Skip to main content
Back to blog

Ghid SEO Pass 7: Sigurtà — Il-Linja Bażika li Google Tistenna fl-2026

·12 min read·by LANGR SEO

Ghid SEO Pass 7: Sigurtà

Dan huwa Pass 7 tal-Ghid SEO ta' 13 Pass. Is-sigurtà mhux biss tirrigwarda l-protezzjoni tal-utenti — għandha impatt dirett fuq ir-rankings tiegħek. Google tuża HTTPS bħala sinjal ta' rank mill-2014, u l-aspettattivi żdiedu biss.

L-aktar sidien ta' siti jikkunsidraw is-sigurtà bħala binarju: "Għandna SSL, allura aħna siguri." Fil-fatt, Google evalwa bosta sinjali ta' sigurtà. Is-siti bi headers ta' sigurtà tajbin, ċertifikati validi, u mingħajr kontenut miksu jissuperjaw siti bi ċertifikat SSL bażiku biss — kollox ieħor jkun l-istess.

Il-aħbar tajba: il-biżżejjed ta' sigurtà l-aktar huma konfigurazzjonijiet li jsiru darba waħda. Istaċċa dawn darba, u jipproteġu r-rankings tiegħek b'mod permanenti.

Ippreparazzjoni SSL

SSL (teknikament TLS) tapparta l-kollokazzjoni bejn is-server tiegħek u l-viżitaturi. Mill-2014 'il quddiem, Google ikkonfermat b'mod esplicitu HTTPS bħala sinjal ta' rank. Fl-2026, li m'għandekx HTTPS m'huwiex biss problema ta' rank — Chrome jindika siti HTTP bħala "M'ħux Sigur" fil-bar tal-indirizz, li jniġġes il-fiduċja tal-utenti.

Rekwiżiti għal SSL tajjeb:

| Rekwiżit | Għaliex | Kif Iċċekkja | |----------|--------|---------------| | Ċertifikat validu | Ikkaljat = avviż tal-browser = utenti mxew | Iċċekkja d-data tal-iskadenza | | Ċavetta sħiħa | Ċkejjen incompleti jfallu fuq ċerti apparati | Test SSL Labs | | TLS 1.2+ | Verżjonijiet älter għandhom vulnerabbiltajiet magħrufa | Test SSL Labs | | M’għandux SHA-1 | Misjuda, il-brawżers jirrifjutawha | Dettalji tal-ċertifikat | | Kopertura SAN | www u non-www iridu jkunu koperti | Dettalji tal-ċertifikat | | Auto-renewal | Ipprevjeni katastrofi ta' skadenza | Configurazzjoni ta' Let's Encrypt / fornitore |

Punteġġ għal SSL:

100% = Ċertifikat validu + Ċavetta sħiħa + TLS 1.3 + Ċifri b'saħħithom + Auto-renew
  0% = Ċertifikat skadut jew nieqes

Mistakes komuni ta' SSL:

  1. Iċ-ċertifikat jispiċċa mingħajr avviż — Iċċekkja l-monitoraġġ (Pass 6) f’minimum ta’ 30 jum qabel l-iskadenza
  2. Ċavetta not complete — Is-server għandu jibgħat ċertifikati intermedi, mhux biss il-leaf
  3. Kontenut miksu — Paġna HTTPS titla' riżorsi HTTP (immaġni, skripti, stil)
  4. Redirezzjonijiet looping — HTTP → HTTPS → HTTP ċikli kkawżati minn CDN/proxy misconfigured
  5. Mismatches bejn non-www u www — Iċ-ċertifikat jkopri wieħed iżda mhux l-ieħor

Quick win: Iċċirkola d-domenju tiegħek permezz ta' SSL Labs (ssllabs.com/ssltest). Xi ħaġa taħt klassifikazzjoni "A" għandha problemi li jistgħu jiġu azzjonati. Ħafna fornituri ta' hosting jikkorrettu dawn b'klikka waħda.

