Skip to main content
Back to blog

SEO ଗାଇଡ୍ ପର୍ୟୟ 7: ସୁରକ୍ଷା — 2026ରେ ଗୋଗଲ୍ ଯାହା ଆଶା କରୁଛି

·11 min read·by LANGR SEO

SEO ଗାଇଡ୍ ପର୍ୟୟ 7: ସୁରକ୍ଷା

ଏହା 13-Step SEO Guideର ପର୍ୟୟ 7। ସୁରକ୍ଷା କେବଳ ବ୍ୟବହାରକାରୀଙ୍କୁ ସୁରକ୍ଷିତ କରିବାପରୀ ହେବା ନୁହେଁ — ଏହା ତୁମର ସେର୍ଚ୍ ସ୍ଥାନକୁ ସିଧାସଳକ ଭାବରେ ପ୍ରଭାବିତ କରେ। 2014 ରୁ, ଗୋଗଲ୍ HTTPS କୁ ଏକ ରେଙ୍କିଂ ସଂकेतରୁ ଭାବରେ ବ୍ୟବହାର କରୁଛି, ଓ ଆଶା ମାତ୍ର ଧିରେ ଧିରେ ବଢ଼ିଛି।

ଅଧିକାଂଶ ସାଇଟ୍ ମାଳିକମାନେ ସୁରକ୍ଷାକୁ ଏକ ବାଇନେରୀ ଭାବେ ଭାବନ୍ତି: "ଆମେ SSL ରଖିଛୁ, ତେଣୁ ଆମେ ସୁରକ୍ଷିତ"। ବାସ୍ତବରେ, ଗୋଗଲ୍ ବହୁ ସୁରକ୍ଷା ସଙ୍କେତଗୁଡିକୁ ମୂଲ୍ୟାଙ୍କିତ କରେ। ଯେଉଁଠାରେ ଠିକ ସୁରକ୍ଷା ହେଡର, ବୈଧ ସର୍ଟିଫିକେଟ୍, ଓ ମିଶ୍ର ବିଷୟ ନଥିବା ଝୁଲୁ ଓଦ୍ଧାତିତ ସାଇଟ୍ ସେଇ ଏକ মৌଲିକ ଏସ୍‌ଏସ୍‌ଏଲ ହୋଇଥିଲେ—ସମସ୍ତ ବିଛୁଟିଗୁଡିକୁ ସମାନ ଭାବରେ ମଦଦ୍‌ କରୁଛି।

*ସୁଖଦ ବାତ୍ୟା: ଅଧିକାଂଶ ସୁରକ୍ଷା ସୁବିଧାଗୁଡିକ ଏକ ଧରଣର ବ୍ୟବସ୍ଥାପନ। ଏହାକୁ ଗୋଟେ ସମୟରେ ସେଟ୍ କରନ୍ତୁ, ଓ ଏହା କେବଳ ତୁମର ରେଙ୍କିଂକୁ ସଦା ପ୍ରତିରକ୍ଷିତ କରିବ।

SSL କନଫ୍ଗୁରେସନ

SSL (ପ୍ରାକୃତିକ ଭାବରେ TLS) ତୁମର ସର୍ଭର ଓ ଦର୍ଶକଙ୍କ ମଧ୍ୟରେ ସଂଯୋଗ କୁ ଏନକ୍ରିପ୍ଟ କରେ। 2014ରୁ, ଗୋଗଲ୍ HTTPS କୁ ଏକ ବିଶେଷ ରେଙ୍କିଂ ସଂकेतରୁ ଭାବରେ ସ୍ୱୀକୃତ କରିଛି। 2026ରେ, HTTPS ନଥିବା କେବଳ ଏକ ରେଙ୍କିଂ ସମସ୍ୟା ନୁହେଁ — କ୍ରୋମ୍ HTTP ସାଇଟ୍‌କୁ "ନଟ୍ ସେକ୍ୟୁର୍" ବୋଲି ଚିହ୍ନିତ କରେ, ବ୍ୟବହାରକାରୀଙ୍କ ପ୍ରତି ଭରସା ନଷ୍ଟ କରେ।

