Saugumo antraštės jūsų svetainei: geras saugumui ir SEO

Čia sužinosite, ką reiškia Saugumo antgaliai, kaip jie veikia ir kodėl jie yra svarbūs jūsų Svetainės saugumui, taip pat kaip jie prisideda prie jūsų SEO priemonių apsaugos.

Saugumo antgalių pagalbos straipsnyje yra aptariami šie klausimai:

Kas yra Saugumo antgaliai?

Saugumo antgaliai yra HTTP antraštės, kurias naudojamos tinklalapiuose ir internetinėse programose siekiant pagerinti saugumą ir apsaugą nuo įvairių atakų ir saugumo spragų. Jie suteikia svarbų saugumo lygmenį, kad būtų apsaugoti tiek vartotojai, tiek duomenys nuo grėsmių. 

Jei jūsų domina, ar jums tai iš viso reikia, galite patikrinti esamą saugumą naudodamiesi internetiniu įrankiu. Tai galima padaryti naudojant securityheaders.com. Įveskite ten savo URL.

Galisite gauti rezultatą D arba F. Dauguma tinklalapių pradiniais etapais gerai neveikia, nes daugeliui kūrėjų ir agentūrų tinklalapių kūrimo ar atnaujinimo metu saugumas nėra prioritetinis klausimas. Kaip implementuoti saugumo antgalius sužinosite žemiau. Bet jau žinote, kad būtina imtis veiksmų.

Kaip veikia Saugumo antgaliai?

Saugumo antgaliai yra dalis HTTP atsakymo, kurį internetinis serveris siunčia į naršyklę, kai siunčiamas užklausimas tinklalapiui ar internetinei programai. Šios antraštės turi nurodymus ir informaciją, pranešančią naršyklei, kaip ji turėtų elgtis saugumo ir privatumo atžvilgiu. Čia pateikiami keli svarbūs saugumo antgaliai ir jų veikimas:

HTTP Griežta Transporto Saugumo (HSTS)

HSTS įpareigoja naršyklę užmegzti ir palaikyti tinklo saitą per HTTPS, kad būtų užkirstas kelias Tarpusavyje stovintys atakos. 

Daugeliui tinklalapių yra nustatyta tik 301 peradresavimas nuo HTTP į HTTPS. Daugybė nuorodų tinkalapio turinyje vis dar nurodytos kaip HTTP. Jei kažkas paspaudžia ant tokios nuorodos, bus atidarytas pirma HTTP puslapis ir tuomet įsijungs 301 peradresavimas. Arba, jei tiesiog įrašote jūsų-domenas.com į naršyklę, kad pasiektumėte tinklalapį, be HTTPS dalies įvedimo, kas tikriausiai daugeliui, gali atsirasti galimybė Tarpusavyje stovimam atakai. 

HSTS užkerta kelią tų, kurie bando sumažinti HTTPS saitą į HTTP saitą, kuris leistų išnaudoti nesaugius peradresavimus. Taigi jis priverčia įsijungti per saugų HTTPS saitą.

X-Turinio-Tipo-Parinktys

Šiame antraštyje nurodoma, ar naršyklė siekia atspėti išteklių MIME tipą, jei nurodytas tipas yra neteisingas. Tai padeda užkirsti kelią MIME klastoti, nes bus įkelti tik stiliai ir scenarijai su teisingu MIME tipu. Trumpai tariant, naršyklės „išsnifavimas“ gali padėti nustatyti, ar turinys yra tekstas, paveikslėlis (.png), vaizdo įrašas (.mp4) arba HTML, JavaScript ir kitos rūšys turinio, kurios gali būti atsisiunčiamos iš tinklalapio.

„X-Turinio-Tipo-Parinktys: nosniff“ naudojimas yra svarbus saugumo priemonė, nes padeda užkirsti kelią tam tikriems atakos vektoriams, tokiems kaip Kryžminė svetainių skriptavimo (XSS) atakos. XSS atakose – žr. taip pat žemiau – negandų kyla, kai atakintojas bando įkelti kenksmingą JavaScript kodą į išteklius, pvz., PDF, kad apgautų naršyklę, jog tai yra PDF, ir tada nuramintų ją įvykdyti failą kaip JavaScript, net jei MIME tipas tikriausiai nurodo kažką kita, čia yra PDF.

