Skip to main content
Back to blog

SEO Bələdçisi Addım 7: Təhlükəsizlik — 2026-cı ildə Google-in Gözlədiyi Əsaslar

·12 min read·by LANGR SEO

SEO Bələdçisi Addım 7: Təhlükəsizlik

Bu, 13 Addımlı SEO Bələdçisi üçün 7-ci addımdır. Təhlükəsizlik yalnız istifadəçiləri qorumaqla bağlı deyil — bu, axtarış sıralarınıza birbaşa təsir edir. Google 2014-cü ildən HTTPS-i sıralama siqnalı kimi istifadə edir və gözləntilər yalnız artıb.

Əksər sayt sahibləri təhlükəsizliyi ikili bir şey kimi düşünür: "Bizim SSL var, buna görə biz təhlükəsizik." Əslində, Google bir çox təhlükəsizlik siqnallarını qiymətləndirir. Düzgün təhlükəsizlik başlıqları, etibarlı sertifikatlar və qarışıq məzmunu olmayan saytlar, yalnız sadə bir SSL sertifikatına sahib olan saytları üstələyir — bütün digər amillər bərabərdir.

Yaxşı xəbərlər: əksər təhlükəsizlik düzəlişləri birdəfəlik konfiqurasiyalardır. Onları bir dəfə təyin edin, və bu, sıralarınızı daimi şəkildə qoruyur.

SSL Konfiqurasiyası

SSL (texniki olaraq TLS) serverinizlə ziyarətçiləriniz arasındakı əlaqəni şifrələyir. 2014-cü ildən, Google HTTPS-i sıralama siqnalı olaraq açıq şəkildə təsdiqləyib. 2026-cı ildə, HTTPS-in olmaması yalnız sıralama məsələsi deyil — Chrome HTTP saytlarını adres çubuğunda "Təhlükəsiz Değil" kimi qeyd edir, bu da istifadəçi etibarını məhv edir.

Düzgün SSL tələbləri:

| Tələb | Niyə | Necə yoxlamaq olar | |-------------|-----|--------------| | Etibarlı sertifikat | Müddəti bitmiş = brauzer xəbərdarlığı = istifadəçilərin tərk edilməsi | Müddət bitmə tarixini yoxlayın | | Tam zəncir | Tam olmayan zəncirlər bəzi cihazlarda uğursuz olur | SSL Labs testi | | TLS 1.2+ | Köhnə versiyalarda məlum zəifliklər var | SSL Labs testi | | SHA-1 yoxdur | İstifadədən çıxmış, brauzerlər bunu qəbul etmir | Sertifikat detalları | | SAN əhatəsi | www və qeyri-www hər ikisi əhatə edilməlidir | Sertifikat detalları | | Avtomatik yeniləmə | Müddət bitmə fəlakətlərini önləyir | Let's Encrypt / təminatçı konfiqurasiyası |

SSL qiymətləndirməsi:

100% = Etibarlı sertifikat + Tam zəncir + TLS 1.3 + Güclü şifrələmə + Avtomatik yeniləmə
  0% = Müddəti bitmiş və ya olmayan sertifikat

Tez-tez görülən SSL səhvləri:

  1. Sertifikat xəbərdarlıq olmadan müddəti bitir — Müddət bitmədən minimum 30 gün əvvəl monitorinq qurun (Addım 6)
  2. Tam olmayan sertifikat zənciri — Server ara sertifikatlarını göndərməlidir, yalnız yaprağı deyil
  3. Qarışıq məzmun — HTTPS səhifəsi HTTP resursları (şəkillər, skriptlər, stil sxemləri) yükləyir
  4. Redirect döngələri — HTTP → HTTPS → HTTP dövrləri konfiqurasiya edilməyən CDN/proxy səbəbindən yaranır
  5. Non-www və www uyğunsuzluğu — Sertifikat biri əhatə edir, digəri isə yox

Tez uğur: Domeninizi SSL Labs (ssllabs.com/ssltest) vasitəsilə yoxlayın. "A" reytingindən aşağı olan hər şeydə tədbir görülməsi gərəkən məsələlər var. Əksər hosting təminatçıları bunları bir kliklə düzəldir.