ଠିକ SSL ପାଇଁ ଆବଶ୍ୟକତା:

| ଆବଶ୍ୟକତା | କାହିଁକି | ଯାଞ୍ଚ କିପରି କରିବେ | |-------------|-----|--------------| | ବୈଧ ସର୍ଟିଫିକେଟ୍ | ବିୟୋଗ ହେଲେ = ବ୍ରାଉଜର་སଙ୍ଗୀ ଚେତାବନୀ = ବାଉନ୍ସ ହେବା ଦର୍ଶକ | ବିୟୋଗ ତାରିଖ ଯାଞ୍ଚ କରନ୍ତୁ | | ପୂର୍ଣ୍ଣ ଚେନ୍ | ଅଦୂର୍ଦ୍ଧ ଚେନ୍ କିଛି ଯନ୍ତ୍ରରେ ବିଫଳ | SSL Labs ପରୀକ୍ଷା | | TLS 1.2+ | ପୁରାତନ ସଂସ୍କରଣଗୁଡିକୁ ଜଣା ବିକାର ଅଛି | SSL Labs ପରୀକ୍ଷା | | କେବଳ SHA-1 | ବ୍ୟାପିତ, ବ୍ରାଉଜର ଏହାକୁ ଅସ୍ୱୀକାର କରେ | ସର୍ଟିଫିକେଟ୍ ବିବରଣୀ | | SAN କଭରେଜ୍ | www ଓ non-www ଦୁହେଁ ଆବଶ୍ୟକତାକୁ ମସ୍ତି କରିବେ | ସର୍ଟିଫିକେଟ୍ ବିବରଣୀ | | ଆଟୋ-ନବୀକରଣ | ବିୟୋଗ ଦୁର୍ଗଟନାକୁ ବାରଣ କରିଥାଏ | Let's Encrypt / ପ୍ରଦାତା କନଫିଗ |

SSL ସ୍କୋରିଂ:

100% = ବୈଧ ସର୍ଟିଫିକେଟ୍ + ପୂର୍ଣ୍ଣ ଚେନ୍ + TLS 1.3 + ଶକ୍ତିଶାଳୀ ସାଇଫର + ଆଟୋ-ନବୀକରଣ
  0% = ବିୟୋଗ ହେବାକୁ ବା କମ୍ ନଥିବା ସର୍ଟିଫିକେଟ୍

ସାଧାରଣ SSL ଭୁଲ:

  1. ସର୍ଟିଫିକେଟ୍ ବିୟୋଗ ହେଉଛି ବିନା ସୂଚନା — ବ୍ୟବସ୍ଥାପନ କରନ୍ତୁ (Step 6) କମ୍ ରାଳ ତାରିଖ ପୂର୍ବରୁ 30 ପ୍ରବେଶ କରନ୍ତୁ
  2. ଅଅନ୍ତ କରି ପାରିବା ସର୍ଟିଫିକେଟ୍ ଚେନ୍ — ସର୍ଭର ମଧ୍ୟମ ସର୍ଟିଫିକେଟ୍ ପଠାଇବାକୁ ହେବ, କେବଳ ପଦୁ |
  3. ମିଶ୍ର ବିଷୟ — HTTPS ପେଜ୍ HTTP ସମ୍ପଦଗୁଡିକୁ ଲୋଡ୍ କରେ (ଚିତ୍ର, ସ୍କ୍ରିପ୍ଟ, ଷ୍ଟାଇଲସିଟ୍)
  4. ରିଡିରେକ୍ଟ ଲୁପ୍‌ଗୁଡିକ — HTTP → HTTPS → HTTPଚାଳନା ମିଶ୍ରଗତି ତ୍ୟାଗ କରିଥିବା CDN/proxy
  5. ନନ-www ବନାମ www ମିଶ୍ରଣ — ସର୍ଟିଫିକେଟ୍ଗୁଡିକୁ ଗୋଟିଏ ବା ଅନ୍ୟସମୟରେ ଧରନ୍ତୁ

ତ୍ରୁଟିକୁ ସମାଧାନ: SSL Labs (ssllabs.com/ssltest) ଦ୍ୱାରା ତୁମର ଡୋମେନ୍ କୁ ଚାଲାନ୍ତୁ। "A" ଜନ୍ତୁ ସମସ୍ତ ବିଚାରଗୁଡିକୁ କାର୍ଯ୍ୟ ମାନ୍ୟ ବିନୋଦନୀୟ କରନ୍ତୁ। ଅଧିକାଂଶ ହୋଷ୍ଟିଂ ପ୍ରଦାତା ଏହାକୁ ସହଜରେ ଏକ କ୍ଲିକ୍ ଦ୍ୱାରା ସମାଧାନ କରନ୍ତି।