Headers ta' Sigurtà

Headers ta' sigurtà huma headers ta' rispons HTTP li jgħidu lill-browsers kif għandhom jaġixxu waqt li jniżżlu s-sit tiegħek. Dawn jipprevjenu kategoriji sħiħa ta' attakki — u l-crawlers ta' Google iċċekkjawhom.

L-headers ta' sigurtà essenzjali:

Politika ta' Sigurtà tal-Kontenut (CSP)

CSP hija l-aktar header ta' sigurtà b'saħħitha. Tgħid lill-browsers eżattament liema riżorsi (skripti, stil, immaġni, fonti) jintgħażlu li jiġu elementi fil-paġni tiegħek.

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

X'jipprevjeni CSP:

  • Attakki ta' Cross-site scripting (XSS)
  • Attakki ta' injettar ta' data
  • Clickjacking (permezz ta' frame-ancestors)
  • Eżekuzzjoni ta' skripti mingħajr awtorizzazzjoni (cryptominers, ad injectors)

Strateġija ta' implimentazzjoni ta' CSP:

  1. Ibda bil-Content-Security-Policy-Report-Only (jagħmel rapporti għal ksur mingħajr blokk)
  2. Monitora r-rapporti għal 1-2 ġimgħat
  3. Whitelist sorsi leġittimi
  4. Ibda l-modalità ta' forzi
  5. Żid report-uri jew report-to għal logging ta' ksur li għaddej

X-Frame-Options

Jipprevjeni li s-sit tiegħek jiġi embeddat fi iframes fuq domini oħra (protezzjoni clickjacking).

X-Frame-Options: DENY

Jew jekk trid taċċetta framing ta’-istess origini:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

Jipprevjeni lill-browser milli jsir MIME-type sniffing (jinterpreta fajls bħala tipi differenti minn dawk iddikjarati).

X-Content-Type-Options: nosniff

Din il-linja waħda tipprevjeni attakki fejn fajl .jpg jikkontieni JavaScript moħbi li l-browser jista’ jżid.

Referrer-Policy

Kontrolla kemm informazzjoni ta' referer tiġi mibgħuta meta utenti ċċaqilqu links mill-sit tiegħek.

Referrer-Policy: strict-origin-when-cross-origin

Dan jibgħat l-URL sħiħ għal talbiet ta' samma-ħwineżi iżda biss l-origini (domini) għal talbiet transori. Jiblaa l-bżonnijiet ta' analitika ma' privacy.

Permissions-Policy

Kontrolla liema karatteristiċi tal-browser (kamera, mikrofonu, geolocation, eċċ.) jistgħu jintużaw fuq is-sit tiegħek.

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

Li tiddiżattiva karatteristiċi li m'għandekx tuża tipprevjeni skripti ta' terzi minn abus.

Eżempju ta' implimentazzjoni tal-header (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

Implimentazzjoni tal-header (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Implimentazzjoni tal-header (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Quick win: Żid l-5 headers fuq is-server tiegħek. Dan jieħu 5 minuti u jtejjeb b'mod immedjat il-pożizzjoni tas-sigurtà tiegħek f'kull għodda ta' skanjar.

HSTS Preload

HTTP Strict Transport Security (HSTS) jgħid lill-brawżers li dejjem j utilizzaw HTTPS għall-domenju tiegħek — anke qabel it-talba l-ewwel. Mingħajr HSTS, l-ewwel viżita fuq is-sit tiegħek tista' tagħmel użu minn HTTP (vulnerabbli għall-interċettar) qabel ma jsir id-direzzjoni lejn HTTPS.

