Skip to main content
Back to blog

SEO Рәсеме 7: Куркынычсызлык — 2026 елда Google'дан Көтәгән Нормалар

·11 min read·by LANGR SEO

SEO Рәсеме 7: Куркынычсызлык

Бу 13 Адымлы SEO Рәсеменың 7нче адымы. Куркынычсызлык — кулланучыларны саклау гына түгел — ул сезнең эзләү сыйфатларыгызга турыдан-туры йогынты ясый. Google 2014 елдан бирле HTTPS'ны рейтинг сигналы итеп куллана, һәм көтүләр генә арта бара.

Күпчелек сайт хужалары куркынычсызлыкны бинар рәвештә кабул итә: "Бездә SSL бар, шуның белән без куркынычсызлыктагы." Чынлыкта, Google дистәләрчә куркынычсызлык сигналларын бәяли. Дөрес куркынычсызлык башлыклары, дөрес сертификатлар һәм буталган контент булмаган сайтлар гади SSL сертификаты булган сайтлардан югары бәя ала — башкалары бер үк булган очракта.

Яхшы хәбәр: куркынычсызлыкны төзәтүләрнең күбесе бер тапкыр конфигурацияләү. Бер мәртәбә көйлисең, һәм алар сезнең рейтингларыгызны даими саклый.

SSL Конфигурациясе

SSL (техник яктан TLS) серверыгыз белән кунаклар арасындагы тоташуны шифрлый. 2014 елдан бирле Google HTTPS'ны рейтинг сигналы итеп ачык рәвештә раслый. 2026 елда HTTPS булмау гына түгел, рейтинг мәсьәләсе түгел — Chrome HTTP сайтларын адрес юнәлешендә "Куркынычсыз түгел" дип билгели, кулланучы ышанычын юкка чыгара.

Дөрес SSL өчен таләпләр:

| Таләп | Нишләү | Ничек тикшерергә | |-------|--------|------------------| | Дөрес сертификат | Вакыт узу = браузер кисәтүе = юнәлешләрнең төшкәнлеге | Вакыт узу көнен тикшерегез | | Тулысынча чылбыр | Тулысынча чылбыр кайбер җайланмаларда эшләми | SSL Labs тесты | | TLS 1.2+ | Иске версияләр билгеле уязвимлыклар тота | SSL Labs тесты | | SHA-1 юк | Искә алынганы, браузерлар кабул итми | Сертификат мәгълүматлары | | SAN капламы | www һәм non-www икесе дә капланырга тиеш | Сертификат мәгълүматлары | | Авто-яңарту | Вакытның узуыннан куркынычсызлыкны саклый | Let's Encrypt / провайдер конфигурациясе |

SSL баллары:

100% = Дөрес сертификат + Тулысынча чылбыр + TLS 1.3 + Көчле шифр + Авто-яңарту
  0% = Вакыт узу яки сертификат юк

Гадәти SSL хаталары:

  1. Сертификат вакыт узу турында хәбәр итми — Вакыт узу көненә кадәр минимум 30 көн элек мониторинг башлагыз (Адым 6)
  2. Тулысынча сертификат чылбыры юк — Сервер арада сертификатларны җибәрергә тиеш, бары тик яфракны гына түгел
  3. Буталган контент — HTTPS бит HTTP ресурсларын йөкли (сулалар, сценарийлар, стильләр)
  4. Кайтару цикллары — HTTP → HTTPS → HTTP цикллары конфигурацияләнмәгән CDN/proxy сәбәпле
  5. Non-www һәм www арасында яраксызлык — Сертификат берсен генә каплый, икенчесен капламый

Тиз уңыш: Сезнең доменыгызны SSL Labs (ssllabs.com/ssltest) аша үтегез. "A" рейтингыннан түбән булган һәр нәрсә кампания мәсьәләләре бар. Күпчелек хостинг провайдерлары моны бер басу белән төзәтә.