Tai turi nemažai neigiama įtakos tinklalapio lankytojui, ypač esant vadinamajai automatinės programinės įrangos atsisiuntimo atakai, kuomet virusai įdiegiami aplankymo metu.

„Nosniff“ naudojimas yra ypač svarbus kartu su kitomis saugumo priemonėmis, pvz., Turinio Saugumo Politika (CSP), kad būtų padidinta internetinių programų sauga ir sumažinta saugumo spraga. Ši antraštė, įprastai turėtų būti įjungta visiems ištekliams (pvz., HTML, JavaScript, CSS failams) visame tinklalapyje esančiuose HTTP atsakymuose.

X-Kadro-Parinktys

Ši antraštė neleidžia tinklalapiui būti rodomam HTML rėme arba iframe, kad būtų išvengta paspaudimo žūties atakų. „X-Kadro-Parinktys“ naudojimas yra svarbi saugumo priemonė, kuri padeda išvengti paspaudimo žūties atakų, kuomet atakintojas bando įkelti tinklalapį į nematomą rėmą ir išnaudoti naudotojo spustelėjimus. Nustatant antraštę, tinklalapių operatoriai gali kontroliuoti, kaip jų tinklalapis yra įdėtas į rėmus.

Verta paminėti, kad „X-Kadro-Parinktys“ laikoma senesne paspaudimo žūties prevencijos metodu. Modernesnis požiūris būtų naudoti „Turinio Saugumo Politikos“ antraštę (CSP), kuri taip pat gali apsaugoti nuo paspaudimo žūties ir papildomai apimti kitus saugumo aspektus. Kaip tai veikia, sužinosite vėliau.

X-KSŠ-Apsauga

Ši antraštė įjungia arba išjungia įmontuotą naršyklės XSS apsaugą. 

Referrer-Policy

"Referrer-Policy" yra HTTP antraštė, kurią siunčia serveris, nurodydama, kaip naršyklė turėtų tvarkyti informaciją apie HTTP užklausų "Referrer" lauke. "Referrer" yra HTTP antraštės laukas, paprastai nurodantis ankstesnės puslapio URL, iš kurio vartotojas nukeliavo į dabartinį puslapį. "Referrer-Policy" suteikia galimybę svetainių savininkams kontroliuoti Referrer informacijos perdavimą kitoms svetainėms ir apsaugoti vartotojų privatumą. Svarbus dalykas visiems, kurie internete užsidirba pinigų savo turiniu: Referrer-Policy neturi įtakos partnerystės nuorodoms.

Svetainės saugumo politika (CSP)

CSP antraštės nurodo, iš kurių šaltinių galima įkelti išteklius (pvz., skriptus, paveikslėlius ir stilius). Tai padeda užkirsti kelią tarppusėms skriptų injekcijoms (XSS), kodo injekcijoms ir panašioms atakoms. 

XSS atakos yra sukuriamos naudojant saugumo spragą jūsų CMS arba karkase, kad būtų įkelti kenksmingi skriptai į jūsų svetainę, kurie tada būna įkelti į jūsų svetainės lankytojo naršyklę. XSS atakų anga gali būti, pavyzdžiui, el. pašto forma, kuri nėra užkoduota taip, kad tikėtasi tik riboto įvedimo. Blogai užkoduota forma gali leisti įvairius įvedimus, kurie tada gali patekti į kenksmingų failų įkėlimą. Tai, beje, yra viena iš priežasčių, kodėl kaip agentūra daugelis klientų projektų įrengiame be jokio kontaktinio formos, nes dažniausiai jie be to puikiai išsiveis.

