്പെടുന്നത് — കാലാവധി അവസാനിക്കുന്നതിന് കുറഞ്ഞത് 30 ദിവസം മുമ്പ് നിരീക്ഷണം ക്രമീകരിക്കുക (പടിക്ക് 6)
  2. അപൂർണ്ണമായ സർട്ടിഫിക്കറ്റ് ശൃംഖല — സെർവറിന് ഇടക്കാല സർട്ടിഫിക്കറ്റ്‌സ് അയയ്ക്കണം, ഫലാമലല്ല
  3. മിശ്രിത ഉള്ളടക്കം — HTTPS പേജ് HTTP വിഭവങ്ങൾ (ചിത്രങ്ങൾ, സ്ക്രിപ്റ്റുകൾ, സ്റ്റൈൽഷീറ്റുകൾ) ലോഡ് ചെയ്യുന്നു
  4. തിരിച്ചടക്കം വൃത്തങ്ങൾ — HTTP → HTTPS → HTTP ചക്രം പുനർനിർമ്മിക്കാൻ ക്ഷീണിതമായ CDN / പ്രോക്സികൾ
  5. Non-www vs www വ്യത്യാസം — സർട്ടിഫിക്കറ്റ് ഒരു ഉണരില്ല

മംജൂ : SSL Labs (ssllabs.com/ssltest) വഴി നിങ്ങളുടെ ഡൊമൈൻ പ്രവർത്തിപ്പിക്കുക. "A" റേറ്റിംഗിന്റെ താഴെയുള്ള ഏതെങ്കിലും വിഷയങ്ങളിൽ കര് മേഖലയുണ്ട്. ഭൂരിഭാഗം സ്ഥിതീകരണ providers എളുപ്പത്തിൽ ഇതെല്ലാം ശരിയാക്കും.

സുരക്ഷാ ഹെഡറുകൾ

സുരക്ഷാ ഹെഡറുകൾ HTTPS പ്രതികരണ ഹെഡറുകൾ ആണ്, നിങ്ങളുടെ സൈറ്റും സൃഷ്ടിക്കുന്നതിനെ കുറിച്ച് ബ്രൗസറുകളെ പിന്നിൽ നൽകിയിട്ടുണ്ട്. അത് പൂർവ്വകൂട്ടുകൾക്കു മതിയായതാണെന്ന് ഉറപ്പ് നൽകുന്നു — Googleയുടെ ക്രോളർ തിരിച്ചറിയും.

ഏറെ അധികാരമുള്ള സുരക്ഷാ ഹെഡറുകൾ:

ഉള്ളടക്ക-സുരക്ഷാ-നയം (CSP)

CSP ഏറ്റവും ശക്തമായ സുരക്ഷാ ഹെഡറാണ്. ഇത് ബ്രൗസറുകളെ എങ്ങനെ പ്രവർത്തിക്കാൻ കഴിയുന്ന റിസോഴ്സുകൾക്കായി വ്യക്തമാക്കുന്നവയാണ് (സ്ക്രിപ്റ്റുകൾ, സ്റ്റൈലുകൾ, ചിത്രങ്ങൾ, ഫോണ്ടുകൾ).

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

CSP എവിടെ തടയുന്നു:

  • ക്രോസ് സൈറ്റ് സ്ക്രിപ്റ്റിംഗ് (XSS) ആക്രമണങ്ങൾ
  • ഡാറ്റ ഇന്‍ജക്ഷൻ ആക്രമണങ്ങൾ
  • ക്ലിക്ക്‌ജാക്കിംഗ് (തടസ്സങ്ങൾ വഴി frame-ancestors)
  • അനധികൃത സ്ക്രിപ്റ്റ് നടപ്പാക്കൽ (ക്രിപ്ടോമൈനർ, പരസ്യ ഇൻജെക്ടറുകൾ)

CSP നടപ്പിലാക്കൽ തന്ത്രം:

  1. Content-Security-Policy-Report-Only-ൽ തുടങ്ങുക (ബ്ലോക്കിംഗ് ചെയ്യാതെ ലോഗ് ലംഘനങ്ങൾ)
  2. 1-2 ആഴ്ചകൾക്കുള്ളിൽ റിപ്പോർട്ടുകൾ നിരീക്ഷിക്കുക
  3. വ്യവസ്ഥാപിത മൊസിനിദ്രങ്ങൾ വെWhitelist ചെയ്യുക
  4. നിർബന്ധിത രീതിയിലേക്ക് സ്വിച്ച് ചെയ്യുക
  5. തുടർച്ചയായ ലംഘനങ്ങൾ ലോഗ് ചെയ്യുന്നതിനായി report-uri അല്ലെങ്കിൽ report-to ചേർക്കുക

X-Frame-Options

അറിയിക്കാതെ പോലും ನಿಮ್ಮ സൈറ്റിനെ മറ്റ് ഡൊമൈനുകളിൽ (ക്ലിക്ക്‌ജാക്കിംഗ് പ്രതിരോധം).

X-Frame-Options: DENY

അല്ലെങ്കിൽ നിങ്ങളെ ഒരേ-ഉറവിടമുള്ള ഫ്രെയിം അനുവദിക്കാൻ ആവശ്യമുണ്ടെങ്കിൽ:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

ബ്രൗസറുകളെ MIME തരം സ്നിഫ്ഫ് ചെയ്യുന്നുണ്ടാണ് (എങ്ങനെ മാറ്റാൻ കഴിയുന്ന ഫയലുകൾ).

X-Content-Type-Options: nosniff

ഈ ഒറ്റ വരി .jpg ഫയലിൽ ബ്രൗസർ നിയമനം ചെയ്യും എന്നതാണ് ഒരു മാൽവെയർ അറ്റാക്കുറുപ്പുക.

Referrer-Policy

ഉപയോക്താക്കൾ നിങ്ങളുടെ സൈറ്റിൽ നിന്നും ക്ലിക്ക് ചെയ്യുന്ന ലിങ്കുകൾ സന്ദർശിക്കുന്നതിന് എത്രമാത്രം ഹെൻഡ്‌ബോൾപ്പന്നം നൽകുന്നുവെന്ന് നിയന്ത്രിക്കുന്നു.

Referrer-Policy: strict-origin-when-cross-origin

ഈത് ഒരേ-ഉറവിട ആവശ്യങ്ങൾക്കായി എല്ലാ URL-ഉം സമാനമായി അയക്കും, എന്നാൽ കൂടുതലായ സമയത്തോളം (ഡൊമെയ്ൻ) കൂട്ടുലും വിശദമായമായ രീതിയിലുള്ള സ്‌റ്റാൾ നൽകും. യാഥാതിദ്ധം ഗുണങ്ങളെയും സുരക്ഷാമായ പ്രകടനത്തെയും സമദൂസ്സിക്കാൻ കഴിയുന്നു.

Permissions-Policy

എങ്ങോട്ടു മുഷിഞ്ഞിട്ടുള്ള ബ്രൗസർ സമ്പത്ത് (കാമറ, മൈ ക്രോഫോണുകൾ, ജിയോലോകേഷൻ) എന്നിവയെ അനുയോജ്യമായക്കായി നേരിടുന്നു.

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

നിങ്ങൾ ഉപയോഗിക്കാത്ത സവിശേഷതകൾ തനികരുവാനുള്ള വെബ്സൈറ്റുകളെ മതിയായതന്നെ തടയുന്നു.

ഹെഡർ നടപ്പിലാക്കൽ ഉദാഹരണം (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

ഹെഡർ നടപ്പിലാക്കൽ (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

ഹെഡർ നടപ്പിലാക്കൽ (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

ശ്രീവിലാസം: നിങ്ങളുടെ സെർവർ ക്രമീകരണത്തിൽ, മുകളിൽ വന്ന അഞ്ച് ഹെഡറുകളും ചേർക്കുക. ഇത് അഞ്ച് മിനിറ്റ് എടുക്കുന്നു, മാത്രമല്ല, നിരീക്ഷണമുള്ള ഏതു സ്കാൻ ടൂളിൽ ജാന്തൃകമായും സുരക്ഷിതമായും പകരം നടത്തുന്നു.