Təhlükəsizlik Başlıqları

Təhlükəsizlik başlıqları HTTP cavab başlıqlarıdır ki, brauzerlərə saytınızı yüklədikdə necə davranmaları barədə göstəriş verir. Onlar tam kateqoriyalı hücumları önləyir — və Google-in crawler-ları onları yoxlayır.

Əsas təhlükəsizlik başlıqları:

Məzmun Təhlükəsizliyi Siyasəti (CSP)

CSP ən güclü təhlükəsizlik başlığıdır. Bu, brauzerlərə səhifənizdə yüklənməsinə icazə verilən dəqiq resursları (skriptlər, stil sxemləri, şəkillər, şriftlər) bildirir.

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

CSP-nin mane olduğu şeylər:

  • Çarpaz sayt skriptləri (XSS) hücumları
  • Məlumat daxil etmə hücumları
  • Clickjacking (via frame-ancestors)
  • İcazəsiz skript icrası (kripto mədənçiləri, reklam daxil edənlər)

CSP tətbiqi strategiyası:

  1. Content-Security-Policy-Report-Only ilə başlayın (bloklamadan pozuntuları qeyd edir)
  2. 1-2 həftəlik hesabatları izləyin
  3. Legitim mənbələri ağ siyahıya əlavə edin
  4. İcra müddətinə keçin
  5. Davam edən pozuntu qeydiyyatı üçün report-uri və ya report-to əlavə edin

X-Frame-Options

Saytınızın digər domenlərdə iframe-lərə daxil edilməsini önləyir (clickjacking qoruması).

X-Frame-Options: DENY

Yoxsa eyni mənşəli çərçivələrə icazə vermək lazımdırsa:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

Brauzerləri MIME növünü təyinədən şübhələnməyə mane olur (dosyaları bəyan ediləndən fərqli növlərdə şərh etməyə).

X-Content-Type-Options: nosniff

Bu bir sətr, .jpg faylının içərisində gizli JavaScriptin olduğu hücumlara qarşı qoruyur.

Referrer-Policy

İstifadəçilər saytınızdakı bağlantılara tıkladıqda, nə qədər referrer məlumatının göndəriləcəyini idarə edir.

Referrer-Policy: strict-origin-when-cross-origin

Bu, eyni mənşəli sorğular üçün tam URL göndərir, amma yalnız mənbəyi (domen) üçün çarpaz-mənşəli sorğular üçün. Analitika ehtiyacları ilə gizliliyi tarazlayır.

Permissions-Policy

Brauzer funksiyalarının (kamera, mikrofon, coğrafi yerləşmə və s.) saytınızda necə istifadə olunacağını idarə edir.

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

İstifadə etmədiyiniz funksiyaları deaktiv edərək, üçüncü tərəf skriptlərinin bunlardan sui-istifadə etməsinə mane olursunuz.

Başlıq tətbiqi nümunəsi (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

Başlıq tətbiqi (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Başlıq tətbiqi (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Tez uğur: Yuxarıdakı 5 başlığı server konfiqurasiyanıza əlavə edin. Bu 5 dəqiqə çəkir və hər hansı bir skan alətində təhlükəsizlik mövqenizi dərhal yaxşılaşdırır.

HSTS Preload

HTTP Strict Transport Security (HSTS) brauzerlərə hər zaman HTTPS istifadə etmələrini bildirir — ilk sorğuya qədər. HSTS olmadan, saytınıza ilk ziyarət hələ də HTTP üzərindən ola bilər (şöbələnmə riskinə açıq) və HTTPS-ə yönləndirmədən əvvəl.