Jūs savo CSP antraštėje nustatote baltąjį sąrašą su domenais, kurie jūsų svetainė gali įkelti ir ką gali. Kiekvienas šalutinis asmuo, įkeliantis kenksmingus skriptus iš kitos serverio vietos, neįtrauktos į šią patikimą grupę, bus blokuotas. 2016 m. gruodžio mėn. buvo toliau plėtojama Svetainių saugumo politika su CSP 2 lygiu, kuris pridėjo hash-source, nonce-source ir penkias naujas direktyvas. Naršyklės prasme dėl to nesitikima jokių problemų. Spalio 11 d. 2023 d. CSP 2 yra suderinama su 95 proc. visų naršyklių.

Sukurti Svetainės saugumo politiką gali būti stipri arba silpna, priklausomai nuo to, kaip ją sukuriate. Mūsų TutKit.com tinklalapyje tai iš tikrųjų buvo ilgiausiai trunkantis visų antraščių procesas, nes visi skriptai ir ištekliai turi būti išvardyti, kad juos būtų galima įtraukti į baltąjį sąrašą. Ar tinkamai įtraukti galite patikrinti per securityheaders.com, naudojant Mozilla Observatory ir taip pat per Google PageSpeed Insights skirsnį Apie geriausias praktikas. Naudai skirtas Mozilla paslaugos privalumas yra tas, kad jūsų URL kartu bus patikrintas ir kitais išoriniais testavimo įrankiais. Jei vienas iš jų sako, kad yra problemų, galite giliau jas ištirti ten.

Kodėl saugumo antraštės yra svarbios?

Saugumo antraštės yra svarbios, nes jos prisideda mažinti svetainių ir internetinių programų atakų paviršių bei užkirsti kelią žinomoms saugumo spragoms. Davę naršyklėms instrukcijas, kaip elgtis dėl saugumo, jie gali padėti užkirsti kelią arba bent jau apsunkinti įvairioms atakoms. Tai apima XSS atakas, Clickjacking, MIME-Spoofing ir kitas saugumo problemas.

Interneto parduotuvės, kurios saugo, perduoda ar vykdo kreditinių kortelių sandorius, turi būti suderintos su PCI-DSS. Daugelis PCI-DSS audito patikrina ir aktyvuotą HSTS (HTTP griežto transportavimo saugumo), ir kitas saugumo antraštes. Jei jūsų svetainė yra įtraukta į PCI laikymąsi, t.y. jei vykdate kreditinių kortelių mokėjimus, ir jūsų mokėjimų paslaugų teikėjas iš jūsų tikisi PCI sertifikavimo bei iš jūsų reikalauja jį patvirtinti per testą/audity, saugumo antraščių įtraukimas taps jums aktualiu.

Kaip trečias pagrindas, saugoma taip pat jūsų vartotojų patirtis, kas teigiamai veikia jūsų SEO priemones. Apie tai daugiau žemiau.

Kaip įgyvendinti saugumo antraštės?

Saugumo antraščių įgyvendinimas paprastai reikalauja konfigūracijos pakeitimų serveryje arba programinės įrangos lygyje. 

1. Pirmiausia nustatykite reikalingas saugumo antraštes: Apgalvokite, kurios saugumo antraštės yra svarbiausios jūsų svetainei ar internetinei programai. Pasirinkimas priklauso nuo jūsų konkretaus poreikio ir grėsmių. Jei turite tik vienos puslapio be slapukų ir kontaktinės formos, pagrįstos tik HTML, rizika bus mažesnė nei parduotuvės atveju su slapukais, kreditinės kortelės duomenų perdavimu, kliento duomenimis ir CMS.

2. Sukonfigūruokite serverį: Daugumą saugumo antraščių galite pridėti pakeisdami savo serverio konfigūraciją. Pavyzdžiui, Apache serveriai gali sukonfigūruoti antraštės .htaccess faile, o Nginx naudoja konfigūracijos failą nginx.conf ar sites-available.

3. Nustatykite antraštes HTTP atsakyme: Antraštės turėtų būti nustatomos jūsų svetainės ar internetinės programos HTTP atsakyme. Paprastai tai galima padaryti naudojant serverio modulius, skriptus ar tarpinę programinę įrangą.