HSTS പ്രീലോഡ്

HTTP Strict Transport Security (HSTS) ബ്രൗസറുകളിൽ നിങ്ങളുടെ ഡൊമെയ്ൻ HTTPS സങ്കൽപ്പത്തിൽ ഉപയോഗിച്ചെടുക്കുവാൻ പറയുന്നു — ആദ്യ റെഡൈരക്ട് ചെയ്യുന്നതിന് മുമ്പേ. HSTS ഇല്ലാതെ, നിങ്ങളുടെ സൈറ്റിലേക്കുള്ള ആദ്യ സന്ദർശനം HTTP (അഞ്ചീകരണം) ഉപയോഗിച്ച് നടക്കാൻ പ്രാപ്തമാണ്.

HSTS ഹെഡർ:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

മൂന്നു നിർദ്ദേശങ്ങൾ:

| നിർദ്ദേശം | അർത്ഥം | |-----------|---------| | max-age=31536000 | ഇത് 1 വർഷം (സെക്കൻഡുകളിൽ) ഓർക്കുക | | includeSubDomains | എല്ലാ ഉപ ഡൊമൈനുകളിലും ഈ നയം പ്രയോഗിക്കുക | | preload | ബ്രൗസർ പ്രീലോഡ് പട്ടികകളിൽ ഉൾപ്പെടാൻ അഭ്യർത്ഥിക്കുക |

HSTS Preload പട്ടിക:

അഭാഹത HSTS സുരക്ഷ. ബ്രൗസറുകൾ ഇതിനെ അവശേഷിക്കുകയും HTTPS-ന് മുന്നിൽ കരുതിലുംപ്പെടുന്ന ഒരു പട്ടിക വഹിക്കുന്നു. hstspreload.org-ൽ നിങ്ങളുടെ ഡൊമെയ്ൻ സമർപ്പിക്കുകയും ചെയ്യുമ്പോൾ:

  • ആദ്യത്തെ സന്ദർശകർ ഉടനെ HTTPS ലഭിക്കുന്നു (HTTP → HTTPS ഉപദേശം ഇല്ല)
  • ദുഷ്‌പ്രവര്‍ത്തകര്‍ക്ക് ബന്ധനങ്ങൾക്ക് കുറവു വയ്ക്കുക
  • ശാശ്വതമായ (ഒരു പര്യവേഷണം അവസാനിപ്പിക്കാനാണ്)

HSTS പ്രീലോഡ് ആവശ്യങ്ങൾ:

  1. സാധുവായ HTTPS സർട്ടിഫിക്കറ്റ്
  2. HTTP-നെ HTTPS-ക്കു മുഴുവനായും തിരിക്കുക (ഉപ ഡൊമൈനുകൾ ഉൾപ്പെടുന്നു)
  3. HSTS ഹെഡർ max-age >= 31536000
  4. HSTS ഹെഡർ includeSubDomains ഉൾപ്പെടുത്തണം
  5. HSTS ഹെഡർ preload ഉൾപ്പെടുത്തണം
  6. എല്ലാ ഉപ ഡൊമൈനുകളും HTTPS പിന്തുണ നൽകണം

മുൻ‌കരുതൽ: HSTS പ്രീലോഡിന് സമർപ്പിക്കുന്നത് തടയേണ്ടതാണ്, എല്ലാ ഉപ ഡൊമൈനുകൾ HTTPS-ന് പിന്തുണ ഇല്ലെങ്കിൽ. includeSubDomains നിർദ്ദേശം ഏത് HTTP മാത്രം ഉപ ഡൊമെയ്ൻ നഷ്ടപ്പെടും.

ശ്രീവിലാസം: നിങ്ങളുടെ എല്ലാ ഉപ ഡൊമൈനുകളിൽ HTTPS നിലവിലുള്ള മിസ്നാക്കുക, മുഴുവനായ HSTS ഹെഡർ ചേർക്കുക, hstspreload.org-ന് സമർപ്പിക്കുക. പ്രോസസിംഗ് കുറച്ച് ആഴ്ചകൾ എടുക്കുന്നു, എന്നാല്‍ സംരക്ഷണം ആവശ്യമാണ്.