ସୁରକ୍ଷା ହେଡର

ସୁରକ୍ଷା ହେଡରଗୁଡିକ HTTP ପ୍ରତିସ୍ପନ୍ଦ ହେଡର ଯେଉଁଥିରେ ବ୍ରାଉଜରଗୁଡିକୁ ତୁମର ସାଇଟ୍ ଲୋଡ୍ କରିବା ସମୟରେ କେମିତି ବ୍ୟବହାର କରିବା ନିର୍ଦ୍ଦେଶ ଦିଏ। ସେଗୁଡିକେ ସମ୍ପୂର୍ଣ୍ଣ କ୍ଷେତ୍ର ଆକ୍ରମଣର ବାଣ୍ତିକାରେ ବ୍ୟବହାର ସ୍ଥାପନ କରେ — ଓ ଗୋଗଲ୍ଙ୍କ କ୍ରାଲରଗୁଡିକ ଏହାଙ୍କୁ ଯାଞ୍ଚ କରନ୍ତି।

ଅବଶ୍ୟକ ସୁରକ୍ଷା ହେଡରଗୁଡିକ:

Content-Security-Policy (CSP)

CSP ସର୍ବାଧିକ ଶକ୍ତିଶାଳୀ ସୁରକ୍ଷା ହେଡର। ଏହା ଦର୍ଶାଇଥାଏ କେବଳ କେଉଁ ସମ୍ପଦ (ସ୍କ୍ରିପ୍ଟ, ଷ୍ଟାଇଲ୍, ଚିତ୍ର, ଫଂଟ୍) ତୁମର ପେଜ୍‌ରେ ଲୋଡ୍ କରିବାକୁ ଇଜାଜତ ଦେଇଛି।

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

CSP କେଉଁ କାର୍ଯ୍ୟରେ ବାନ୍ଧେ:

  • କ୍ରସ୍-ସାଇଟ୍ ସ୍କ୍ରିପ୍ଟିଂ (XSS) ଆକ୍ରମଣ
  • ତଥ୍ୟ ଆବେଗ କ୍ଷେତ୍ରରେ ଆକ୍ରମଣ
  • କ୍ଲିକ୍‌ଜ୍ୟାକିଂ (ବ୍ୟବହାରକୁ frame-ancestors)
  • ଅନୁମତି ନଥିବା ସ୍କ୍ରିପ୍ଟ କାର୍ଯ୍ୟନିଷ୍ପାଦନ (କ୍ରିପ୍ଟୋମାଇନର୍ସ, ଏଡ଼ ଇଞ୍ଜେକ୍ଟର୍ସ)

CSP ନିଷ୍ପାଦନ କৌশଳ:

  1. Content-Security-Policy-Report-Only ସହିତ ଆରମ୍ଭ କରନ୍ତୁ (ବିକଳ୍ପ ଲଂକ୍ କାହାକୁ ଅବରୋଧ ନକରି)
  2. 1-2 ସପ୍ତାହ ପ୍ରତିବେଦନ ସମୀକ୍ଷା କରନ୍ତୁ
  3. ବୈଧ ସ୍ରୋତଗୁଡିକର୍କୁ ହସ୍ତାକ୍ଷର କରନ୍ତୁ
  4. ଏହାକୁ ନିଷ୍ପାଦନ ମୋଡରେ ସ୍ଥାନାନ୍ତର କରନ୍ତୁ
  5. ସାମୟିକ ଭଙ୍ଗନୀ ପ୍ରତିବେଦନରେ report-uri ବା report-to ଯୋଗ କରନ୍ତୁ

X-Frame-Options

ତୁମର ସାଇଟ୍‌କୁ ଅନ୍ୟ ଡୋମେନରେ ଇଫ୍ରେମ୍ କରିବାରୁ ରକ୍ଷା କରେ (କ୍ଲିକ୍‌ଜ୍ୟାକିଂ ସୁରକ୍ଷା)।

X-Frame-Options: DENY

ଅଥବା ଯଦି ତୁମେ ସେହି ମାନକର ଫ୍ରେମ୍ କରିବାକୁ ଅନୁମତି ଦେବାକୁ ଆବଶ୍ୟକ:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

ବ୍ରାଉଜରଗୁଡିକୁ MIME-ଧରଣ ସ୍ନିଫିଂରୁ ରୋକେ (ବିଭିନ୍ନ ପ୍ରକାରରେ ଫାଇଲଗୁଡିକୁ ଅନୁବାଦ କରେ)।

X-Content-Type-Options: nosniff

ଏହା ଏକ-ଲାଇନ୍ ଆକ୍ରମଣକୁ ରୋକେ ଯେଉଁଠାରେ .jpg ଫାଇଲ୍ ଇନ୍ଦମାଇନେ ସଂପୃକ୍ତ ଜାବାସ୍କ୍ରିପ୍ଟ ରହିଥାଏ, ଯାହାକୁବ୍ରାଉଜର ସାଧାରଣ ଇନ୍ଦ୍ରୁକାର ସଫଳ କରେ।