4. Patikrinkite įgyvendinimą: Įtaisę saugos antraštes, kruopščiai patikrinkite savo svetainę ar internetinę programą, kad įsitikintumėte, jog viskas veikia kaip tikimasi. Taip pat yra internetinių įrankių, pvz., Security Headers ir Mozilla Observatory, kurie gali analizuoti jūsų svetainės saugumo konfigūraciją.

5. Laikykite antraštės atnaujintas: Reguliariai stebėkite ir atnaujinkite saugumo antraštes, kad būtumėte tikri, jog jos atitinka dabartines gerąsias praktikas ir yra apsaugotos nuo naujų grėsmių.

Tiksli saugos antraščių įgyvendinimo procedūra gali skirtis priklausomai nuo serverio technologijos ir platformos, todėl būtina pasitikrinti jūsų serverio ir internetinės programos dokumentaciją arba gavus būtiną profesionalią pagalbą. Žemiau pateikiama instrukcija, kaip tai galima įgyvendinti su Apache ir Nginx serveriais. Ne programuotojams tai serverio pusėje, deja, nėra taip paprasta kaip konfigūruojant su „WordPress“ įskiepiu.

Saugos antraščių įterpimas naudojant .htaccess failą Apache serveriuose

Saugos antraščių pridėjimas per .htaccess failą yra dažnai naudojamas būdas pagerinti svetainės saugumą „Apache“ webserveryje. .htaccess failas leidžia nustatyti serverio lygio nuostatas ir konfigūracijas, įskaitant saugos antraštes. Čia yra palaipsniui instrukcija, kaip galite įterpti saugos antraštes per .htaccess failą:

Sukurkite atsarginę kopiją: Saugokite savo svetainę ir padarykite atsarginę kopiją .htaccess failo, prieš pradedant keisti, kad užtikrintumėte, jog svetainė netaptų prieinama nežinomai.

Atidarykite savo .htaccess failą: .htaccess failą dažniausiai rasite savo „WordPress“ įdiegimo pagrindiniame kataloge. Jį galite atidaryti teksto redaktoriumi, tokiais kaip „Notepad++“, „Dreamweaver“, „PHP Storm“ ar „Visual Studio Code“.

Pridėkite saugos antraštes: Norėdami pridėti saugos antraštes, naudokite Header nurodymą savo .htaccess faile. Čia pateikiama keletas pavyzdžių dažnai naudojamų saugos antraščių ir kaip jas įdėti:

Turinio saugumo politika (CSP):

Header always set Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src 'self' data:; style-src 'self' 'unsafe-inline';"

X-Turinio tipo parinktys:

Header always set X-Content-Type-Options "nosniff"

X-Rėmelio parinktys:

Header always set X-Frame-Options "DENY"

X-XSS-Apsauga:

Header always set X-XSS-Protection "1; mode=block"

HTTP Griežtaus transporto saugumo (HSTS):

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

Referrer-Policy:

Header always set Referrer-Policy "strict-origin-when-cross-origin"

Išsaugokite .htaccess failą: Po norimų saugos antraščių pridėjimo, išsaugokite .htaccess failą ir įkelkite jį į savo webserverį, jei tai būtina.

Patikrinkite konfigūraciją: Užtikrinkite, kad neturite sintaksės klaidų .htaccess faile, naršydami svetainę ir stebėdami galimas klaidas. Taip pat galite naudoti internetinius įrankius, kad patikrintumėte savo saugos antraščių veiksmingumą.

Patikrinkite savo svetainę: Kruopščiai patikrinkite savo svetainę, kad užtikrintumėte, jog visos funkcijos veikia tinkamai ir kad saugos antraščių nustatytos norimos saugumo priemonės.

Pastaba, kad saugos antraščių pridėjimas per .htaccess failą veikia tik „Apache“ serveriuose. Jei naudojate kitą webserverį, tokį kaip „Nginx“, turėsite redaguoti atitinkamas konfigūracijos failus šiam webserveriui, kad galėtumėte nustatyti saugos antraštes. Apie tai daugiau žemiau ...