Header HSTS:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

It-tliet direttivi:

| Direttiva | Għaliex | |-----------|--------| | max-age=31536000 | Tiftakar dan għal 1 sena (f'sekondi) | | includeSubDomains | Tapplika għal kull subdomen ukoll | | preload | Talba għal inkludiment fil-listi ta' preload tal-browser |

Lista ta' HSTS preload:

Il-protezzjoni HSTS aħħarija. Il-brawżers jieħdu mal-lista ibbultinjata ta' domini li għandhom dejjem jutilizzaw HTTPS. Jissottometti d-domenju tiegħek f'hstspreload.org ifisser:

  • Viżitaturi għall-ewwel darba jiksbu HTTPS immedjatament (l-ebda HTTP → HTTPS redirezzjoni)
  • Impossibbli għal attakkanti li jbaxxu l-konnessjonijiet
  • Permanenti (difficult to remove once submitted)

Rekwiżiti għall-HSTS preload:

  1. Ċertifikat HTTPS validu
  2. Ir-redirect tal-ħin kollu HTTP għal HTTPS (inklużi subdomeni)
  3. Header HSTS b max-age >= 31536000
  4. Header HSTS tinkludi includeSubDomains
  5. Header HSTS tinkludi preload
  6. Kull subdomen għandu jkun jappoġġa HTTPS

Twissija: Iġġiegħel biss għal preload jekk IL-KOLL i subdomeni tiegħek jappoġġaw HTTPS. Id-direttiva includeSubDomains tfisser li kull subdomen HTTP biss se jsir inakkessibbli.

Quick win: Jekk diġà għandek HTTPS fuq kull subdomen, iż-żid l-header HSTS sħiħ u sottometti f'hstspreload.org. Il-proċessar jieħu ġimgħat iżda l-protezzjoni hija permanenti.

Skanjar ta' Vulnerabbiltà

Iċ-ċiklu ta' skanjar ta' vulnerabbiltà awtomatiku jidentifika problemi ta' sigurtà magħrufa fil-ġema tiegħek qabel ma l-attakkanti jikkontrollawhom.

X'jċċekkjah skanjar ta' vulnerabbiltà:

  • Softwer outdate: WordPress, plugins, libreriji JavaScript b'CVEs magħrufa
  • Faċilitajiet esposti: .env, .git, wp-config.php, dumps tal-database
  • Tkeċċija ta' informazzjoni: Headers tal-verżjoni tas-server, modalità ta' debug, stack traces
  • Kredenzjali default: Paġni tal-amministrazzjoni mingħajr awtorizzazzjoni, passwords default
  • Ports/services miftuħa: Servizzi mhux meħtieġa esposti għall-internet
  • Punti ta' injettar: Formoli mingħajr protezzjoni CSRF, input mhux validati

Vulnerabbiltajiet komuni skont il-pjattaforma:

| Pjattaforma | L-Aqwa Vulnerabbiltà | Fix | |-------------|-----------------------|-----| | WordPress | Plugins outdate | Auto-update + WAF | | Shopify | Permessi ta' applikasi ta' terzi | Audita lista ta' applikazzjonijiet trimestrali | | Next.js | Riżorsi API esposti | Awtorizzazzjoni ta' middleware + limiti ta' rata | | Siti statiċi | Misconfigurazzjoni ta' CDN | Ibbewsa r-regoli ta' cache | | Custom | SQL injection | Stqarrijiet parametrizzati |

Frekwenza ta' skanjar:

  • Kuljum: Skan ta' percezzjonijiet awtomatiċi (SSL, headers, faċilitajiet esposti)
  • Kuljum: Kontroll ta' vulnerabbiltà ta' dipendenza (npm audit, skanner tal-plugin WordPress)
  • Kull xahar: Skan sħiħ ta' test awtorizzat
  • Wara kull deploy: Kontroll ta' regressjoni

Quick win: Jibbiegħed npm audit (Node.js) jew iċċekkja lista tal-plugin tal-CMS tiegħek għal komponenti outdate. Iffissa problemi kritiċi / għolja severità immedjatament.

Kontenut Mikxut

Kontenut miksu jiġri meta paġna HTTPS tiġi floadata riżorsi (immaġni, skripti, stili, iframes) permezz ta' HTTP. Dan jiskomplew il-encrypting parzjalment u jikkawża avviż fil-browser.