HSTS başlığı:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Üç göstəriş:

| Göstəriş | Mənası | |-----------|---------| | max-age=31536000 | Bunu 1 il (saniyə də) yadda saxla | | includeSubDomains | Bunu bütün alt domeynlərə də tətbiq et | | preload | Brauzer preload siyahısına daxil edilməsini tələb et |

HSTS preload siyahısı:

Ən son HSTS qoruması. Brauzerlər, hər zaman HTTPS istifadə etmələri gərəkən domenlərin quraşdırıldığı siyahı ilə birlikdə gəlir. Domeninizi hstspreload.org saytına təqdim etmək deməkdir:

  • İlk dəfə ziyarət edənlər dərhal HTTPS alır (HTTP → HTTPS yönləndirməsi olmadan)
  • Hücumçılara əlaqələri aşağı salmaq mümkün deyil
  • Daşınmaz (göndərildikdən sonra çətinliklə çıxarılır)

HSTS preload müəssisələri:

  1. Etibarlı HTTPS sertifikatı
  2. Bütün HTTP-ləri HTTPS-ə yönləndirin (alt domeynləri də daxil edin)
  3. max-age >= 31536000 olan HSTS başlığı
  4. HSTS başlığı includeSubDomains daxildir
  5. HSTS başlığı preload daxildir
  6. Bütün alt domeynlər HTTPS-i dəstəkləməlidir

Xəbərdarlıq: Yalnız preload-a təqdim edin, əgər BÜTÜN alt domennlər HTTPS-i dəstəkləyirsə. includeSubDomains göstərişi, hər hansı bir HTTP-yalnız alt domenin əlçatmaz olacağı deməkdir.

Tez uğur: Əgər artıq bütün alt domeynlərinizdə HTTPS varsa, tam HSTS başlığını əlavə edin və hstspreload.org saytına təqdim edin. Proseslənməsi bir neçə həftə çəkir, amma qoruma daimi olacaq.

Zəiflik Taraması

Avtomatik zəiflik taraması, hücumçular tərəfindən istismar edilmədən əvvəl yığınızdakı məlum təhlükəsizlik problemlərini müəyyən edir.

Zəiflik taramasının yoxladığı şeylər:

  • Köhnəlmiş proqram təminatı: WordPress, plaginlər, məlum CVE-ləri olan JavaScript kitabxanaları
  • Açıq fayllar: .env, .git, wp-config.php, verilənlər bazası döküntüləri
  • Məlumat sızması: Server versiyası başlıqları, debug rejimi, yığın izləri
  • Standart identifikasiya məlumatları: Auth olmadan admin səhifələri, standart parollar
  • Açıq ports/xidmətlər: İnternetə açıq, lazımsız xidmətlər
  • İnjection nöqtələri: CSRF qorunması olmayan formalar, təsdiqlənməmiş girişlər

Platformaya görə yaygın zəifliklər:

| Platforma | Ən Yuxarı Zəiflik | Düzəliş | |----------|-------------------|-----| | WordPress | Köhnəlmiş plaginlər | Avto-yeniləmə + WAF | | Shopify | Üçüncü tərəf tətbiq icazələri | Tətbiq siyahısını rübdə bir dəfə yoxlayın | | Next.js | Açıqlanmış API yolları | Auth middleware + sürət məhdudlaşdırması | | Statik saytlar | CDN konfiqurasiya səhvləri | Keş qaydalarını nəzərdən keçirin | | Xüsusi | SQL injection | Parameterized queries |

Taramanın tezliyi:

  • Gündəlik: Avtomatik səth taraması (SSL, başlıqlar, açıq fayllar)
  • Həftəlik: Asılılıq zəifliyi yoxlaması (npm audit, WordPress plagin tarayıcı)
  • Aylıq: Auth testlərlə dərinə tarama
  • Hər yerləşdirmə sonrası: Regression yoxlaması

Tez uğur: npm audit (Node.js) işə salın ya CMS plagin siyahınızı köhnəlmiş komponentlər üçün yoxlayın. Təcili/ yüksək təhlükə məsələlərinə dərhal düzəliş edin.

Qarışıq Məzmun

Qarışıq məzmun, HTTPS səhifəsinin HTTP üzərində resursları (şəkillər, skriptlər, stil sxemləri, iframe-lər) yüklədiyi zaman meydana gəlir. Bu, şifrələməni qismən pozur və brauzer xəbərdarlıqlarını işə salır.