Saugumo antraštė „Nginx“ serveriuose įterpti

Saugos antraščių pridėjimas „Nginx“ atliekamas per „Nginx“ konfigūracijos failus, įprastai .conf priedų failo forma. Čia pateikiama palaipsniui instrukcija, kaip įterpti saugos antraštes į „Nginx“:

Atlikite atsarginę kopiją: Prieš keisdami savo „Nginx“ konfigūraciją turėtumėte sukurti atsarginę kopiją konfigūracijos failų, kad galėtumėte sugrįžti prie veikiančios konfigūracijos, jei kiltų problemų.

Atidarykite „Nginx“ konfigūracijos failą: Pagrindinį „Nginx“ konfigūracijos failą dažniausiai galima rasti kataloge, pvz., /etc/nginx/ Linux sistemose. Tikslus failas gali skirtis nuo sistemos iki sistemos, bet jis dažniausiai yra vadinamas nginx.conf arba default arba sites-available kiekvienai svetainei.

Naudokite teksto redaktorių arba komandinės eilutės redaktorių (pvz., nano, vim ar gedit), kad atidarytumėte konfigūracijos failą. Norėdami redaguoti failą, turite turėti šaknies arba super vartotojo teises.

Pridėkite norimus saudalaužio antraštės: Jūs galite pridėti norimas saudalaužio antraštes naudodami add_header direktyvas į savo Nginx konfigūraciją. Čia yra keli dažnai naudojami saudalaužio antraštės pavyzdžiai:

Turinio Saugumo Politika (CSP):

add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src 'self' data:; style-src 'self' 'unsafe-inline';";

X-Turinio-Tipo-Parinktys:

add_header X-Content-Type-Options "nosniff";

X-Frame-Options:

add_header X-Frame-Options "DENY";

X-XSS-Apsaugavimas:

add_header X-XSS-Protection "1; mode=block";

HTTP Griežtas Persiuntimo Saugumas (HSTS) (Dėmesio: naudokite tik tada, kai jūsų svetainė yra visada pasiekiama per HTTPS):

add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";

Peradresavimo-Politika:

add_header Referrer-Policy "strict-origin-when-cross-origin";

Išsaugokite ir uždarykite konfigūracijos failą: Kai pridėjote norimas antraštes, išsaugokite konfigūracijos failą ir uždarykite jį.

Dabar patikrinkite konfigūraciją: Nginx konfigūracijos galiojimą galite patikrinti naudodami nginx -t komandą. Jei konfigūracija yra teisinga, turėtumėte matyti sėkmės pranešimą.

Paleiskite arba atnaujinkite Nginx: Patikrinę konfigūraciją, paleiskite arba atnaujinkite Nginx serverį, kad naujos antraštės būtų aktyvuotos. Serverį galite perkrauti naudodami komandą sudo service nginx restart (Debian/Ubuntu sistemose) arba sudo systemctl restart nginx (sistemos, pagrįstos systemd, atveju).

Testuokite savo svetainę: Patikrinkite savo svetainę, kad įsitikintumėte, jog visi funkcijos veikia teisingai ir kad saudalaužio antraštės įgyvendina norimas saugumo priemones.

Atkreipkite dėmesį, kad Nginx konfigūracija gali skirtis nuo sistemos iki sistemos, ypač jeigu naudojate kelis virtualius prižiūrintus (serverio blokus) ar sudėtingesnę konfigūraciją. Taigi, įsitikinkite, kad redaguojate tinkamą konfigūracijos failą, kuris priklauso jūsų svetainei.

Įskiepiai skirti WordPress saudalaužio antraštėms

Yra įvairūs „WordPress“ įskiepiai, kurie gali padėti jums nustatyti saudalaužio antraštes jūsų „WordPress“ svetainėje. Šie įskiepiai palengvina saugumo priemonių įgyvendinimą, net jei neturite gilių techninių žinių.