Vulnerability scanning

സാധാരണമായ വിലക്കടി പറേയും അയക്കുക നിങ്ങളുടെ സ്‌റ്റാക്കിൽ അറിയപ്പെടുന്ന സുരക്ഷാ പ്രശ്നങ്ങളെ കൃത്രിമമായി കണ്ടെത്താനുള്ള ശ്രേഷ്ഠമായത്.

Vulnerability scanning എങ്ങനെ പരിശോധിക്കാം:

  • പഴയ സോഫ്റ്റ്‌വെയർ: WordPress, പ്ലഗ്-ഇൻ, JavaScript ലൈബ്രറികൾ എന്നിവ ലംഘിക്കാനുള്ള CVEs
  • ഉട്ട്‌ക്കാവുന്ന ഫയലുകൾ: .env, .git, wp-config.php, ഡാറ്റാബേസ് ഡംപുകൾ
  • വിവരം ഉട്ടിണയ്ക്കൽ: സർവർ പതിപ്പ് ഹെഡറുകൾ, ഡേബഗ് മോഡ്, സ്റ്റാക്ക് ട്രേസുകൾ
  • ഡിഫാൾട്ട് ക്രെഡൻഷ്യലുകൾ: അനുമതിയില്ലാത്ത അഡ്മിൻ പേജുകൾ, ഡിഫാൾട്ട് പാസ്‌വേഡുകൾ
  • ഒപ്പുന്ന/സമാഗ്രികൾ: അനാവശ്യ സേവനങ്ങൾ ഇന്റർനെറ്റിന് വെണ്ട്
  • ഇൻജക്ഷൻ മാർഗങ്ങൾ: CSRF സംരക്ഷണം ഇല്ലാത്ത ഫോറങ്ങൾ, അസാധുവായ ഇൻപുട്ടുകൾ

താങ്ങാനാകുന്ന പ്ലാറ്റ്ഫോമുകളുടെ സാധാരണ സുരക്ഷാ പ്രശ്നങ്ങൾ:

| പ്ലാറ്റ്ഫോം | മുൻനിര പ്രശ്നം | പരിഹാരം | |----------|-------------------|-----| | WordPress | പഴയ പ്ലഗ്-ഇൻ | സ്വയം നവീകരിക്കുക + WAF | | Shopify | സർക്കാർ ഇതര ആപ്പ് പർവകളെ | ക്വാർട്ടർ ആപ്പ് പട്ടിക നിരീക്ഷിക്കുക | | Next.js | വെബ് API റൂട്ടുകൾ | ഓത്തിനോട് ചേര്‍ന്നു + നിരക്ക് നിയന്ത്രണം | | സ്റ്റാറ്റിക് സൈറ്റുകൾ | CDN ശ്രേവ് | കാഷ്വുള്ള നിയമങ്ങൾ പുനരന്വേഷണം ചെയ്യുക | | കസ്റ്റം | SQL ഇൻജക്ഷൻ | പാരാമറ്റർ ജനറേഷൻ |

സ്കാനിങ്ങിന്റെ മാറ്റം:

  • ദിവസേതര: ഓട്ടോമേറ്റഡ് താരതമ്യ സ്കാൻ (SSL, ഹെഡറുകൾ, പുറത്ത് ചെന്ന് പോയ ഫയലുകൾ)
  • ആഴ്ചക്ക്: ആശ്രിതർക്ക് പിഴവുകൾ (npm audit, WordPress plugin scanner)
  • മാസം: അഥെന്റിക്കേഷനോടൊപ്പം ആഴം സ്കാൻ.
  • എല്ലാ പ്ലഗിനുകൾക്കു ശേഷം: റിഗ്രഷൻ പരിശോധിക്കുക

ശ്രീവിലാസം: npm audit (Node.js) കൈയിലേക്കായി എടുക്കുക അല്ലെങ്കിൽ നിങ്ങളുടെ CMS പ്ലഗ് ഇൻ പട്ടികയെ പരിശോധിക്കുക. അടിയന്തരമോ ഉയർന്ന നിമിഷവ്യൂഹങ്ങൾ ഉടൻ തന്നെ പരിഹരിക്കുക.

