Skip to main content
Back to blog

SEO Gids Stap 7: Sekuriteit — Die Baselyn Wat Google in 2026 Verwacht

·12 min read·by LANGR SEO

SEO Gids Stap 7: Sekuriteit

Dit is Stap 7 van die 13-Stap SEO Gids. Sekuriteit gaan nie net oor die beskerming van gebruikers nie — dit beïnvloed direkte jou soekranglys. Google gebruik al sedert 2014 HTTPS as 'n ranglys sein, en verwagtinge het net toegeneem.

Die meeste webwerf-eienaars sien sekuriteit as 'n binêre: "Ons het SSL, so ons is veilig." In werklikheid evalueer Google 'n aantal sekuriteitsseine. Webwerwe met toepaslike sekuriteitshoofde, geldige sertifikate en geen gemengde inhoud nie, rangskik hoër as webwerwe met net 'n basiese SSL-sertifikaat — alles anders gelyk.

Die goeie nuus: die meeste sekuriteitregstellings is eenmalige konfigurasies. Stel dit een keer op, en dit beskerm jou ranglys permanent.

SSL Konfigurasie

SSL (tegnies TLS) enkripteer die verbinding tussen jou bediener en besoekers. Sedert 2014 het Google HTTPS uitdruklik as 'n ranglys sein bevestig. In 2026 is dit nie net 'n ranglys probleem om nie HTTPS te hê nie — Chrome merk HTTP-webwerwe as "Nie Veilig" in die adresbalk, wat gebruikersvertroue vernietig.

Vereistes vir toepaslike SSL:

| Vereiste | Waarom | Hoe om te Kontroleer | |----------|--------|-----------------------| | Geltende sertifikaat | Verloop = blaaier waarskuwing = gebruikers wat afspring | Kontroleer vervaldatum | | Volledige ketting | Incomplete kettings faal op sommige toestelle | SSL Labs toets | | TLS 1.2+ | Ou weergawe het bekende kwesbaarhede | SSL Labs toets | | Geen SHA-1 | Achterhaal, blaaiers verwerp dit | Sertifikaat besonderhede | | SAN dekking | www en nie-www moet albei gedek wees | Sertifikaat besonderhede | | Outomatiese vernuwing | Voorkom vervaldissasters | Let's Encrypt / verskaffer konfigurasie |

SSL punte:

100% = Geldige sertifikaat + Volledige ketting + TLS 1.3 + Sterke algoritme + Outomatiese vernuwing
  0% = Verloof of ontbrekende sertifikaat

Algemene SSL foute:

  1. Sertifikaat verjaar sonder kennisgewing — Stel monitering op (Stap 6) minstens 30 dae voor vervaldatum
  2. Onvolledige sertifikaatketing — Bediener moet tussenliggende sertifikate stuur, nie net die blaars nie
  3. Gemengde inhoud — HTTPS-bladsy laai HTTP hulpbronne (beelde, skrifte, styles)
  4. Herlading lusse — HTTP → HTTPS → HTTP siklusse veroorsaak deur verkeerd geconfigureerde CDN/proxy
  5. Nie-www teen www wanverhouding — Sertifikaat dek een maar nie die ander nie

Vinnige oorwinning: Loop jou domein deur SSL Labs (ssllabs.com/ssltest). Enige iets onder 'n "A" gradering het uitvoerbare probleme. Meeste gasheerdiensverskaffers regstel dit met een klik.

Sekuriteitshoofde

Sekuriteitshoofde is HTTP responshoofde wat blaaiers instruksies gee oor hoe om op te tree wanneer jou webwerf gelaai word. Dit voorkom hele kategorieë aanvalle — en Google se kruipers kyk daarna.

Die noodsaaklike sekuriteitshoofde:

Inhoud-Sekuriteits-Beleid (CSP)

CSP is die mees kragtige sekuriteitshoof. Dit sê vir blaaiers presies watter hulpbronne (skrifte, style, beelde, lettertipes) op jou bladsye toegelaat word om te laai.

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

Wat CSP voorkom:

  • Cross-site scripting (XSS) aanvalle
  • Gegevensinjeksie-aanvalle
  • Klikjacking (via frame-ancestors)
  • Onbevoegde skrip uitvoering (cryptomyners, advertensie-injectors)

CSP implementeringstrategie:

  1. Begin met Content-Security-Policy-Report-Only (registreer oortredings sonder om te blokkeer)
  2. Moniteer verslae vir 1-2 weke
  3. Whitelist legitieme bronne
  4. Skakel oor na afdwingmodus
  5. Voeg report-uri of report-to vir voortdurende oortredingsregistrasie by

X-Frame-Options

Voorkom dat jou webwerf in iframes op ander domeine ingebed word (klikjacking beskerming).

