SEO指南第7步：安全性

这是13步SEO指南的第7步。安全不仅保护你的用户，也保护你的搜索排名——被黑客入侵的网站会被Google迅速降权。

---

网站安全与SEO的关系比大多数人想象的更密切。Google会积极检测被入侵的网站，并在搜索结果中标记安全警告（"此网站可能已被黑客入侵"）。一旦出现这种标记，你的点击率会瞬间归零。

更隐蔽的是，即使没有被入侵，缺乏基本安全配置的网站也会错过排名加分——Google将安全性作为"良好网站"的信号之一。

1. SSL/TLS配置优化

HTTPS是基础，但仅仅有SSL证书是不够的。配置也很重要。

SSL配置检查清单：

| 检查项 | 要求 | 风险 | |--------|------|------| | 证书有效性 | 未过期，CA可信 | 过期=浏览器警告=流量丢失 | | TLS版本 | 最低TLS 1.2 | TLS 1.0/1.1已弃用且不安全 | | 证书链完整 | 包含中间证书 | 部分浏览器/爬虫连接失败 | | SAN覆盖 | 包含所有域名变体 | www/非www混合内容错误 | | 密码套件 | 现代化AEAD密码 | 弱密码被浏览器标记 | | OCSP装订 | 已启用 | 减少证书验证延迟 |

Nginx SSL最佳配置：

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
ssl_prefer_server_ciphers off;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
ssl_stapling on;
ssl_stapling_verify on;

速赢技巧： 使用 SSL Labs 测试你的SSL配置。目标是获得A或A+评级。

2. 安全响应头

安全响应头告诉浏览器如何处理你的内容，防止各类攻击。缺少这些头部虽然不会直接影响排名，但会影响Google对你网站安全性的整体评估。

关键安全头部：

| 头部 | 作用 | 推荐值 | |------|------|--------| | Strict-Transport-Security | 强制HTTPS | max-age=31536000; includeSubDomains; preload | | X-Content-Type-Options | 防止MIME嗅探 | nosniff | | X-Frame-Options | 防止点击劫持 | SAMEORIGIN | | Referrer-Policy | 控制引用信息 | strict-origin-when-cross-origin | | Permissions-Policy | 限制浏览器功能 | 按需配置 | | Content-Security-Policy | 防止XSS攻击 | 白名单模式 |

Next.js安全头配置示例：

// next.config.js
const securityHeaders = [
  {
    key: 'Strict-Transport-Security',
    value: 'max-age=31536000; includeSubDomains; preload'
  },
  {
    key: 'X-Content-Type-Options',
    value: 'nosniff'
  },
  {
    key: 'X-Frame-Options',
    value: 'SAMEORIGIN'
  },
  {
    key: 'Referrer-Policy',
    value: 'strict-origin-when-cross-origin'
  }
];

3. 内容安全策略（CSP）

CSP是最强大的安全头部之一，它定义了浏览器可以加载资源的来源白名单。

CSP基础策略：

Content-Security-Policy:
  default-src 'self';
  script-src 'self' https://www.googletagmanager.com;
  style-src 'self' 'unsafe-inline';
  img-src 'self' data: https:;
  font-src 'self';
  connect-src 'self' https://www.google-analytics.com;
  frame-ancestors 'self';

CSP部署策略：

1. 先使用 Content-Security-Policy-Report-Only 模式收集违规报告
2. 分析报告，将合法来源添加到白名单
3. 切换到强制模式
4. 持续监控并调整

常见陷阱：

• unsafe-inline 和 unsafe-eval 会大幅降低CSP的保护效果
• 内联脚本需要使用nonce或hash
• 第三方脚本（广告、分析）可能需要额外的源配置

4. HSTS（HTTP严格传输安全）

HSTS告诉浏览器始终通过HTTPS连接，防止SSL降级攻击。

部署步骤：

1. 确保所有HTTP流量正确重定向到HTTPS
2. 设置HSTS头部：max-age=31536000; includeSubDomains
3. 测试至少一个月无问题
4. 添加 preload 指令并提交到 HSTS Preload List

HSTS预加载清单：

• 被Chrome、Firefox、Safari、Edge内置
• 浏览器甚至不会尝试HTTP连接
• 提供最高级别的HTTPS保护
• 移除需要谨慎（需要等待max-age过期）

5. 漏洞扫描

定期扫描网站漏洞能帮助你在黑客之前发现问题。

常见网站漏洞：

• 过时的CMS版本（WordPress、Drupal等）
• 已知漏洞的插件/主题
• 暴露的管理员入口
• SQL注入点
• 跨站脚本（XSS）注入点
• 敏感文件泄露（.env、备份文件、SQL转储）

安全扫描清单：

• 检查 .env、.git、wp-config.php 等敏感路径是否可访问
• 确保管理后台不在默认URL（如 /admin、/wp-admin）
• 检查是否有目录列表暴露
• 验证表单输入是否有服务器端验证
• 检测是否有过时的JavaScript库（有已知漏洞）

自动化安全检查脚本示例：

# 检查敏感文件是否可访问
for path in ".env" ".git/config" "wp-config.php" "backup.sql"; do
  status=$(curl -s -o /dev/null -w "%{http_code}" "https://yourdomain.com/$path")
  if [ "$status" = "200" ]; then
    echo "警告: /$path 可被公开访问!"
  fi
done

安全性速赢清单

• [ ] SSL Labs测试达到A级或以上
• [ ] 启用HSTS（max-age至少1年）
• [ ] 设置X-Content-Type-Options: nosniff
• [ ] 设置X-Frame-Options: SAMEORIGIN
• [ ] 实施基础CSP策略
• [ ] 确保所有敏感文件返回403/404
• [ ] 更新所有软件到最新版本
• [ ] 管理后台启用双重认证
• [ ] 定期运行安全漏洞扫描
• [ ] 设置安全事件告警通知

下一步

网站安全了，接下来需要关注一个全新的前沿领域：AI搜索的可见性。随着AI Overview和聊天机器人搜索的崛起，传统SEO不再是唯一的流量入口。

继续阅读第8步：AI可见性 →

---

LANGR的安全审计模块检查SSL配置、安全头部、敏感文件暴露和已知漏洞——帮你在问题影响排名之前修复它们。

免费分析你的网站 →