SEO గైడ్ 7వ దశ: సెక్యూరిటీ

ఇది 13 దశల SEO గైడ్ యొక్క 7వ దశ. సెక్యూరిటీ కేవలం వినియోగదారులను కాపాడడం గురించి మాత్రమే కాదు — ఇది మీ సెర్చ్ ర్యాంకులపై నేరుగా ప్రభావం చూపిస్తుంది. 2014 నుండి గూగుల్ HTTPSని ర్యాంకింగ్ సంకేతంగా ఉపయోగిస్తున్నది, మరియు ఆవశ్యకతలు కేవలం పెరిగాయి.

అधिक భాగం సైట్ యజమానులు సెక్యూరిటీని ఒక బైనరీగా భావిస్తారు: "మాకు SSL ఉంది, కాబట్టి మేము సురక్షితంగా ఉన్నాం." కానీ వాస్తవంలో, గూగుల్ అనేక సెక్యూరిటీ సంకేతాలను అంచనా వేస్తుంది. సరైన సెక్యూరిటీ హెడ్‌ర్స్, చెల్లుబాటైన సర్టిఫికేట్లు మరియు మిక్స్డ్ కంటెంట్ లేకుండా ఉన్న సైట్‌లు ప్రాథమిక SSL సర్టిఫికేట్ ఉన్న సైట్‌ల కంటే ఎక్కువ ర్యాంక్ చేస్తాయి — అన్ని మిగతా విషయాలు సమానంగా మిగులు ఉంటే.

సంతోషకరమైన విషయం: మిక్కీ సెక్యూరిటీ పరిష్కారాలు ఒకసారి కాన్ఫిగరేషన్ చేయడం మాత్రమే. ఒకసారి వాటిని సెట్ చేసుకోండి, అవి మీ ర్యాంక్లను సदा కాపాడుతాయి.

SSL కాన్ఫిగరేషన్

SSL (తక్షణంగా TLS) మీ సర్వర్ మరియు సందర్శకుల మధ్య కనెక్షన్‌ను ఎన్క్రిప్ట్ చేస్తుంది. 2014 నుండి, గూగుల్ HTTPSని ర్యాంకింగ్ సంకేతంగా స్పష్టంగా నిర్ధారించింది. 2026లో, HTTPS లేని పరిస్థితులు కేవలం ర్యాంకింగ్ సమస్య మాత్రమే కాదు — Chrome HTTP స్థలాలను "సురక్షితం కాదు" అని గుర్తిస్తూ, వినియోగదారుల నమ్మకాన్ని ధ్వంసం చేస్తుంది.

సరైన SSL కొరకు అవసరాలు:

| అవసరం | ఎందుకు | ఎలా తనిఖీ చేయాలి | |-------|-------|----------------| | చెల్లుబాటైన సర్టిఫికేట్ | గడువు మితి = బ్రౌజర్ నోటీసు = అదుపుతూర్పుల వినియోగదారులు | ముగింపు తేదీని తనిఖీ చేయండి | | పూర్తి కడా | అసంపూర్ణ కడా కొన్ని పరికరాలలో విఫలమవుతుంది | SSL ల్యాబ్స్ పరీక్ష | | TLS 1.2+ | పాత కరువులు తెలుసు | SSL ల్యాబ్స్ పరీక్ష | | SHA-1 లేదు | చెల్లని, బ్రౌజర్లు తిరస్కరిస్తాయి | సర్టిఫికేట్ వివరాలు | | SAN కవర్ | www మరియు non-www రెండింటిని కవర్ చేయాలి | సర్టిఫికేట్ వివరాలు | | ఆటో-రిన్యువల్ | గడువు విఫలమవుతున్న ప్రమాదాలను నివారిస్తుంది | Let's Encrypt / ప్రొవైడర్ కాన్ఫిగరేషన్ |

SSL స్కోరింగ్:

100% = చెల్లుబాటును సర్టిఫికేట్ + పూర్తి కడా + TLS 1.3 + బలమైన సిఫర్ + ఆటో-రిన్యువల్
  0% = గడువు వేసిన లేదా కదెనీ సర్టిఫికేట్ లేదు

సామాన్య SSL పొరపాట్లు:

సర్టిఫికేట్ నోటీసు లేకుండా గడువు గడువుతుంది — గడువు ముగుస్తే కనీసం 30 రోజుల కంటే ముందు మానిటరింగ్ సెట్ చేయండి (దశ 6)
అసంపూర్ణ సర్టిఫికేట్ కడా — సర్వర్ మధ్యతరగతి సర్టిఫికేట్లను పంపాలి, కేవలం ఆక్టవాడు మాత్రమే కాదు
మిక్స్డ్ కంటెంట్ — HTTPS పేజీ HTTP వనరులను లోడ్ చేస్తుంది (చిత్రాలు, స్క్రిప్టులు, శైలీకృతాలు)
రీడైరెక్ట్ చక్రాలు — HTTP → HTTPS → HTTP చక్రాలు తప్పుగా కాన్‌ఫిగర్ చేసిన CDN/ప్రాక్సీ వల్ల
Non-www మరియు www ఖాతాలో తేడా — సర్టిఫికేట్ ఒకటి కప్పుతుంది కానీ మరొకటి కాదు

త్వరిత విజయం: మీ డొమైన్‌ను SSL ల్యాబ్స్ ద్వారా అందించండి (ssllabs.com/ssltest). "A" రేటింగ్ కంటే తక్కువ ఏదైనా మరింత కార్యాచరణ చర్య ఉంది. ఎక్కువహోస్టింగ్ ప్రొవైడర్లు ఇలా ఒక క్లిక్‌లో మీకు పరిష్కరిస్తారు.

సెక్యూరిటీ హెడ్‌ర్స్

సెక్యూరిటీ హెడ్‌ర్స్ HTTP స్పందన హెడ్‌ర్స్, ఇందులో బ్రౌజర్లు మీ సైట్‌ను లోడ్ చేయడం ఎలా చేయాలో మార్గనిర్దేశం చేస్తాయి. అవి అస్త్రపు దాడుల మొత్తం కేటగిరీలను నివారిస్తాయి — మరియు గూగుల్ యొక్క క్రాలర్స్ వాటిని తనిఖీ చేస్తాయి.

మూల సెక్యూరిటీ హెడ్‌ర్స్:

కంటెంట్-సెక్యూరిటీ-పాలసీ (CSP)

CSP ఎంతో శక్తివంతమైన సెక్యూరిటీ హెడ్‌ర్. ఇది బ్రౌజర్లకు మీ పేజీలపై ఎలాంటి వనరులు (స్క్రిప్టులు, శైలులు, చిత్రాలు, ఫాంట్లు) లోడ్ చేయడానికి అనుమతించబడుతున్నాయో చెప్పేందుకు సహాయపడుతుంది.

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

CSP నివారించే వ్యతిరేకాలు:

కృష్ణా వెబ్ స్క్రిప్టింగ్ (XSS) దాడులు
డేటా ఇంజెక్షన్ దాడులు
క్లిక్ జాకింగ్ (frame-ancestors ద్వారా)
అనధర్గా స్క్రిప్ట్ అమలు (క్రిప్టోమినర్స్, ప్రకటన ఇంజెక్టర్)

CSP అమలు వ్యూహం:

Content-Security-Policy-Report-Onlyతో ప్రారంభించండి (నిషేధించకుండా ఉల్లంఘనల్ని లాగ్ చేయండి)
1-2 వారాల పాటు నివేదికలను పర్యవేక్షించండి
చట్టబద్ధమైన వనరులు తెలుపండి
అమలుగా మారండి
నిరంతరం ఉల్లంఘన లాగింగ్ కొరకు report-uri లేదా report-toని జోడించండి

X-Frame-Options

మీ సైట్‌ను ఇతర డొమైన్‌లలో iframe‌లలో ఎన్కాడింగ్ చేయడాన్ని నివారిస్తుంది (క్లిక్ జాకింగ్ రక్షణ).

