Skip to main content
Back to blog

SEO Ръководство Стъпка 7: Сигурност — Основно изискване, което Google очаква през 2026

·13 min read·by LANGR SEO

SEO Ръководство Стъпка 7: Сигурност

Това е Стъпка 7 от 13-степенното SEO Ръководство. Сигурността не е само за защита на потребителите — тя директно влияе на вашите позиции в търсачките. Google използва HTTPS като сигнал за класиране от 2014 г., а очакванията само нарастват.

Повечето собственици на сайтове приемат сигурността като бинарна: „Имаме SSL, така че сме сигурни.“ В действителност Google оценява десетки сигнали за сигурност. Сайтове с правилни заглавия за сигурност, валидни сертификати и без смесено съдържание имат по-високи позиции от сайтове с само основен SSL сертификат — при всичко останало равнозначно.

Добрата новина: повечето корекции на сигурността са конфигурации, които се правят веднъж. Настройте ги веднъж и те защитават вашите позиции завинаги.

Конфигурация на SSL

SSL (технически TLS) криптира връзката между сървъра ви и посетителите. От 2014 г. Google изрично потвърди HTTPS като сигнал за класиране. През 2026 г. липсата на HTTPS не е просто проблем с класирането — Chrome маркира HTTP сайтове като "Не е защитен" в адресната лента, разрушаване на доверието на потребителите.

Изисквания за правилен SSL:

| Изискване | Защо | Как да проверите | |-----------|------|------------------| | Валиден сертификат | Изтекъл = предупреждение в браузъра = отблъснати потребители | Проверете датата на изтичане | | Пълен вериги | Непълните вериги не работят на някои устройства | Тест SSL Labs | | TLS 1.2+ | По-старите версии имат известни уязвимости | Тест SSL Labs | | Без SHA-1 | Депрециран, браузърите го отхвърлят | Подробности за сертификата | | SAN покритие | www и non-www трябва да бъдат покрити | Подробности за сертификата | | Автоматично подновяване | Предпазва от катастрофи с изтичане | Конфигурация на Let's Encrypt / доставчик |

Оценка на SSL:

100% = Валиден сертификат + Пълен вериги + TLS 1.3 + Силен шифър + Автоматично подновяване
  0% = Изтекъл или липсващ сертификат

Чести грешки с SSL:

  1. Сертификатът изтича без предупреждение — Настройте мониторинг (Стъпка 6) минимум 30 дни преди изтичането
  2. Непълна верига на сертификата — Сървърът трябва да изпрати междинни сертификати, а не само листовия
  3. Смесено съдържание — HTTPS страница зарежда HTTP ресурси (изображения, скриптове, стилови листове)
  4. Цикли на пренасочвания — HTTP → HTTPS → HTTP цикли, причинени от неправилно настроен CDN/прокси
  5. Несъответствие между non-www и www — Сертификатът покрива едното, но не и другото

Бърз резултат: Пуснете домейна си през SSL Labs (ssllabs.com/ssltest). Всичко под оценка "A" има наложителни проблеми. Повечето хостинг доставчици коригират тези с едно кликване.

Заглавия за сигурност

Заглавията за сигурност са HTTP отговорни заглавия, които инструктират браузърите как да се държат при зареждане на сайта ви. Те предотвратяват цели категории атаки — и търсачките на Google проверяват за тях.

Основните заглавия за сигурност:

Политика за сигурност на съдържанието (CSP)

CSP е най-мощното заглавие за сигурност. То казва на браузърите точно кои ресурси (скриптове, стилове, изображения, шрифтове) са разрешени да се зареждат на страниците ви.

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

Какво предотвратява CSP:

  • Атаки с междудомейни скриптове (XSS)
  • Атаки за инжектиране на данни
  • Clickjacking (чрез frame-ancestors)
  • Неупълномощено изпълнение на скриптове (криптоминери, инжектори на реклама)

Стратегия за внедряване на CSP:

  1. Започнете с Content-Security-Policy-Report-Only (логва нарушения без да блокира)
  2. Наблюдавайте докладите в продължение на 1-2 седмици
  3. Изключете легитимни източници
  4. Превключете в режим на прилагане
  5. Добавете report-uri или report-to за продължаващо логване на нарушения

X-Frame-Options

Предотвратява сайта ви да бъде вграждан в iframe на други домейни (защита от clickjacking).

X-Frame-Options: DENY

Или, ако трябва да позволите вграждане от същия произход:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

Предотвратява браузърите от MIME-типово шпиониране (интерпретиране на файлове като различни типове от декларираните).

X-Content-Type-Options: nosniff

Тази една линия предотвратява атаки, при които .jpg файл съдържа скрит JavaScript, който браузърът може да изпълни.