Referrer-Policy

ବ୍ୟବହାରକାରୀମାନେ ତୁମର ସାଇଟରୁ ଲିଙ୍କ ନିକସାଥିବାବେଳେ କତକି ରେଫରର ସୂଚନା ପଠାଏ।

Referrer-Policy: strict-origin-when-cross-origin

ଏହା ସମସ୍ତ ଗ୍ରହଣକୁ ସମ୍ପୂର୍ଣ୍ଣ URL ପଠାଇ ଦିଏ, ଅଥବା କେବଳ ଗ୍ରହଣ (ଡୋମେନ୍) ପାଇଁ କ୍ରସ୍-ଓରିଜିନ୍ ନିକସାଥିବା ସ୍ଵନ (ବ୍ୟବହାରକାରୀଙ୍କୁ ବ୍ୟାଲୋଜ କରି) ପହଁଚିଥାଏ।

Permissions-Policy

କେଉଁ браузର ବିଶେଷତା (କ୍ୟାମେରା, ମାଇକ୍ରୋଫୋନ, ଗେଲୋକେସନ, ଆଦି) ତୁମର ସାଇଟ୍‌ରେ ବ୍ୟବହାର କରାଯିବାକୁ ନିୟନ୍ତ୍ରଣ କରେ।

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

ତୁମେ ବ୍ୟବହାର ନ କରୁଥିବା ବିଶେଷତାଗୁଡିକୁ ବନ୍ଦ କରିବା ତୃତୀୟ-ପକ୍ଷ ସ୍କ୍ରିପ୍ଟଙୁ ଦୁରଶ୍ରେଷ୍ଷ ବ୍ୟବହାର କରାଯିବାରୁ ରକ୍ଷା କରେ।

ହେଡର ନିଷ୍ପାଦନ ଉଦାହରଣ (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

ହେଡର ନିଷ୍ପାଦନ (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

ହେଡର ନିଷ୍ପାଦନ (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

ତ୍ରୁଟିକୁ ସମାଧାନ: ତୁମର ଚକ୍ରକୁ ବଦଳାଇଥିବା 5ଟି ହେଡରଗୁଡିକୁ ତୁମ ସର୍ଭରକୁ ବିଶ୍ୱାସର୍ଥନୀୟ କରାଯିବ। ଏହା 5 ସାମୟିକ ହେବ ଓ ତୁମର ସୁରକ୍ଷା অবস্থାକୁ ପ୍ରତିବେଦନ କରିବ।

HSTS ପ୍ରିଲୋଡ୍

HTTP Strict Transport Security (HSTS) ବ୍ରାଉଜରକୁ ତୁମର ଡୋମେନ ପାଇଁ ସମୟରେ ସାଦା HTTPS ବ୍ୟବହାର କରିବାକୁ କହିଥାଏ — ପ୍ରଥମ ଅନୁରୋଧରୁ ପୂର୍ବରୁ। HSTS ବନ୍ଦ କରିଥିଲେ, ତୁମର ସାଇଟ ସହିତ ପ୍ରଥମ ଦୃଶ୍ୟ ଓ HTTP ପାଇଁ ପ୍ରବେଶ କରିବାକୁ ସମ୍ଭବ — ଜଣା ବିଆରୂରୁ ଅନ୍ୟେ ସମସ୍ୟାର ପାଇଁ।

HSTS ହେଡର:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

ତିନୋଟି ନିର୍ଦ୍ଦେଶ:

| ନିର୍ଦ୍ଦେଶ | ଅର୍ଥ | |-----------|---------| | max-age=31536000 | ଏହାକୁ 1 ବର୍ଷ ପାଇଁ ବ୍ୟବହାର କରନ୍ତୁ (ସେକେଣ୍ଡ୍‌ରେ) | | includeSubDomains | ସମସ୍ତ ସବ୍-ଡୋମେନମାନେ ଦିଆଯିବାକୁ ପ୍ରୟୋଗ କରନ୍ତୁ | | preload | ବ୍ରାଉଜର ପ୍ରିଲୋଡ୍ ତାଲିକାରେ ସামିଲ ହେବାର ଅନୁରୋଧ କରନ୍ତୁ |