X-Frame-Options: DENY

లేదా మీరు ఒకే ఒరిజిన్ ఫ్రేమింగ్‌కు అనుమతించాల్సినవైపు:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

బ్రౌజర్లను MIME టైపు నోటిఫికేషన్ నుండి దూరంగా ఉంచుతుంది (ఫైళ్ళను ప్రకటించిన కంటే ఇతర రకాలుగా అర్థం చేసుకోవడం).

X-Content-Type-Options: nosniff

ఈ ఒక్క లైన్ ఆ ఫైలు .jpg ఫైలు దాగిన JavaScript ఉంటే చాలా ప్రమాదం చేస్తుంది.

Referrer-Policy

ఇది వినియోగదారులు మీ సైట్ నుండి లింక్‌ క్లిక్ చేసినప్పుడు ఎంత రిఫరర్ సమాచారం పంపబడుతుందో నియంత్రిస్తుంది.

Referrer-Policy: strict-origin-when-cross-origin

ఈ విధంగా ఇదే ఒరిజిన్ అభ్యర్థనలకు పూర్తి URLని పంపిస్తుంది కానీ కేవలం ఒరిజిన్ (డొమైన్) క్రాస్ ఒరిజిన్ అభ్యర్థనల కొరకు మాత్రమే. విశ్లేషణ అవసరాలను గోప్యతతో సమతుల్యం చేస్తుంది.

Permissions-Policy

మీ సైట్‌పై ఎలాంటి బ్రౌజర్ ఫీచర్లు (కెమెరా, మైక్రోఫోన్, జియోలొకేషన్, మొదలైనవి) ఉపయోగించవచ్చో నియంత్రిస్తుంది.

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

మీరు ఉపయోగించని ఫీచర్‌ను నిష్క్రియమైనప్పుడే, మూడవ పక్ష స్క్రిప్టులను దుర్వినియోగం చేస్తాయి.

హెడర్ అములుకి ఉదాహరణ (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

హెడర్ అమలు (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

హెడర్ అమలు (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

త్వరిత విజయం: మీ సర్వర్ కాన్ఫిగరేషన్‌కు పై 5 హెడ్‌ర్స్ జోడించండి. ఈ ప్రక్రియ 5 నిముషాలు పడుతుంది మరియు మీ సెక్యూరిటీ స్థితిని ఏ స్కాన్ టూల్‌లోనూ వెంటనే మెరుగుపరుస్తుంది.

HSTS ప్రీలోడ్

HTTP స్ట్రిక్ట్ ట్రాన్స్‌పోర్ట్ సెక్యూరిటీ (HSTS) బ్రౌజర్లకు మీ డొమైన్ కోసం ఎల్లప్పుడూ HTTPSని ఉపయోగించమని తెలుపుతుంది — మొదటి అభ్యర్థన కి మునుపు కూడా. HSTS లేని పరిస్థితులలో, మీ సైట్‌కు మొదటి సందర్శన HTTPని ఉపయోగిస్తుంది (సేకరణకు గురి) అప్పుడు HTTPSకు మారుస్తుంది.