X-Frame-Options: DENY

Of as jy dieselfde oorsprong framing moet toelaat:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

Voorkom dat blaaiers MIME-tipe sniffing (interpretasie van lêers as ander soorte as wat verklaar is).

X-Content-Type-Options: nosniff

Hierdie een-liner voorkom aanvalle waar 'n .jpg lêer verborge JavaScript bevat wat die blaier dalk uitvoer.

Referrer-Policy

Beheer hoeveel verwysingsinligting gestuur word wanneer gebruikers op skakels vanaf jou webwerf klik.

Referrer-Policy: strict-origin-when-cross-origin

Hierdie stuur die volle URL vir versoeke van dieselfde oorsprong, maar net die oorsprong (domein) vir kruis oorsprong versoeke. Balans tussen analitiese behoeftes en privaatheid.

Permissions-Policy

Beheer watter blaier funksies (kamera, mikrofoon, geolokasie, ens.) op jou webwerf gebruik kan word.

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

Deaktiveer funksies wat jy nie gebruik nie vermy dat derdeparty skripte dit misbruik.

Hoofimplementering voorbeeld (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

Hoofimplementering (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Hoofimplementering (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Vinnige oorwinning: Voeg al 5 hoofde hierbo by jou bediener konfigurasie. Dit neem 5 minute en verbeter onmiddellik jou sekuriteitshouding in enige skandeertool.

HSTS Prelaai

HTTP Strict Transport Security (HSTS) sê vir blaaiers om altyd HTTPS vir jou domein te gebruik — selfs voordat die eerste versoek gemaak word. Sonder HSTS kan die eerste besoek aan jou webwerf steeds HTTP gebruik (kwesbaar vir afluister) voordat die herleiding na HTTPS plaasvind.

HSTS hoof:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Die drie riglyne:

| Riglyn | Betekenis | |--------|-----------| | max-age=31536000 | Onthou dit vir 1 jaar (in sekondes) | | includeSubDomains | Toepas op al subdomeine ook | | preload | Versoek insluiting in blaier prelaai lyste |

HSTS prelaai lys:

Die ultieme HSTS beskerming. Blaaiers stuur met 'n ingeboude lys van domeine wat altyd HTTPS moet gebruik. Om jou domein aan hstspreload.org voor te lê beteken:

  • Eerste keer besoekers kry onmiddellik HTTPS (geen HTTP → HTTPS herleiding)
  • Onmoontlik vir aanvallers om verbindings te degradeer
  • Permanent (moeilik om te verwyder sodra dit ingediend is)

Vereistes vir HSTS prelaai:

  1. Geldige HTTPS-sertifikaat
  2. Herlei alle HTTP na HTTPS (insluitend subdomeine)
  3. HSTS-hoof met max-age >= 31536000
  4. HSTS-hoof sluit includeSubDomains in
  5. HSTS-hoof sluit preload in
  6. Alle subdomeine moet HTTPS ondersteun

Waarskuwing: Dien slegs in vir prelaai as AL jou subdomeine HTTPS ondersteun. Die includeSubDomains riglyn beteken dat enige HTTP-slegs subdomein ontoeganklik sal wees.

Vinnige oorwinning: As jy reeds HTTPS op al subdomeine het, voeg die volle HSTS-hoof by en dien dit in by hstspreload.org. Verwerking neem 'n paar weke, maar die beskerming is permanent.

Kwesbaarheidsskandering

Geoutomatiseerde kwesbaarheidsskandering identifiseer bekende sekuriteitsprobleme in jou stap voordat aanvallers dit misbruik.

Wat kwesbaarheidsskandering kontroleer:

  • Verouderde sagteware: WordPress, plugins, JavaScript biblioteke met bekende CVE's
  • Blootgestelde lêers: .env, .git, wp-config.php, databasis dumps
  • Inligting lek: Bedienerweergawe hoofde, debugsmodus, stap spore
  • Standaard kredensiale: Administrasiepagine sonder outentikasie, standaard wagwoorde
  • Ope poorte/dienste: Onnodige dienste wat aan die internet blootgestel word
  • Injekpunt: Vorms sonder CSRF-beskerming, nie-gevalideerde insette

Algemene kwesbaarhede per platform:

| Platform | Top Kwesbaarheid | Regstelling | |----------|-------------------|-------------| | WordPress | Verouderde plugins | Outomatiese opdatering + WAF | | Shopify | Derdeparty-applikasie toestemming | Ouie applikasielys kwartaallik nagegaan | | Next.js | Blootgestelde API-roetes | Outentikasie middleware + laatheidsbeperking | | Statiese webwerwe | CDN wan konfigurasie | Hersien kasreëls | | Pasgemaak | SQL-injeksie | Geparameteriseerde vrae |