„Headers Security Advanced & HSTS WP“ įskiepis yra specialiai sukurtas saugumo antraštėms ir HTTP Griežtam Persiuntimo Saugumui (HSTS) įgyvendinti „WordPress“ svetainėse. Jis teikia naudotojui draugišką būdą konfigūruoti šias antraštes ir saugumo priemones.
https://de.wordpress.org/plugins/headers-security-advanced-hsts-wp/

Čia yra keletas kitų WordPress įskiepių, kurie gali padėti jums su saudalaužio antraštėmis:

1. „WP Security Headers“: Šis įskiepis leidžia jums konfigūruoti įvairias saudalaužio antraštes jūsų „WordPress“ svetainėje. Jis teikia naudotojui draugišką sąsają ir leidžia jums pritaikyti antraštes, pavyzdžiui, Turinio Saugumo Politiką (CSP), X-Frame-Options ir daugiau.

2. „HTTP Headers“: „HTTP Headers“ yra įskiepis skirtas „WordPress“, leidžiantis jums nustatyti įvairius HTTP antraštes dėl didesnio saugumo ir privatumo. Naudojant šį įskiepį galite konfigūruoti antraštes, tokius kaip X-Turinio-Tipo-Parinktys, X-XSS-Apsaugavimas ir Peradresavimo-Politika.

3. „Security Headers“: Šis įskiepis specializuojasi į Turinio Saugumo Politikos (CSP) nustatymą. Jis teikia paprastą būdą nustatyti ir pritaikyti CSP politiką jūsų svetainei.

4. „Easy Security Headers“: Šis įskiepis teikia paprastą būdą aktyvuoti ir konfigūruoti svarbias saudalaužio antraštes „WordPress“. Jis apima antraštes, tokias kaip Turinio Saugumo Politika, Griežtas Persiuntimo Saugumas ir X-Turinio-Tipo-Parinktys.

Prieš naudodami įskiepį saudalaužio antraštėms nustatyti „WordPress“, įsitikinkite, kad jis suderinamas su jūsų „WordPress“ versija ir jūsų PHP versija.

Saudalaužio antraštės „Headless“ CMS „Strapi“ įgyvendinimas

„Strapi“ yra populiarus „Headless“ CMS (Turinio Valdymo Sistema), paremta „Node.js“. Panašiai kaip „WordPress“, „Strapi“ taip pat suteikia galimybę įgyvendinti saudalaužio antraštes. Tačiau „Strapi“ saudalaužio antraščių konfigūracija paprastai vyksta gilesniu lygmeniu, nes tai yra serverinė programa. Čia yra žingsniai, kaip nustatyti saudalaužio antraštes „Strapi“ taikomoje programoje:

Vartotojų tarpinį išnaudoti: „Strapi“ galite naudoti vartotojų tarpinę, kad nustatytumėte HTTP antraštes. Galite sukurti individualią vartotojų tarpinę, kuri pridės reikiamus saugumo antraštes į HTTP atsakymus. Čia pateikiamas pavyzdys, kaip tai galima padaryti:

1. Sukurkite failą, pvz., security-headers.js, savo vartotojų tarpinės kataloge

module.exports = (strapi) => {
return {
initialize() {
strapi.app.use(async (ctx, next) => {

2. Nustatykite norimas saugumo antraštes

ctx.set('Content-Security-Policy', "default-src 'self'"); ctx.set('X-Content-Type-Options', 'nosniff'); ctx.set('X-Frame-Options', 'DENY'); ctx.set('X-XSS-Protection', '1; mode=block'); ctx.set('Strict-Transport-Security', 'max-age=63072000; includeSubDomains; preload'); ctx.set('Referrer-Policy', 'strict-origin-when-cross-origin');

3. Iškvieskite sekančią vartotojų tarpinės dalį

await next(); 
}); 
},
};
};

Vartotojų tarpinę registruoti: Sukūrus vartotojų tarpinę, ją turite užregistruoti savo „Strapi“ programos middleware.js faile, kad būtų užtikrinta jos vykdymas kiekvienam HTTP užklausimui.

module.exports = {
settings: {

Kiti nustatymai ...

},
middleware: {

securityHeaders: { 
enabled: true, 
},
},
};

Adaptuoti ir testuoti: Pasirinkite vartotojų tarpinės antraščių reikšmes pagal savo reikalavimus. Užtikrinkite, kad antraštės būtų tinkamai nustatytos, patikrindami programą ir naudodami įrankius, tokius kaip Saugumo antraščių tikrintuvas.