HSTS హెడ్‌ర్:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

మూడు निर्दేషాలు:

| निर्दేషం | అర్థం | |----------|------| | max-age=31536000 | దీన్ని 1 సంవత్సర కాలానికి గుర్తుంచుకోండి (సెకన్లలో) | | includeSubDomains | అన్ని ఉపడొమైన్‌ల పై వర్తించాలి | | preload | బ్రౌజర్ ప్రీ లోడ్ జాబితాలో చేర్చడానికి ప్రతిప్రర్‌ణ |

HSTS ప్రీలోడ్ జాబితా:

చాకల HSTS రక్షణ. బ్రౌజర్లు ఎప్పుడూ HTTPSని ఉపయోగించాల్సిన డొమైన్‌ల యొక్క నిర్మిత జాబితాతో వస్తాయి. మీ డొమైన్‌ను hstspreload.orgకు సమర్పించడం అంటే:

మొదటి సందర్శకులకు వెంటనే HTTPS అందిస్తుంది (HTTP → HTTPS మరల పంపించడం లేదు)
దాడిదారులకు కనెక్షన్‌ను తగ్గించడం అసాధ్యం
శాశ్వతం (సమర్పించిన తర్వాత తొలగించడం కష్టం)

HSTS ప్రీలోడ్ కొరకు అవసరాలు:

చెల్లుబాటైన HTTPS సర్టిఫికెట్
అన్ని HTTPని HTTPSకు మళ్లించి (ఉపడొమైన్‌ల సమేతం)
HSTS హెడ్‌ర్ max-age >= 31536000తో కావాలి
HSTS హెడ్‌ర్ includeSubDomains లో ఉండాలి
HSTS హెడ్‌ర్ preload లో ఉండాలి
అన్ని ఉపడొమైన్‌లకు HTTPS మద్దతు అవసరం

మార్గదర్శకాలు: మీరు అన్ని ఉపడొమైన్‌లకు HTTPSను మద్దతు అందిస్తే మాత్రమే ప్రీ లోడ్‌కు సమర్పించండి. includeSubDomains నిర్దేశం వల్ల ఏదైనా HTTP-కేవలం ఉపడొమైన్ అందుబాటులో రాదు.

త్వరిత విజయం: మీరు ఇప్పటికే అన్ని ఉపడొమైన్‌లకు HTTPS కలిగి ఉంటే, పూర్తి HSTS హెడ్‌ను జోడించి hstspreload.orgలో సమర్పించండి. ప్రక్రియ కొన్ని వారాలు పడుతుంది కానీ రక్షణ శాశ్వతం.

అబద్ధత స్కానింగ్

ఆటోమేటెడ్ అబద్ధత స్కానింగ్ మీ స్టాక్‌లో గుర్తించిన సెక్యూరిటీ సమస్యలను గుర్తిస్తుంది, దాడిదారులు వాటిని దుర్వినియోగం చేసే ముందు.

అబద్దత స్కానింగ్ తనిఖీ చేసే విషయాలు:

పాత సాఫ్ట్‌వేర్: WordPress, ప్లగిన్లు, తెలిసిన CVEsతో JavaScript లైబ్రరీలు
అనవసరమైన ఫైలు: .env, .git, wp-config.php, డేటాబేస్ డంప్లు
సమాచారం మార్పిడి: సర్వర్ వెర్షన్ హెడ్‌ర్స్, డిబగ్ మోడ్, స్టాక్ ట్రేస్‌లు
డిఫాల్ట్ క్రెడెన్షియల్స్: అతి సులభమైన జాబితా చేసిన పేజీలు
ఓపెన్ పోర్ట్‌లు/సర్వీస్‌లు: ఇంటర్నెట్‌కు అంగీకరించని సర్వీస్‌లు
ఇంజెక్షన్ పాయింట్లు: CSRF రక్షణ లేని ఫారమ్‌లు, చెక్ చేయని ఇన్‌పుట్‌ల

ప్లాట్‌ఫామ్ ద్వారా సామాన్య అబద్ధతలు:

| ప్లాట్‌ఫామ్ | టాప్ అబద్ధత | పరిష్కారం | |-------------|-------------|------------| | WordPress | పాత ప్లగీన్లు | ఆటో-అప్‌డేట్ + WAF | | Shopify | మూడవ పార్టీ యాప్ అనుమతులు | మాసానికో షురూ జాబితా | | Next.js | సాక్షాత్కారం API మార్గాలు | ఆథ్ మిడ్‌వేర్ + రేట్ పరిమితి | | స్టాటిక్ సైట్లు | CDN తప్పుగా కాన్ఫిగర్ చేయడం | క్యాష్ నియమాల సమీక్ష | | కస్టం | SQL ఇంజెక్షన్ | పారా మీటర్ క్వెరీలు |