HSTS ପ୍ରିଲୋଡ୍ ତାଲିକା:

ଶେଷ HSTS ସୁରକ୍ଷା। ବ୍ରାଉଜରମାନେ ହାର ଉପରେ ଶକ୍ତିସାଧକ ଡୋମେନଗୁଡିକୁ ସାଦା HTTPS ବ୍ୟବହାର କରିବାକୁ ନିର୍ଦ୍ଦେଶ ଦେଇଛନ୍ତି। ତୁମର ଡୋମେନକୁ hstspreload.org ରେ ସମ୍ବିଧାନ କରିବା ଅର୍ଥ:

  • ପ୍ରଥମ ବେଳେ ଦର୍ଶକ HTTPS ତୁରନ୍ତ ମିଳେ (କଣ HTTP → HTTPS ପଡ଼ିବ)
  • ଆକ୍ରମକମାନେ ସମ୍ପର୍କ କମ୍ ହୋଇପାରିବେ
  • ସ୍ଥାୟୀ (ସମ୍ବିଧାନ କରିବା ପରେ ଅତ୍ୟନ୍ତ ଦୁର୍ବଳ)

HSTS ପ୍ରିଲୋଡ୍ ପାଇଁ ଆବଶ୍ୟକତା:

  1. ବୈଧ HTTPS ସର୍ଟିଫିକେଟ୍
  2. ସମସ୍ତ HTTP କୁ HTTPS ବଦଳ କରନ୍ତୁ (ସବ୍-ଡୋମେନ୍ ସହିତ)
  3. HSTS ହେଡର ସହିତ max-age >= 31536000
  4. HSTS ହେଡର includeSubDomains ଲାଗିଥିବା
  5. HSTS ହେଡରବେଳେ preload ଦେଖିବେ
  6. ସମସ୍ତ ସବ୍-ଡୋମେନଗୁଡିକ HTTPS ସମର୍ଥନ କରିବା ଭାବନା لتحقيق

ସତର୍କତା: କେବଳ ସବୁ ସବ୍-ଡୋମେନ HTTPS କୁ ସମର୍ଥନ କରେ କାରଣ includeSubDomains ନିର୍ଦ୍ଦେଶ କୌଣସି HTTP-କେବଳ ସବ୍-ଡୋମେନଙ୍କୁ ଅଗମ୍ୟ କରିଦିଏ।

ତ୍ରୁଟିକୁ ସମାଧାନ: ଯଦି ତୁମ ସବୁ ସବ୍-ଡୋମେନମାନେ HTTPS କୁତୁରକୁ କରଥିଲେ, ସଂପୂର୍ଣ୍ଣ HSTS ହେଡରକୁ ଯୋଗ କରନ୍ତୁ ଓ hstspreload.org ରେ ସମ୍ବିଧାନ କରନ୍ତୁ। ଚକ୍ରକୁ କିଛି ସପ୍ତାହ ଧରି ପ୍ରସ୍ତୁତି ଅନ୍ୟାନେ ସୁରକ୍ଷା ମିଳିଛି।

ନିରାପଦତା ତଦନ୍ତ

ସ୍ୱୟଂକ୍ରିୟ ନିରାପଦତା ତଦନ୍ତ ତୁମର ସ୍ୱୟଂ ଶ୍ରେଣୀରେ ଜଣା ସୁରକ୍ଷା ସମସ୍ୟା ଚିହ୍ନଟ କରେ ଯାହାକୁ ଆକ୍ରମକମାନେ ବ୍ୟବହାର କରିବେ।

ନିରାପଦତା ତଦନ୍ତ କେଉଁଥିରେ ଯାଞ୍ଚ କରେ:

  • ପୁରାତନ ସଫ୍ଟୱେର: WordPress, ପ୍ଲଗିନ୍, ଜାୱାସ୍କ୍ରିପ୍ଟ ଲାଇବ୍ରେରି, ଯାହାକୁ ଜଣା CVEs ଚିହ୍ନଟ କରି
  • ବିନାବକ୍ ଫାଇଲଗୁଡିକ: .env, .git, wp-config.php, ଡାଟାବେସ୍ ଡମ୍ପଗୁଡିକ
  • ସୂଚନା ଭୁକ୍ତାସାବିଙ୍କ ପାଇଁ ଭକ୍ତାସାବିର ଆକ୍ରମଣ: ସର୍ଭର ସଂସ୍କରଣ ହେଡର, ଡିବଗ୍ ମୋଡ୍, ଷ୍ଟାକ୍ ଟ୍ରେସର ପ୍ରକାଶ କର
  • ମୂଲ୍ୟ ସନ୍ଦେହ: ଅଧିକରେ ବ୍ୟବହାର କରିଥିଲେ, ଡିଗ୍ଟ ପୃଷ୍ଠା (auth) କରିବାକୁ നിം അല്ലോ।
  • ଓପେନ୍ ପୋର୍ଟ୍/ସେବା: ଅଅବୈଧ ସେବା ଭିତରେ ଆକ୍ରମଣକ ପାଇଁ ଅଭ୍ୟାସ ଦିଏ
  • ଇଞ୍ଜେକ୍ସନ୍ ପ୍ୱାୟନ୍ଟ୍: CSRF ସୁରକ୍ଷା ବିରୋଧରେ ଭିନ୍ନକ (ଡେଟାବେସ୍)

ସାଧାରଣ ସୁରକ୍ଷା ସମସ୍ୟା ପ୍ଲାଟଫର୍ମ ଦ୍ୱାରା:

| ପ୍ଲାଟଫର୍ମ | ସର୍ବୋତ୍ତମ ସୁରକ୍ଷାକୁ ସଙ୍କେତ କର | ସମାଧାନ | |--------------|-------------------|-----| | WordPress | ପୁରାତନ ପ୍ଲଗିନ୍ | ଆଟୋ-ସମୟ + WAF | | Shopify | ତୃତୀୟ-ପ୍କ୍ଷ ଆପ୍ଲିକେସନ୍ ପାଇଁ ଅଧିକାର | ପ୍ଲଗିନ୍ ତାଲିକା ତ୍ରାଇବା | | Next.js | ଖୋଲା API ରୁଟସ୍ | Auth middleware + ରେଟ୍ ଲିମିଟିଙ୍ଗ | | Static ସାଇଟ୍‌ଗୁଡିକ | CDN ମିଶ୍ରଗତି | କ୍ୟାଶ୍ ନୀତିଗୁଡିକୁ ଅବଲୋକନ କର | | କଷ୍ଟମ୍ ପ୍ଲାଟଫର୍ମ | SQL ଇଞ୍ଜେକ୍ସନ୍ | ପ୍ୟାରାମେଟର ନିର୍ଦ୍ଦେଶ |

ତଦନ୍ତ ସାଧାରଣତା:

  • ଦିନକୁ: ସ୍ୱୟଂକ୍ରିୟ ସାରଫେସ୍ ତଦନ୍ତ (SSL, ହେଡରସ, ଖୋଲା ଫାଇଲଗୁଡିକ)
  • ସପ୍ତାହିକ: ଅନୁସୂଚୀ ନିରାପଦତା ସିଦ୍ଧାନ୍ତ (npm audit, WordPress ପ୍ଲଗିନ୍ ସ୍କନର)
  • ମାସିକ: ଅଧିକ କ୍ଷେତ୍ରରେ ବଦଳରେ ଚିହ୍ନଟ କର
  • ପ୍ରତି ପ୍ରେୟାର ତାପ୍ରପ୍ତ: ପୁନତାପାଡ଼ନ୍ଟ

ତ୍ରୁଟିକୁ ସମାଧାନ: npm audit (Node.js) କିମ୍ବା ତୁମର CMS ପ୍ଲଗିନ୍ ତାଲିକାରୁ ପୁରାତନ ଉପାଦାନଗୁଡିକୁ ଚାୟଳ କର। ତୁରନ୍ତ୍ କ୍ପ୍ରାଡ୍‌/ହାଇ ସୋସିଲୋ କର।

ମିଶ୍ର ବିଷୟ

ମିଶ୍ର ବିଷୟ ସମୟରେ ଏହା ଅସେବାଥ ପାଇଁ ଯେ ଏକ HTTPS ପେଜ୍ HTTP ରେ ସମ୍ପଦର (ଚିତ୍ର, ସ୍କ୍ରିପ୍ଟ, ଷ୍ଟାଇଲସିଟ୍, ଇଫ୍ରେମ୍) ପ୍ରଥମ ବେଳେ ଲୋଡ୍ କରିଛି। ଏହା ଅସମ୍ପୂର୍ଣ୍ଣ ଏନକ୍ରିପ୍ସନ୍ କୁ ବ୍ୟାପକ କରେ ଓ ବ୍ରାଉଜର ଚେତାବନୀଗୁଡିକୁ ଟ୍ରିଗର୍ କରନ୍ତି।