Qarışıq məzmunun növləri:

| Tip | Ciddilik | Nümunə | Brauzer Davranışı | |------|----------|---------|------------------| | Aktiv | Yüksək | HTTP skripti, iframe, CSS | Zərərli olaraq dayandırılır | | Passive | Orta | HTTP şəkil, video, audio | Xəbərdarlıqla yüklənir |

Aktiv qarışıq məzmun müasir brauzerlər tərəfindən blok edilir — bu, skriptlərinizi və stil sxemlərinizi yükləməyə imkan vermir. Passive qarışıq məzmun yükləyir, amma təhlükəsizlik xəbərdarlıqları göstərir.

Qarışıq məzmunu tapmaq:

  1. Chrome DevTools-u açın → Konsol
  2. "Qarışıq Məzmun" xəbərdarlıqlarına baxın
  3. Alternativ olaraq, tarayıcı ilə tarayın (Screaming Frog, LANGR)

Qarışıq məzmunun yayğın mənbələri:

  • Məzmundakı http:// URL-lərini sabit kodlanması (blq yazıları, məhsul təsvirləri)
  • HTTP resurslarını yükləyən üçüncü tərəf vidcər
  • İstifadə olunmuş məzmun (YouTube köhnə yerləşdirmələri, sosial media vidcəri)
  • HTTP URL-lərinə sahib CSS background-image
  • HTTP üzərindən yüklənən şriftlər

Qarışıq məzmunu düzəltmək:

<!-- Pis -->
<img src="http://example.com/image.jpg" />

<!-- Yaxşı -->
<img src="https://example.com/image.jpg" />

<!-- Ən Yaxşı (protokol-ünsür, səhifənin protokoluna uyğunlaşır) -->
<img src="//example.com/image.jpg" />

Veritabanı düzəlişi (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

Tez uğur: Chrome-da ana səhifənizi açın, F12 düyməsini basın, Konsol sekmesine qarışıq məzmun xəbərdarlıqlarını yoxlayın. Görünənlərin hamısını düzəldin — bunlar Google-a birbaşa aşkar görünür.

Üçüncü Tərəf Skript Riskləri

Yüklədiyiniz hər bir xarici skript potensial təhlükəsizlik (və performans) məsuliyyətidir. Üçüncü tərəf skriptləri:

  • İstismar edilə bilər (təchizat zənciri hücumları)
  • İstifadəçilərinizi icazəsiz izləyə bilər (GDPR pozuntusu)
  • Saytınızı yavaşdırır (render-bloklayıcı, şəbəkə gecikməsi)
  • Funksionallığı poza bilər (versiya yeniləmələri, çöküşlər)
  • İstənməyən məzmun daxil edə bilər (səhv işləyən reklam skriptləri)

Üçüncü tərəf skriptlərinizi audit edin:

| Skript | Zəruri? | Risk Səviyyəsi | Alternativ | |--------|-----------|------------|-------------| | Google Analytics | Adətən bəli | Aşağı | Server tərəfi izləmə | | Çat vidcələri | Ola bilər | Orta | Öz-ev sahibi həlləri | | Sosial paylaşım düymələri | Nadir hallarda | Orta | Statik paylaşım bağlantıları | | A/B testləri | Bəzən | Yüksək | Server tərəfi testləri | | Yenidən hədəfləmə pikselləri | Biznes qərarı | Yüksək | Birinci tərəf məlumatları | | Şrift CDN-ləri | Rahat | Aşağı | Öz-ev sahibi şriftlər |

Zərurətli üçüncü tərəf skriptləri üçün risk azaltma:

  1. Subresource Integrity (SRI): Hash doğrulaması, dəyişdirilmiş skriptlərin yüklənməsini önləyir
<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>
  1. CSP məhdudiyyətləri: Yalnız tanınmış domenlərdən skriptlərin yüklənməsinə icazə verin
  2. Sandboxed iframe-lər: Üçüncü tərəf vidcərini izolyasiya edin
  3. Müntəzəm audit: Hər rübdə bütün xarici resursların qiymətləndirilməsi
  4. Monitorinq: Sizin səhifələrinizdə yeni xarici domenlərin göründüyündə xəbərdar edin

Tez uğur: HTML-də xarici bir domen yükləyən hər