Mixed Content

Mixed content HTTPS പേജ് HTTP ആണ്, എന്നാൽ സമാഹിതമാക്കി പ്രവർത്തിക്കാൻ നീക്കങ്ങൾ (ചിത്രങ്ങൾ, സ്ക്രിപ്റ്റുകൾ, സ്റ്റൈൽഷിറ്റുകൾ, ഇഫ്രെയിംസ്) പുനർദർശിക്കുമ്പോൾ സംഭവിച്ചാൽ. ഇത് കൂട്ടം എൻക്രിപ്ഷൻ തകർക്കാൻ വഴിയാവുന്നു, ബ്രൗസർ മുന്നറിയിപ്പുകൾ കൂട്ടുന്നു.

Mixed content ന്റെ തരം:

| തരം | ഗുരുത്വം | ഉദാഹരണം | ബ്രൗസർ പെരുമാറ്റം | |------|----------|---------|------------------| | ആക്ടീവ് | ഉയർന്ന | HTTP സ്ക്രിപ്റ്റ്, ഇഫ്രെയിമിൽ, CSS | നിശ്ചിതമായി തടഞ്ഞതാണ് | | പാസീവ് | ഇടിയുള്ള | HTTP ചിത്രങ്ങൾ, പ്രവർത്തനം, ശബ്ദം | മുന്നറിയിപ്പുമായി ലോഡ് ചെയ്യുന്നു |

ആക്ടീവ് മിശ്രിത ഉള്ളടക്കം ബ്രൗസർ ഉപയോഗമുള്ള ബ്രاؤസർ കാണിച്ചുപുറത്തേക്ക് നിരാശപ്പെടുന്നു — നിങ്ങളുടെ സ്ക്രിപ്റ്റുകൾ കയറ്റം സ്ഥാപത്തിലാകും ചെയ്തേക്കാറുണ്ട്. പാസീവ് മിശ്രിത ഉള്ളടക്കം ലോഡും ചെയ്തു പക്ഷേ സുരക്ഷ സമാനമായി മുന്നറിയിപ്പുകൾ തന്നെയാണ്.

Mixed content കണ്ടെത്തുക:

  1. Chrome DevTools തുറക്കുക → കോൺസോൾ
  2. "Mixed Content" മുന്നറിയിപ്പുകൾ കാണുക
  3. ഓപ്ഷണലായി, ഒരു ക്രോളർ മുഖാന്തിരം സ്‌കാൻ ചെയ്യുക (Screaming Frog, LANGR)

കാലഹരണപ്പെട്ട mixed content ലക്ഷം:

  • ബ്ലോഗ് പോസ്റ്റുകളിൽ, ഉൽപ്പന്ന വിവരണങ്ങളിൽ കോഡ് ചെയ്ത http:// URLs
  • HTTP വിഭവങ്ങൾ ലോഡ് ചെയ്യുന്ന ഇന്റർനലും
  • എമ്പedded ഉള്ളടക്കം (YouTube പഴയ എമ്പെഡുകൾ, സാമൂഹ്യ മാധ്യമ വിഡ്ജറ്റുകൾ)
  • CSS background-image HTTP URLs ഉപയോഗിക്കുന്നത്
  • HTTP വഴി ലോഡ് ചെയ്ത ഫോണ്ടുകൾ

Mixed content പരിഹരിക്കുക:

<!-- മോശം -->
<img src="http://example.com/image.jpg" />

<!-- നന്നായത് -->
<img src="https://example.com/image.jpg" />

<!-- മികച്ചത് (പ്രോട്ടോകോൾ-സഹായിത, പേജിന്റെ പ്രോട്ടോകോൾ അനുസരിച്ച് യോജിക) -->
<img src="//example.com/image.jpg" />

ഡാറ്റാബേസ് പരിഹാരം (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

ശ്രീവിലാസം: Chrome ൽ നിങ്ങളുടെ ഹോം പേജ് തുറക്കുക, F12 അമർത്തുക, Mixed content മുന്നറിയിപ്പുകൾക്കായി കോൺസോൾ ടാബ് പരിശോധിക്കുക. സാദ്ധ്യതയുള്ള ഏതെങ്കിലും ഭൂരുക്കങ്ങൾ പരിഹരിക്കുക — ഇതെല്ലാം Google ന대로 മാത്രം കാണപ്പെടും.