స్కానింగ్ వెంటనే:

రోజుకోమెదడు: ఆటోమేటెడ్ సర్ఫెస్ స్కాన్ (SSL, హెడ్‌ర్స్, అనవసరమైన ఫైల్‌లు)
సప్తాహిక: ఆధారిత అబద్ధతను తనిఖీ చెయ్యండి (npm audit, WordPress ప్లగిన్ స్కానర్)
మాసానికో: ప్రమాణిత పరీక్షతో లోతుగా స్కాన్ చేయండి
ప్రతి ఖచ్చితమైన వాటి తర్వాత: మళ్ళీ సమీక్షించాలి

త్వరిత విజయం: npm audit (Node.js) నడిపించి లేదా మీ CMS ప్లగిన్ జాబితాను పాత కంపోనెంట్ల కొరకు తనిఖీ చేయండి. అత్యవసర/ఊతపరమైన సమస్యలను వెంటనే పరిష్కరించండి.

మిక్స్డ్ కంటెంట్

మిక్సడ్ కంటెంట్ అవుతది, HTTPS పేజీ HTTP ద్వారా వనరులను (చిత్రాలు, స్క్రిప్టులు, శైలీకృతాలు, iframe లు) లోడ్ చేస్తే. ఇది ఎన్క్రిప్షన్ని కాయిస్తుంది మరియు బ్రౌజరుకు అలర్టులను చూపిస్తుంది.

మిక్స్డ్ కంటెంట్ రకాల:

| రకం | తీవ్రత | ఉదాహరణ | బ్రౌజర్ ప్రవర్తన | |------|-------|---------|------------------| | క్రియాత్మకమైనది | ఉన్నతి | HTTP స్క్రిప్ట్, iframe, CSS | చెల్లని ఉపయోగం ఉంది | | ప్యాసివ్ | మాధ్యమం | HTTP చిత్రాలు, వీడియోలు, ఆడియో | హెచ్చరికతో లోడ్ చేయబడింది |

క్రియాత్మకమైన మిక్స్డ్ కంటెంట్ ఆధునిక బ్రౌజర్ల ద్వారా నిరోధించబడింది — మీ స్క్రిప్ట్లు మరియు శైలులు లోడ్ కాకుండా ఉండేలా చేస్తుంది. ప్యాసివ్ మిక్స్డ్ కంటెంట్ లోడ్ అవుతుంది కానీ భద్రత హెచ్చరికలతో ప్రతిబింబిస్తుంది.

మిక్స్డ్ కంటెంట్ కనుగొనడం:

Chrome DevTools → consoleని తెరవండి
"Mixed Content" హెచ్చరికలను చూడండి
ప్రత్యామ్నాయంగా, క్రాలర్‌తో స్కాన్ చేయండి (Screaming Frog, LANGR)

సామాన్య మిక్స్డ్ కంటెంట్ మూలాలు:

కంటెంట్‌లో కఠినంగా http:// URLs (బ్లాగ్ పోస్టులు, ఉత్పత్తి వివరణలు)
మూడవ పార్టీ వ్యాజాలు HTTP వనరులను లోడ్ చేయించడం
అనుబంధ కంటెంట్ (YouTube velha embeds, సోషల్ మీడియా వీజెట్‌లు)
CSS background-image HTTP URLsతో
HTTP లో లోడ్ చేసిన ఫాంట్లు

మిక్సడ్ కంటెంట్‌ను పరిష్కరించడం:

<!-- చెడు -->
<img src="http://example.com/image.jpg" />

<!-- బాగున్నది -->
<img src="https://example.com/image.jpg" />

<!-- ఉత్తమ (ప్రోటోకాల్-సంబంధిత, పేజీ ప్రోటోకాల్‌ను అనుగుణంగా మార్చుతుంది) -->
<img src="//example.com/image.jpg" />

డేటాబేస్ ఫిక్స్ (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

త్వరిత విజయం: మీ హోమ్ పేజీని Chromeలో తెరిచి, F12 నొక్కి, console ట్యాబ్‌లో మిక్స్డ్ కంటెంట్ హెచ్చరికలను చూడండి. ఏదైనా కనిపిస్తే దాన్ని పరిష్కరించండి — ఇవి గూగుల్‌కు ప్రత్యక్షంగా కనబడుతాయి.

మూడవ పార్టీ స్క్రిప్ట్ ప్రమాదాలు

మీరు లోడ్ చేస్తున్న ప్రతి బాహ్య స్క్రిప్ట్ సెక్యూరిటీ (మరియు పనితీరు) బాధ్యతగా ఉంటుంది. మూడవ పార్టీ స్క్రిప్టులు:

కాంప్రమైజ్ చేయబడవచ్చు (సరఫరా కదలిక)
మీ వినియోగదారులను అనుమతి లేదు ట్రాక్ చేస్తాయి (GDPR ఉల్లంఘన)
మీ సైట్ నడవడానికి ఆలస్యమైంది (రెండర్-బ్లాకింగ్, నెట్‌వర్క్ ఆలస్యమవుతుంది)
పనితీరు విరామాన్ని అధిగమిస్తాయి (అనువర్తన నవీకరణలు, అవుటేజ్లు)
అన్ఛిక కంటెంట్‌ను చేర్చడం (ప్రకటన స్క్రిప్టుల చెడు నిర్వహణ)

మీ మూడవ పార్టీ స్క్రిప్టులను తనిఖీ చేయండి:

| స్క్రిప్ట్ | అవసరం ఉందా? | ప్రమాదం స్థాయి | ప్రత్యామ్నాయం | |------------|--------------|----------------|----------------| | Google Analytics | తరచూ అవశ్యకం | తక్కువ | సర్వర్-మొదటి ట్రాకింగ్ | | చాట్ విజెట్‌లు | కావాలా | మాధ్యమం | స్వయంగా-హోస్ట్ పరిష్కారాలు | | సామాజిక పంచుకోవడం బటన్‌లు | అరుదుగా | మాధ్యమం | స్థిర పంచవాణి లింకులు | | A/B పరీక్షలు | కొన్ని సార్లు | అధికం | సర్వర్-పొదుపు పరీక్ష | | రీటార్జెటింగ్ పిక్సెల్స్ | వ్యాపార నిర్ణయం | అధికం | ఫస్ట్-పార్టీ డేటా | | ఫాంట్ CDNs | సౌకర్యంగా | తక్కువ | స్వయంగా-హోస్ట్ ఫాంట్లు |

అవసరమైన మూడవ పార్టీ స్క్రిప్ట్‌లకు ప్రమాదం తగ్గించడం:

ఉపసరన్ను ఇంటిగ్రిటీ (SRI): హ్యాష్ ధృవీకరణ స్క్రిప్ట్‌లకు లోడ్ కాలేదు.

<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>

CSP పరిమితులు: నిర్దిష్ట డొమైన్‌ల స్క్రిప్ట్‌లు మాత్రమే ఆమోదించండి
సాంబాకుల యానేకులు: మూడవ పార్టీ విండ్జెట్‌లను దూరంగా ఉంచండి
నియమిత ఆడిట్స: ప్రతి క్వార్టర్‌External Resources లు సమీక్షించండి
మానిటరింగ్: మీ పేజీలలో కొత్త బాహ్య డొమైన్లు కనుగొనడానికి అలర్ట్ ఇవ్వండి

త్వరిత విజయం: మీరు HTMLలోని ప్రతి