Skandering frekwensie:

  • Daagliks: Geoutomatiseerde oppervlakteskandering (SSL, hoofde, blootgestelde lêers)
  • Weekly: Afhanklikheid kwesbaarheid check (npm audit, WordPress plugin skandeerder)
  • Maandeliks: Diep skandering met geoutentiseerde toetse
  • Na elke ontplooiing: Terugkeercheck

Vinnige oorwinning: Loop npm audit (Node.js) of kontroleer jou CMS plugin lys vir verouderde komponente. Regstel kritieke/hoogte erns probleme onmiddellik.

Gemengde Inhoud

Gemengde inhoud gebeur wanneer 'n HTTPS-bladsy hulpbronne (beelde, skrifte, styles, iframes) oor HTTP laai. Dit breek gedeeltelik enkriptering en aktiveer blaaierswaarskuwings.

Tipes gemengde inhoud:

| Tipe | Ernstigheid | Voorbeeld | Blaier Gedrag | |------|----------|---------|------------------| | Aktief | Hoog | HTTP skrif, iframe, CSS | Uitsluit deur default | | Passief | Medium | HTTP beeld, video, klank | Gelaai met waarskuwing |

Aktiewe gemengde inhoud word geblokkeer deur moderne blaaiers — wat beteken dat jou skrifte en style eenvoudig nie laai nie. Passiewe gemengde inhoud laai wel, maar toon sekuriteitswaarskuwings.

Vind gemengde inhoud:

  1. Open Chrome DevTools → Konsol
  2. Soek na "Gemengde Inhoud" waarskuwings
  3. Alternatiewelik, skandeer met 'n kruipertjie (Screaming Frog, LANGR)

Algemene bronne van gemengde inhoud:

  • Hardgecodeerde http:// URL's in inhoud (blogposte, produkbeskrywings)
  • Derdeparty-widget wat HTTP-hulpbronne laai
  • Ingebedde inhoud (YouTube ou ingebed, sosiale media widgets)
  • CSS background-image met HTTP URL's
  • Lettertipes wat oor HTTP gelaai word

Regstelling van gemengde inhoud:

<!-- Sleg -->
<img src="http://example.com/image.jpg" />

<!-- Goed -->
<img src="https://example.com/image.jpg" />

<!-- Beste (protokol-relative, pas aan by bladprotokol) -->
<img src="//example.com/image.jpg" />

Databasis regstelling (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

Vinnige oorwinning: Open jou tuisblad in Chrome, druk F12, kyk na die Konsol tab vir gemengde inhoud waarskuwings. Regstel enige wat verskyn — hierdie is direk sigbaar vir Google.

Derdeparty Skrip Risikos

Elke eksterne skrip wat jy laai, is 'n potensiële sekuriteits (en uitvoering) aanspreeklikheid. Derdeparty-skripte kan:

  • Gecompromitteer wees (toevoerketting aanvalle)
  • Jou gebruikers sonder toestemming opspoor (GDPR oortreding)
  • Jou webwerf traag maak (render-blokkeer, netwerklatensie)
  • Funksionaliteit breek (weergawes opdaterings, onderbrekings)
  • Ongewensde inhoud ingesluit (advertensie skripte wat verkeerd gaan)

Auditeer jou derdeparty-skripte:

| Skrip | Noodsaaklik? | Risiko vlak | Alternatief | |-------|--------------|-------------|-------------| | Google Analytics | Dikwels ja | Lae | Bedienerkantopsporing | | Kletswidgets | Misschien | Medium | Self-host oplossings | | Sosiale deel knoppies | Selde | Medium | Statiese deel skakels | | A/B toetsing | Soms | Hoog | Bedienerkant toetsing | | Retargeting pixels | Besigheidsbesluit | Hoog | Eersteparty data | | Lettertipes CDNs | Gerieflik | Lae | Self-host lettertipes |

Risiko mitigasie vir noodsaaklike derdeparty-skripte:

  1. Subresource Integrity (SRI): Hash-verifikasie voorkom dat gemaakte skripte laai
<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>
  1. CSP beperkings: Laat slegs skrifte van bekende domeine toe
  2. Sandboxed iframes: Isolasie van derdeparty-widget
  3. Regelmatige oudit: Kwartaallike hersiening van al externe hulpbronne
  4. Monitering: waarskuwing op nuwe eksterne domeine wat in jou bladsye verskyn

Vinnige oorwinning: Lys elke