Third-Party Script Risks

നೀವು ലോഡ് ചെയ്യുന്ന ഓരോ ബാഹ്യ സ്ക്രിപ്റ്റ് നിങ്ങൾക്കായി ഒരു സുരക്ഷാ (മറ്റുള്ള പ്രവർത്തനങ്ങൾ) ദോഷം ആണ്. Third-party സ്ക്രിപ്റ്റുകൾക്ക്:

  • നഷ്ട്യത (സപ്പോർട്ട് ചെയ്തവകൾ എങ്ങനെയായാലും)
  • ഉപയോക്താക്കളെ താങ്കളുടെ സംശയത്തിനൊപ്പം ട്രാക്ക് ചെയ്യാതിരിക്കുക (GDPR ലംഘനം)
  • നിങ്ങളുടെ സൈറ്റിന് ക്ഷീണം നൽകുക (ശ്രേണികൃഷം, നെറ്റ്‌വർക്കിൽ വൈകല്യം)
  • പ്രവർത്തനങ്ങൾ തകർക്കുക (വർഷസമയ അപ്ഡേറ്റ്, പൊലിഞ്ഞ നിലകൾ)
  • ആവശ്യക്കാരഭുതരുടെ അവതരണം (പൊതുവിർണ്ണിന്റെ കേടുകൾ)

നിങ്ങളുടെ തി에게 വ്യക്തമാക്കൽ:

| സ്ക്രിപ്റ്റ് | ആവശ്യമാണ്? | അപകടത്തിന്റെ തലവ് | ഓപ്ഷണൽ | |--------|-----------|------------|-------------| | Google Analytics | പലപ്പോഴും ഹാ | കുറഞ്ഞത് | സെർവർ-സൈഡ് ട്രാക്കിങ്ങ് | | ചാറ്റ് വിഡ്ജറ്റുകൾ | ചിലപ്പോൾ | ഇടക്കെുക | സ്വയം വേദിയിൽ നിന്നുള്ള പരിഹാരങ്ങൾ | | സാമൂഹ്യ പങ്കു кнопкаങ്ങൾ | നാവികമില്ല | ഇടക്കെുക | സ്റ്റാറ്റിക് പങ്കു ലിങ്കുകൾ | | A/B പരീക്ഷണം | ചിലപ്പോൾ | ഉയർന്നത് | സെർവർ-സൈഡിൽ പരീക്ഷണം | | റെടാര്‍ട്ടിംഗ് പിൻഭാഗങ്ങൾ | ബിസിനസ്സ് തീരുമാനമായത് | ഉയർന്നത | ഒന്നാമത്തെ ഡാറ്റ | | ഫോണ്ട് CDNs | സൗകര്യമ ഉള്ള | കുറവ് | സ്വന്തം സൈറ്റുകൾ |

അവശ്യമായ third-party സ്ക്രിപ്റ്റുകൾക്കും സുരക്ഷാ സ്വഭാവങ്ങൾ:

  1. Subresource Integrity (SRI): ചെയ്തവയുടെ പരിശ്രമത്തിൽ ഒരു ഹാഷ് പരാമർശിക്കാൻ അവസാനിക്കുന്നു
<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>
  1. CSP നിയന്ത്രണങ്ങൾ: വെറുമൊരു ജാതിയിൽ നിന്നുള്ള സ്ക്രിപ്റ്റുകൾ മാത്രം അനുവദിക്കുക
  2. സാൻബോക്സ് ചെയ്ത ഇഫ്രെയിംസ്: മൂന്നാംവശങ്ങളുടെ വിഡ്ജറ്റുകൾക്കായി കണ്ടെത്തുക
  3. ക്രമീകരണങ്ങൾ: എല്ലാ പുറത്തിലുള്ള വിഭവങ്ങളുടെ ക്വാർട്ടർ ആവശ്യങ്ങൾ ക്ഷണിക്കുക
  4. നിരീക്ഷണം: നിങ്ങളുടെ പേജുകളിൽ പുതിയ ബാഹ്യ ഡൊമൈനുകൾ ഉണ്ടാക്കുമ്പോൾ അറിയിക്കുക

ശ്രീവിലാസം: നിങ്ങളുടെ HTML ൽ external domain-ൽ നിന്നും ബാലങ്ങളായ