Tipi ta' kontenut miksu:

| Tip | Severità | Eżempju | Imġieba tal-Browsers | |-----|----------|---------|----------------------| | Attiv | Għoli | Skript HTTP, iframe, CSS | Blokkati b'mod predefinit | | Passiv | Medju | Immaġni HTTP, video, awdjo | Miġġielda b'kwalità |

Kontenut miksu attiv huwa blokkati minn browsers modernes — ifisser li l-skripti u l-istil tiegħek sempliċement ma jiċċarġjawx. Kontenut miksu passiv jiġi floadat iżda juri avviż ta' sigurtà.

Is-sors ta' kontenut miksu:

  1. Iftħ Chrome DevTools → Console
  2. Fittex "Avviżi ta' Kontenut Miksu"
  3. B'mod alternattiv, skanja b'crawler (Screaming Frog, LANGR)

Sorsi komuni ta' kontenut miksu:

  • URLs hardcoded http:// fil-kontenut (postijiet tal-blog, deskrizzjoni tal-prodott)
  • Widgets ta' terzi li jloadu riżorsi HTTP
  • Kontenut embeddat (embed ta' YouTube antik, widgets soċjali)
  • CSS background-image bi URLs ta' HTTP
  • Fonts li jiġu floadati permezz ta' HTTP

Fix għall-kontenut miksu:

<!-- Bad -->
<img src="http://example.com/image.jpg" />

<!-- Good -->
<img src="https://example.com/image.jpg" />

<!-- Best (protokoll-relattiv, jaddatta għall-protokoll tal-paġna) -->
<img src="//example.com/image.jpg" />

Fix tal-database (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

Quick win: Iftaħ il-pagina ta' dar tiegħek fil-Chrome, agħfas F12, iċċekkja t-tab Console għal avviżi ta' kontenut miksu. Iffissa kull wieħed li juri — dawn huma viżibbli direttament għal Google.

Riskji ta' Skripts ta' Terzi

Kull skript estern li tgħaqqad huwa potenzjal ta' sigurtà (u ta' prestazzjoni) li jista' jiġi affettwat. Skripts ta' terzi jistgħu:

  • Jinstabu mikxuta (attakki ta' forniment)
  • Itrakkjaw l-utenti tiegħek mingħajr konsens (violation ta' GDPR)
  • Jiskorja lill-websajt tiegħek (render-blocking, latency tan-netwerk)
  • Jiksbu l-funzjonalità (aġġornamenti tal-verżjoni, inattendibiltajiet)
  • Jinjettaw kontenut mhux mixtieq (skripts ta' reklami li kienu żbaljati)

Audita s-skripts ta' terzi tiegħek:

| Skript | Neċessarja? | Livell ta' Riskju | Alternattiva | |--------|-------------|-------------------|--------------| | Google Analytics | Spiss iva | Basso | Tracking ta' server-side | | Widgets tal-chat | Forse | Medju | Soluzzjonijiet self-hosted | | Buttons ta' qsim soċjali | Rari | Medju | Links ta' qsim statiċi | | A/B testing | Kultant | Għoli | Test ta' server-side | | Pixels ta' retargeting | Deċiżjoni tan-negozju | Għoli | Data ta' parti l-ewwel | | Fonti CDNs | Komda | Basso | Fonts self-hosted |

Mitigazzjoni tar-riskji għal skripts ta' terzi essenzjali:

  1. Subresource Integrity (SRI): Verifika ta' hash tipprevjeni li skripts li ġew mikxuta jitilgħu
<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>
  1. Restrizzjonijiet CSP: Permetti biss skripts minn domini magħrufa
  2. Iframes sandboxed: Isolaw widgets ta' terzi
  3. Audits regolari: Reviżjoni trimestrali ta' dawn ir-riżorsi esterni
  4. Monitoraġġ: Avviż fuq domini ġodda li jistgħu jidhru fil-paġni tiegħek

Quick win: Listi kull