Куркынычсызлык Башлыклары

Куркынычсызлык башлыклары — HTTP җавап башлыклары, бу браузерларга сайтны йөкләгән вакытта ничек эш итәргә яратмасыннар. Алар бөтен категорияләрдәге атакаларны туктата — һәм Google'ның кроулерлары аларны тикшерәләр.

Төп куркынычсызлык башлыклары:

Content-Security-Policy (CSP)

CSP — иң көчле куркынычсызлык башлыгы. Ул браузерларга нәкъ менә кайсы ресурсларның (сценарийлар, стильләр, сүрәтләр, шрифтлар) сезнең битләрдә йөкләнә ала икәнлеген әйтә.

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

CSP нәрсәләрне туктата:

  • Крос-сайт сценарияләре (XSS) атакалары
  • Мәгълүмат ташлану атакалары
  • Чыгып китүне тыю (через frame-ancestors)
  • Рөхсәтсез сценарийны башкару (криптоминерлар, реклама инъекторлары)

CSP кертү стратегиясе:

  1. Content-Security-Policy-Report-Only белән башлагыз (текстерне блокламыйча бозуларны язып барыр)
  2. 1-2 атна отчетларны мониторинг итегез
  3. Законлы чыганакларны ак кайта аласыз
  4. Теркәлгән режимга күчегез
  5. Дәвамлы бозулар өчен report-uri яки report-to өстәгез

X-Frame-Options

Сезнең сайтны башка доменнарда iframe'ларга кертелүе тоткарлый (чыгып китүне тыю).

X-Frame-Options: DENY

Яки бертөрле кертеп алырга кирәк икән:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

Браузерларны MIME-төрне сизүдән (файлларны игълан ителгән төрләреннән башка сизүдән) туктата.

X-Content-Type-Options: nosniff

Бу бер строка файлы .jpg эчендә принтланган яшерен JavaScript'ны браузер башкару мөмкинлегеннән какмый.

Referrer-Policy

Кулланучылар сезнең сайттан сылтамаларны басканнарда ничек реферер турында мәгълүмат җибәреләчәк икәнен контрольда тоту.

Referrer-Policy: strict-origin-when-cross-origin

Бу бертөрле сораулар өчен тулы URL юллый, әмма кросс-оригин сораулар өчен фәкать башлангыч (домены). Аналитик ихтыяҗларны конфиденциальлылык белән баланслый.

Permissions-Policy

Сезнең сайтта кайсы браузер функцияләренең (камера, микрофон, геолокация һ.б.) кулланырга мөмкин булуын контрольда тоту.

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

Кулланмаучы функцияләрне сүндерү өчен — өченче як сценарийлары тарафыннан зыян булдырмау.

Башлык кертү үрнәге (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

Башлык кертү (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Башлык кертү (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Тиз уңыш: Югарыда әйтелгән 5 башлыкны сервер конфигурациягезгә өстәгез. Бу 5 минутта эшләнә һәм сезнең куркынычсызлык позициягезне теләсә кайсы тикшерү коралында кичектереп яхшырта.

HSTS Алдынгы

HTTP Нык Транспорт Куркынычсызлыгы (HSTS) браузерларга сезнең доменыгыз өчен һәрвакыт HTTPS кулланырга әйтә — хәтта беренче сораудан элек. HSTS булмаса, сайтка беренче визитта HTTP кулланылырга мөмкин (искәртү зурлыгы) HSTSның редирект кылу процессыннан элек.