Patikrinti serverio konfigūraciją: Be vartotojų tarpinės nustatymo „Strapi“, svarbu užtikrinti, kad jūsų svetainės serveris (pvz., „Nginx“ arba „Apache“), jei yra, nenustatytų prieštaringų antraščių, kurios galėtų perrašyti nustatytas „Strapi“ antraštes.

Tikslus įgyvendinimas gali skirtis priklausomai nuo jūsų „Strapi“ nustatymų ir serverio. Alternatyvus įgyvendinimas taip pat galimas per config/app.js „Strapi“ CMS. Tačiau keliavimas per vartotojų tarpinę leidžia jums gauti daugiau sąsajos ir lankstumo.

Štai kaip tai atrodo mūsų agentūros svetainėje 4eck-media.de, kuri naudoja „Headless CMS Strapi“:

Testavimo įrankiai saugumo antraštėms ir svetainių saugumo spragoms

Kai jau implementavote saugumo antraštes, būtinai atlikite funkcijų testą su savo svetaine naudodami skirtingus naršykles ir galvutes įrenginius. Taip pat naudokite šiuos du testavimo įrankius, kad patikrintumėte, ar viskas teisingai įtraukta:

• securityheaders.com => šis įrankis yra skirtas saugumo antraštėms. Žr. aukščiau pateiktą ekrano kopiją.
• securityscan.getastra.com => šis įrankis testuoja daugiau nei 140 saugumo spragų, įskaitant ir saugumo antraštes.

Dabar, atlikę sveikatos patikrinimą per https://securityscan.getastra.com/, gavome 90/100 vertę „tutkit.com“:

Matote, kad yra dar kažkiek vietos koregavimams, nors viskas gerai. Tai susiję su tam tikrais moduliais, kurie išduoda JavaScript kitaip nei saugumo reikalavimai nurodo. Mūsų JavaScript karkasų vue.js ir Laraberg modulių iš „TutKit.com“ kitu pagrindiniu atnaujinimu jau pasirūpinsime tuo.

Ar saugumo antraštės turi prasmės SEO (paieškos sistemos optimizavimui)?

Štai sąsajos tarp saugumo antraščių ir SEO (paieškos sistemos optimizavimo) ryšys, nors šis ryšys yra labiau netiesioginis.

Google 2020 m. gegužės mėn. paskelbė, kad 2021 m. „Page Experience“ apima septynis skirtingus veiksnius ir sudaro bendrą vaizdą apie svetainės kokybę.

HTTPS ir saugus naršymas patenka į pagrindinius veiksnius, kurie teikia palankius signalus „Page Experience“. Naudodami HTTPS taip pat gausite „Google“ nurodytą reitingavimo veiksnį. Tai taip pat buvo taikoma pradžioje „Saugus naršymas“. FAQ 2021 m. rugpjūčio mėn. „Google“ atsisakė šio teiginio ir paskelbė, kad saugus naršymas neberūpi kaip reitingavimo veiksnys, kadangi daugelis svetainių savininkų negali apsisaugoti nuo įsilaužimo. 

Be to, „Google“ svetaines vertina aukščiau, kurios atitinka EEAT principą, tai yra turinys, patvirtintas pagal kompetenciją, patirtį, autoritetą ir patikimumą. Patikimumas susijęs su svetainės ar svetainių turinio patikimumu ir patikimumu. „Google“ vertina patikimumą, atsižvelgdama į veiksnius, tokius kaip privatumas, saugumas ir skaidrumas.

Kaip tiksliai Saugumo antraštės su SEO susiję, galima apibrėžti penkias HTTP antraščių naudos jūsų svetainei ir jūsų svetainės lankytojams:

1. Pasitikėjimas ir saugumas: Svetainė, naudojanti saugumo antraštę, signalizuoja lankytojams ir paieškos sistemoms, kad ji rūpinasi savo vartotojų ir duomenų saugumu. Tai gali sustiprinti vartotojų pasitikėjimą svetaine ir sumažinti saugumo problemų, tokių kaip duomenų nutekėjimai ir kenkėjiški programinės įrangos įsiveržimai, riziką.