ମିଶ୍ର ବିଷୟଗୁଡିକର ପ୍ରକାର:

| ପ୍ରକାର | ଗୁରୁତ୍ତ୍ୱ | ଉଦାହରଣ | ବ୍ରାଉଜର ବ୍ୟବହାର | |------|----------|---------|------------------| | କ୍ରିୟାଶୀଳ | ଉଚ୍ଚ | HTTP ସ୍କ୍ରିପ୍ଟ, ଇଫ୍ରେମ୍, CSS | ସ୍ୱାଭାବିକ ଭାବରେ ବାରଣ | | ମଧ୍ୟମ | ମଧ୍ୟମ | HTTP ଚିତ୍ର, ଭିଡିଓ, ଅଡିଓ | ଚେତିବା ସହିତ ଲୋଡ୍ |

କ୍ରିୟାଶୀଳ ବିଷୟଗୁଡିକ ଅଧୁନାତନ ବ୍ରାଉଜରମାନେ ବାରଣ କରନ୍ତି — ଅର୍ଥ ବ୍ୟବହାର, ସ୍କ୍ରିପ୍ଟ ଓ ଷ୍ଟାଇଲ୍ କେବଳ ଲୋଡ୍ ହେବ ନାହିଁ। ମଧ୍ୟମ ମିଶ୍ର ବିଷୟଗୁଡିକ ଲୋଡ୍ କରେ କିନ୍ତୁ ସୁରକ୍ଷା ଚେତାବନୀ ଦିଏ।

ମିଶ୍ର ବିଷୟ ଚିହ୍ନଟ କରିବେ:

  1. Chrome DevTools ଖୋଲନ୍ତୁ → କନସୋଲ
  2. "ମିଶ୍ର ବିଷୟ" ଚେତାବନୀ ବିଷୟର ସମ୍ପାଦ ଦେଖନ୍ତୁ
  3. ବିକଳ୍ପ, କ୍ରାଲର ସହିତ ତଦନ୍ତ କରିପାରିବେ (Screaming Frog, LANGR)

ସାଧାରଣ ମିଶ୍ର ବିଷୟ ମୂଲ୍ୟ ଉଦାହରଣ:

  • ଉଦ୍ଧାରିତ http:// URLs ବିଷୟରେ ନିବେଶିତ (ବ୍ଲଗ୍ ପୋଷ୍ଟ, ଉତ୍ପାଦ ବିବରଣୀ)
  • ତୃତୀୟ-ପ୍କ୍ଷ ଓଜନ ଯାହା HTTP ସମ୍ପଦଗୁଡିକ କୁ ଲୋଡ୍ କରେ
  • ଇମ୍ବେଡ୍ କରାଯିଥିବା ସମ୍ପଦ (YouTube ପୁରା ପୁନର୍ବନ୍ଦରେ, ସାମାଜିକ ମାଧ୍ୟମ ସେୟାର)
  • CSS background-image ସହିତ HTTP URLs
  • ଫାଣ୍ଟ୍ ଆଧାରିତ HTTP ମଧ୍ୟ ହେବା ପରିବା ବନୁରେ |

ମିଶ୍ର ବିଷୟ ମାନସିକ ଅବସ୍ଥାନ:

<!-- Bad -->
<img src="http://example.com/image.jpg" />

<!-- Good -->
<img src="https://example.com/image.jpg" />

<!-- Best (protocol-relative, adapts to page protocol) -->
<img src="//example.com/image.jpg" />

ଡାଟାବେସ୍ ସମାଧାନ (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

ତ୍ରୁଟିକୁ ସମାଧାନ: Chrome ରେ ତୁମର ମୁଖ୍ୟ ପେଜ୍ ଖୋଲନ୍ତୁ, F12 ପ୍ରେସ୍ କରନ୍ତୁ, କନସୋଲ ଟ୍ୟାବରେ ମିଶ୍ର ବିଷୟ ଚେତବା ବିଷୟର ସମସେବିକୁ । ବ୍ୟବହାରନୀୟ ବିଦ୍ୟୁତྃ ସମ୍ପଦଗୁଡିକୁ ଦୁର୍ବଳ କରନ୍ତୁ — ଏହା ଗୋଗଲ୍ ପାଖରେ ତାଲିକା ଭିତରେ ସେଇ ସମ୍ପଦ ଦେଖାଯିବ।