HSTS башлыгы:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Өч директив:

| Директива | Мәнесе | |-----------|---------| | max-age=31536000 | 1 ел вакытын истә тоту (секундларда) | | includeSubDomains | Бөтен поддоменнарга да кертелер | | preload | Браузер алдынгы исемлегенә кертүне сорау |

HSTS алдынгы исемлеге:

Иң соңгы HSTS куркынычсызлыгы. Браузерлар һәрвакыт HTTPS куллану өчен теркәлгән доменнар исемлеге белән җибәрелә. Сезнең доменыңызны hstspreload.org кызнике күрсәткәндә:

  • Беренче тапкыр кунаклар HTTPS'ны шунда ук ала (HTTP → HTTPS редиректы юк)
  • Уйнашучыларның тоташулары чоклап алынып булмый
  • Даими (бер мәртәбә җибәрелгәнгә кыен)

HSTS алдынгы өчен таләпләр:

  1. Дөрес HTTPS сертификаты
  2. HTTPʼны HTTPS'ка (поддоменнарны да кертеп) редирект итегез
  3. HSTS башлыгы белән max-age >= 31536000
  4. HSTS башлыгының includeSubDomains булу
  5. HSTS башлыгының preload булу
  6. Барлык поддоменнар HTTPS'ны поддерживать итәргә тиеш

Искәрмә: HSTS алдынгы өчен бары тик ĥәр поддомен HTTPS'ны поддерживать итсә генә submit итегез. includeSubDomains директивасы HTTP гына булган поддомен кертүне эшләмичә калдыра.

Тиз уңыш: Әгәр сез барлык поддоменнарда HTTPS куллансагыз, тулысынча HSTS башлыгын өстәгез һәм hstspreload.org'ка submission итегез. Процессинг берничә атна ала, әмма куркынычсызлык даими.

Дериҗә Тикшерү

Автоматлаштырылган дериҗә тикшерү сезнең стэкта билгеле куркынычсызлык проблемаларын булмас өчен билгеләнә.

Дериҗә тикшерү нәрсәләрне тикшерә:

  • Искә алынмый торган программалар: WordPress, плагиннар, программалау китапханәләре билгеле CVE'ләр белән
  • Ачык файллар: .env, .git, wp-config.php, мәгълүмат базасы дымы
  • Мәгълүмат дштылары: Сервер версия башлыклары, отладка режимы, стэк эзләнүләре
  • Дефолт мәгълүматлар: Рөхсәт ителми торган админ битләре, дефолт парольләр
  • Ачык портлар/сервислар: Интернетка кертелмәгән хезмәтләр
  • Инъекция ноктасы: CSRF сакламый торган формалар, валидация булмаган кертүләр

Платформа буенча гадәти дериҗәләр:

| Платформа | Топ Дериҗә | Төзәтү | |-----------|-------------|--------| | WordPress | Искә алынмаган плагиннар | Авто-яхшырту + WAF | | Shopify | Өченче як кушымталар рөхсәтләре | Кушымта исемлеген елга бер тикшерегез | | Next.js | Ачык API маршрутлары | Авторизация миддлваре + ставкаларны чикләү | | Статик сайтлар | CDN конфигурациясе | Кэш кагыйдәләрен күзәтегез | | Custom | SQL инъекциясе | Параметрлаштырылган сораулар |

Тикшерү ешлыгы:

  • Көн саен: Автоматлаштырылган өслек тесты (SSL, башлыклары, ачык файллар)
  • Атнага бер: Киреклек дериҗәсен тикшерү (npm audit, WordPress плагин тикшерүче)
  • Айга бер: Аутентификацияләнгән тест белән тирән тикшерү
  • Һәр deploy соңгында: Рейгрессион тикшерү

Тиз уңыш: npm audit (Node.js) йөгертегез яки CMS плагин исемлегендә иске компонентларны тикшерегез. Мәгълүматлы югары/критик дериҗә проблемаларын тиз арада төзәтә башлагыз.

Буталган Контент

Буталган контент, HTTPS битенең ресурсларны (сүрәтләр, сценарийлар, стильләр, iframe) HTTP аша йөкләве булганда килеп чыга. Бу шифрлауны яртыса бозучы һәм браузер кисәтүләрен эшләтә.

