Skip to main content
Back to blog

SEO-руководство, шаг 7: Безопасность — защита ранжирования и доверия

·4 мин чтения·by LANGR SEO

SEO-руководство, шаг 7: Безопасность

Это Шаг 7 из Руководства по SEO из 13 шагов. Проблемы безопасности разрушают ранжирование и доверие пользователей.

HTTPS — это минимум. В 2026 году Google ожидает комплексный подход к безопасности: правильные заголовки, защиту от инъекций, безопасные cookie и актуальные сертификаты. Небезопасный сайт теряет позиции и получает предупреждения в браузере.

1. SSL/TLS-конфигурация

Минимальные требования

| Параметр | Требование | Проверка | |---|---|---| | Протокол | TLS 1.2+ (лучше 1.3) | SSL Labs | | Сертификат | Действительный, не истёкший | Дата истечения | | Цепочка | Полная цепочка сертификатов | SSL Labs | | Редирект | HTTP → HTTPS (301) | Браузер | | Mixed content | Нет HTTP-ресурсов на HTTPS-странице | DevTools |

Проверка SSL

# Проверить дату истечения
openssl s_client -connect example.com:443 2>/dev/null | openssl x509 -noout -dates

# Проверить протоколы
nmap --script ssl-enum-ciphers -p 443 example.com

2. Заголовки безопасности

Каждый из этих заголовков защищает пользователей и улучшает оценку безопасности:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy: camera=(), microphone=(), geolocation=()
Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline'

Влияние на SEO

| Заголовок | SEO-влияние | Сложность | |---|---|---| | HSTS | Высокое — ускоряет HTTPS | Простой | | X-Content-Type-Options | Среднее | Простой | | X-Frame-Options | Среднее — защита от кликджекинга | Простой | | CSP | Высокое — защита от XSS | Сложный | | Permissions-Policy | Низкое | Средний | | Referrer-Policy | Низкое | Простой |

3. Content Security Policy (CSP)

CSP определяет, откуда браузер может загружать ресурсы:

Content-Security-Policy:
  default-src 'self';
  script-src 'self' https://cdn.example.com;
  style-src 'self' 'unsafe-inline';
  img-src 'self' data: https:;
  font-src 'self' https://fonts.googleapis.com;
  connect-src 'self' https://api.example.com;

Пошаговое внедрение

  1. Начните с Content-Security-Policy-Report-Only (только отчёты)
  2. Мониторьте нарушения через report-uri
  3. Исправьте все нарушения
  4. Переключите на enforce-режим

4. HSTS и preload

HSTS (HTTP Strict Transport Security) гарантирует, что браузер всегда использует HTTPS:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Регистрация в HSTS Preload List

  1. Убедитесь, что HSTS работает корректно
  2. Добавьте preload в заголовок
  3. Зарегистрируйте домен на hstspreload.org
  4. После добавления — браузеры ВСЕГДА будут использовать HTTPS

Важно: Отмена preload занимает месяцы. Убедитесь, что весь сайт работает по HTTPS.

Set-Cookie: session=abc123;
  Secure;
  HttpOnly;
  SameSite=Strict;
  Path=/;
  Max-Age=86400

| Атрибут | Защита от | |---|---| | Secure | Перехвата по HTTP | | HttpOnly | Кражи через JavaScript (XSS) | | SameSite=Strict | CSRF-атак | | Path=/ | Доступа из других путей |

6. Сканирование уязвимостей

Что проверять регулярно

  • Устаревшие CMS и плагины
  • Открытые admin-панели
  • Утечки конфиденциальных файлов (.env, .git)
  • SQL-инъекции и XSS
  • Устаревшие JavaScript-библиотеки

Типичные проблемы

| Проблема | Риск | Решение | |---|---|---| | Устаревший WordPress | Критический | Автообновления | | Открытый wp-admin | Высокий | IP-ограничение + 2FA | | .env в корне | Критический | Deny в .htaccess | | HTTP-формы на HTTPS | Средний | Обновить action URL | | Старые JS-библиотеки | Средний | npm audit + обновление |

7. Последствия взлома для SEO

Если сайт взломан, последствия катастрофические:

  • Google помечает сайт как опасный
  • Рейтинг падает до нуля
  • Восстановление занимает 2-6 месяцев
  • Потеря ссылочной массы
  • Ущерб репутации бренда

Быстрый чек-лист

  • [ ] SSL-сертификат действителен и TLS 1.2+
  • [ ] Все HTTP-запросы перенаправляются на HTTPS (301)
  • [ ] HSTS заголовок настроен (min max-age=31536000)
  • [ ] Нет mixed content (HTTP-ресурсов на HTTPS-странице)
  • [ ] X-Content-Type-Options: nosniff настроен
  • [ ] X-Frame-Options настроен
  • [ ] CSP настроен (хотя бы базовый)
  • [ ] Cookie имеют Secure + HttpOnly + SameSite
  • [ ] Нет доступных .env, .git или backup-файлов
  • [ ] CMS и плагины обновлены до последних версий

Следующий шаг: Шаг 8: AI-видимость — как оптимизировать для AI-поисковиков.

Запустите бесплатный SEO-аудит и проверьте безопасность вашего сайта.

Хотите узнать состояние вашего сайта?

Запустите бесплатный SEO аудит — займет менее 60 секунд.

Recently Analyzed

archipelago-architectures.ch90anousparis.fr87paslek.pl75bosab.se75vocationservicepublic.fr84abaroma.it86

Related articles

SEO-руководство, шаг 4: Линкбилдинг и кросс-ссылки — наращивание авторитета через связи

Освойте анализ обратных ссылок, восстановление битых ссылок, гостевые публикации, цифровой PR, кросс-ссылочные сети и стратегию внутренней перелинковки. Шаг 4 из 13.

8 мин чтения

SEO-руководство, шаг 3: Контент и стратегия — как создавать контент, который реально ранжируется

Узнайте о подборе ключевых слов, контент-аудите, тематических кластерах, соответствии поисковому интенту и планировании публикаций. Шаг 3 руководства из 13 шагов.

9 мин чтения

QR-метки с именами для детей — как умные наклейки помогают вернуть потерянные вещи

Традиционные метки с именами показывают только имя. QR-метки делают больше — мгновенный контакт с находящими, GPS-локация при сканировании и отсутствие раскрытия личных данных. Вот как они работают.

4 мин чтения