ତୃତୀୟ-ପକ୍ଷ ସ୍କ୍ରିପ୍ଟ ଝୁଲ୍

ତୁମେ ଯାହାକୁ କ୍ଲୋଡ୍ କରିବା ବ୍ୟବହାର କରିବେ, ସେତେବେଳେ ତୃତୀୟ-ପକ୍ଷ ଗୋଟିଏ ସୁରକ୍ଷା (ওକ୍ସୁନ୍ଡ ନିକାୟ) ବ୍ୟବହାର କରିବେ। ତୃତୀୟ-ପକ୍ଷ ସ୍କ୍ରିପ୍ଟଗୁଡିକେ:

  • ଅନ୍ୟଥା ବିଶ୍ୱାସ କରିବାକୁ
  • ବେରେପାଇଁ କ୍ଲିକ୍ କରାଯିବ
  • ତୁମ ସାଇଟ୍ ବିଶ୍ରାଙ୍ଗୀ କରେ (ନିଦାନେ ତାଳୁନୁସାରେ)
  • କାର୍ଯ୍ୟଗତ ପ୍ରେୱସ୍କେ ସାଧାରଣ କରେ (ସନ୍ଧାନ, ନିର୍ମାଣ)
  • ଅସ୍ୱୀକୃତ ସହିତ ଯୋଗାଯୋଗରେ ସମସ୍ୟାବନ୍ଧେ

ତୃତୀୟ-ଥନ୍ଥ ସ୍କ୍ରିପ୍ଟଗୁଡିକୁ ସମୀକ୍ଷା କରନ୍ତୁ:

| ସ୍କ୍ରିପ୍ଟ | ଆବଶ୍ୟକତା? | ଝୁଲ୍ ପଦାର୍ଥ | ବିକଳ୍ପ | |--------|-----------|------------|-------------| | Google Analytics | ଅଧିକ ସମୟରେ | ଲୋ | ସର୍ଭର-ପକ୍ଷ ଟ୍ରାକିଂ | | ଚାଟ୍ ୱିଜେଟ୍‌ଗୁଡିକ | ଶୁଭ୍ ବେ ପ୍ରୟାସ କରୁଛି | ବାରିକ | ସ୍ଵୟଂ-ହୋଷ୍ଟ ସମାଧାନ | | ସାମାଜିକ ଭାଗ କରନ୍ତୁ | କଦାଚିତ୍ | ମଧ୍ୟମ | ଧବସ୍ପତ୍ତି ଅନ୍ଦିକ୍ରୁତ | | A/B ତଦନ୍ତ | କାଇଥିଲ | ଉଚ୍ଚ | ସର୍ଭର-ପକ୍ଷ ତଦନ୍ତ | | ନିରୀକ୍ଷଣ ପିକ୍ସେଲ୍ | ବିଜ୍ଞାନଙ୍କ ଦ୍ୱାରା | ଉଚ୍ଚ | ପ୍ରଥମ ପେଜ |

ମୁಖ୍ୟ ତୃତୀୟ ସ୍କ୍ରିପ୍ଟଗୁଡିକରେ ଦୂର୍ବଳ ସମସ୍ୟା:

  1. ସବ୍ୱସ୍ୟା ଗୁଣତାକୁ ପ୍ରତିକୃୟା କରିବା: ହ୍ୟାଦ୍ରେ କଦାଚି ବିକଳ୍ପ ବ୍ୟବହାର କରେ ତେଣୁ ବିକଳ୍ପ ସହିତ ଘୁସରଟ୍ କରନ୍ତୁ
<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>
  1. CSP ଅବସ୍ଥା: ସ୍କ୍ରିପ୍ଟଗୁଡିକୁ ପ୍ରоғସ୍ଧା ପାଇଁ ଏହା ଏହା ପାଇଁ ପ୍ରଧାନ କର
  2. ସ୍ୟାନ୍ବାଦ ଇଫ୍ରେମ୍: ତୃତୀୟ-ପକ୍ଷ ଓଜନଗୁଡିକୁ ବ୍ୟବହାର କରନ୍ତୁ
  3. ନିୟମିତ ତଦନ୍ତ: ସମସ୍ତ ବାହ୍ୟ ଓଜନଗୁଡିକୁ ତ୍ରାଇବେ
  4. ମନିଟରିଂ: ନୂତନ ବାହ୍ୟ ଡୋମେନ୍ଗୁଡିକୁ ତଳେ ମନିଟର କରିବେ

ତ୍ରୁଟିକୁ ସମାଧାନ: ତୁମର HTMLରେ ଗୋଟିଏ