Буталган контентның төрләре:

| Төр | Җитди | Мисал | Браузер тәртибе | |-----|-------|-------|------------------| | Актив | Югары | HTTP сценарий, iframe, CSS | Браузерда блоклана | | Пассив | Урта | HTTP сүрәте, видео, аудио | Кисәтү белән йөкләнә |

Актив буталган контент яңартылган браузерлар тарафыннан блоклана — ягъни сезнең сценарийлар һәм стильләр гади йөкләнә алмый. Пассив буталган контент йөкләнә, әмма куркынычсызлык кисәтүләре күрсәтә.

Буталган контентны табу:

  1. Chrome DevTools'ны ачыгыз → Консоль
  2. "Буталган контент" кисәтүләрен карагыз
  3. Альтернатив рәвештә, сканер белән тикшерегез (Screaming Frog, LANGR)

Гадәти буталган контент чыганаклары:

  • Мазмунда хардкодланган http:// URL'лар (блог язмалары, товар аңлатмалары)
  • HTTP ресурсларын йөкләүче өченче як виджетлары
  • Кертелгән контент (YouTube иске кертмәләре, социаль медиа виджетлары)
  • CSS background-image HTTP URL'лар белән
  • HTTP аша йөкләнгән шрифтлар

Буталган контентны төзәтү:

<!-- Яман -->
<img src="http://example.com/image.jpg" />

<!-- Яхшы -->
<img src="https://example.com/image.jpg" />

<!-- Иң яхшысы (протокол-ритмле, бит протоколына җайлаша) -->
<img src="//example.com/image.jpg" />

Мәгълүмат базасы төзәтү (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

Тиз уңыш: Chrome'да баш битегезне ачыгыз, F12 басыгыз, Консоль вкладкасында буталган контент кисәтүләрен тикшерегез. Күренгәннәрне төзәтегез — бу Google'га турыдан-туры күренә.

Өченче Як Сценарий Рисклары

Сезнең һәр тышкы сценарий, куркынычсызлык (һәм нәтиҗәләр) ягыннан мөмкин булган җаваплылык. Өченче як сценарийлар:

  • Кулга алынган булырга мөмкин (асыл серәкханәләр)
  • Кулланучыларыгызны рөхсәтсез күзәтә ала (GDPR бозышы)
  • Сезнең сайтны акрынлата (рендер-блоклау, челтәр кыенлыгы)
  • Функциональлекне бозарга мөмкин (версия яңартулары, ачкычлар)
  • Кирәксез контент инъекцияләү (реклама сценарийларының боза)

Өченче як сценарийларыгызны тикшерегез:

| Сценарий | Кирәкме? | Риск дәрәҗәсе | Альтернатива | |-----------|----------|---------------|--------------| | Google Analytics | Күп тапкырларда кирәк | Түбән | Сервер ягыннан күзәтү | | Чат виджетлары | Бәлкем | Урта | Үз-үзен хостинг итүче чишелешләр | | Социаль бүлешү төймәләре | Кулланмыйча | Урта | Статик бүлешү сылтамалары | | A/B тестлау | Бәлкем | Югары | Сервер ягыннан тестлау | | Ретаргетинг пикселлары | Бизнес карары | Югары | Беренче як мәгълүмат | | Шрифт CDNs | Уңайлы | Түбән | Шрифтларны үз-үзен хостинг итү |

Мөһим өченче як сценарийлары өчен рискны киметү:

  1. Subresource Integrity (SRI): Хэш верификациясе тузанлы сценарийларның йөкләнмәвен тәэмин итә
<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>
  1. CSP чикләүләре: Бердәнбер доменнардан сценарийларга гына рөхсәт итегез
  2. Sandboxed iframe'лар: Өченче як виджетларын бүлдерегез
  3. Регуляр аудитлар: Ел саен барлык тышкы ресурсларны карагыз
  4. Мониторинг: Сезнең битләрегездә яңа тышкы доменнар барлыкка килгәндә хәбәр итегез

Тиз уңыш: Сезнең HTML'да тышкы доменнан йөкләнүче һәр