2. Saugumo problemų vengimas: Saugumo antraštės, tokios kaip turinio saugumo politika (CSP) ir X-XSS-Protection, padeda užkirsti kelią žinomoms saugumo spragoms, tokoms kaip Cross-Site Scripting (XSS). Svetainės, jautrios saugumo problemoms, gali būti nubaudžiamos paieškos sistemų arba lankytojams gali būti rodomos įspėjimo žinutės, kas gali neigiamai paveikti SEO.

3. Gerinami įkrovimo laikai: Kai kurios saugumo antraštės, tokios kaip HTTP griežtas transporto saugumas (HSTS), gali prisidėti prie svetainės įkrovimo laikų gerinimo, nes jos priverčia narį nustatyti ryšį per HTTPS. Greitesnis įkrovimo laikas yra svarbus SEO faktorius, nes paieškos sistemos, pvz., „Google“, įvertina įkrovimo laiką kaip reitingo kriterijų.

4. „Clickjacking“ ir Phishing prevencija: Saugumo antraštės, tokios kaip X-Frame-Options, gali padėti užkirsti kelią „Clickjacking“ atakoms, kuomet svetainės turinys rodomas nematomame rėme. Tai gali padidinti vartotojų pasitikėjimą svetaine ir sumažinti Phishing atakų tikimybę.

5. HTTPS ir reitingas: Nors tiesiogiai nesusiję su saugumo antraštėmis, HTTPS naudojimas (skatinamas saugumo antraštėmis, tokiose kaip HSTS) yra svarbus SEO veiksnys. „Google“ jau 2010 metais pranešė, kad jis įvertins HTTPS kaip reitingo signalą, o svetainės su HTTPS gali turėti SEO pranašumą.

Saugumo antraštės naudojimas mano nuomone gali teigiamai paveikti svetainės SEO reitingą, tačiau jos nėra vienintelis kriterijus, o tik labai maža bendros saugumo ir SEO lygties dalis. Svetainė, kuri siūlo nereikšmingą turinį arba nepakankamą vartotojo patirtį, nepagerės vien dėl saugumo antraščių pridėjimo paieškos rezultatuose. SEO yra sudėtingas procesas, apimantis daug veiksnių, įskaitant aukštos kokybės turinį, gerą vartotojo patirtį, mobiliąją optimizaciją ir daug kitų. Tačiau saugumo antraštės yra svarbi sudedamoji dalis, siekiant užmegzti vartotojų pasitikėjimą ir padaryti svetainę bendrai saugesnę, kas galiausiai gali teigiamai paveikti SEO reitingą.

Arba atvirkščiai: Jei jūsų svetainė užkrėsta kenkėjiška programine įranga ir „Google“ praneša svetainės lankytojams apie įspėjimą, tai tiesiogiai neigiamai paveiks jūsų reputaciją. Jūsų reitingas nukris, ir taip pat visas jūsų iki šiol pasiekti SEO sėkmės. Svetainės savininkas taip pat gaus pranešimą iš „Google“ apie šį atvejį per paieškos konsolę. Alternatyviai galite čia patikrinti savo svetainę dėl kenkėjiškos programinės įrangos įsivėlimo.

Mes bent jau didžiuojamės, kad, atlikdami saugumo „spurtą“, atnaujinome savo saugumo antraštės iki moderniausios būsenos. Ir taip pat mes patekome į Garbės salę:

Išvada: Saugumo antraščių įdiegimas nėra raketų mokslas ir turėtų būti įtrauktas į kiekvienos svetainės paleidimą. Deja, mažai svetainių savininkų, agentūrų ir SEO ekspertų tai atkreipia dėmesį, todėl būtų gerai, jei SEO įrankiai į savo auditus įtrauktų HTTP antraščių tikrinimą. Pamatysime… įmonės vadovybei SEOBILITY šį norą jau bent kartą esu išsakęs :-)