Referrer-Policy

Контролира колко информация за реферера се изпраща, когато потребителите кликат на връзки от вашия сайт.

Referrer-Policy: strict-origin-when-cross-origin

Това изпраща пълния URL за заявки от същия произход, но само произхода (домен) за крос-домейн заявки. Балансира нуждите от аналитика с поверителността.

Permissions-Policy

Контролира кои браузърни функции (камера, микрофон, геолокация и т.н.) могат да се използват на вашия сайт.

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

Деактивирането на функции, които не използвате, предотвратява злоупотреби от трети страни.

Пример за внедряване на заглавия (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

Пример за внедряване на заглавия (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Пример за внедряване на заглавия (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Бърз резултат: Добавете всички 5 заглавия по-горе в конфигурацията на сървъра си. Това отнема 5 минути и веднага подобрява вашата позиция по сигурност във всеки инструмент за сканиране.

HSTS Preload

HTTP Strict Transport Security (HSTS) инструктира браузърите да използват винаги HTTPS за вашия домейн — дори преди първата заявка. Без HSTS, първото посещение на сайта ви може все пак да използва HTTP (уязвимо за прихващане) преди пренасочването към HTTPS.

HSTS заглавие:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Трите директиви:

| Директива | Значение | |-----------|----------| | max-age=31536000 | Запомнете това за 1 година (в секунди) | | includeSubDomains | Прилага се и за всички поддомейни | | preload | Искане за включване в списъците за предварително зареждане на браузърите |

Списък за предварително зареждане на HSTS:

Крайната защита HSTS. Браузърите предоставят вграден списък на домейни, които винаги трябва да използват HTTPS. Изпращайки своя домейн на hstspreload.org, означава:

  • Първите посетители получават HTTPS веднага (без HTTP → HTTPS пренасочване)
  • Невъзможно за атакуващите да понижат връзките
  • Постоянно (трудно за премахване след подаването)

Изисквания за HSTS preload:

  1. Валиден HTTPS сертификат
  2. Пренасочване на целия HTTP към HTTPS (включително поддомейни)
  3. HSTS заглавие с max-age >= 31536000
  4. HSTS заглавие включва includeSubDomains
  5. HSTS заглавие включва preload
  6. Всички поддомейни трябва да поддържат HTTPS

Предупреждение: Подавате за предварително зареждане само ако ВСИЧКИ ваши поддомейни поддържат HTTPS. Директивата includeSubDomains означава, че всеки поддомен с само HTTP ще стане недостъпен.

Бърз резултат: Ако вече имате HTTPS на всички поддомейни, добавете пълното HSTS заглавие и подавайте на hstspreload.org. Обработката отнема няколко седмици, но защитата е постоянна.

Сканиране на уязвимости

Автоматизираното сканиране на уязвимости идентифицира известни проблеми със сигурността в стековете ви преди да бъдат експлоатирани от атакуващите.

Какво проверява сканирането за уязвимости:

  • Стар софтуер: WordPress, плъгини, JavaScript библиотеки с известни CVE
  • Изложени файлове: .env, .git, wp-config.php, изхвърляния на бази данни
  • Изтичане на информация: Заглавия за версия на сървъра, режим на отстраняване на грешки, следи от стека
  • Дефолтни идентификационни данни: Административни страници без удостоверяване, дефолтни пароли
  • Отворени портове/услуги: Ненужни услуги, изложени в интернет
  • Точки на инжектиране: Формуляри без защита от CSRF, невалидирани входове

Чести уязвимости по платформа:

| Платформа | Най-голяма уязвимост | Решение | |-----------|--------------------|---------| | WordPress | Остатъчни плъгини | Авто-обновяване + WAF | | Shopify | Права на приложения от трети страни | Одит на списъка с приложения на тримесечие | | Next.js | Изложени API маршрути | удостоверителна междинна част + лимит на скоростта | | Статични сайтове | Неправилна конфигурация на CDN | Преглед на правила за кеширане | | Персонализиран | SQL инжектиране | Параметризирани запитвания |

Честота на сканиране:

  • Всекидневно: Автоматизирано повърхностно сканиране (SSL, заглавия, изложени файлове)
  • Наседмично: Проверка на уязвимости на зависимости (npm audit, скенер за плъгини на WordPress)
  • Намесечно: Дълбоко сканиране с удостоверено тестване
  • След всяко разгръщане: Проверка на регресия

Бърз резултат: Изпълнете npm audit (Node.js) или прегледайте списъка с плъгини на вашия CMS за остарели компоненти. Веднага поправете критичните/високите проблеми.

Смесено съдържание

Смесеното съдържание се появява, когато HTTPS страница зарежда ресурси (изображения, скриптове, стилови листове, iframes) чрез HTTP. Това частично нарушава шифроването и предизвиква предупреждения от браузъра.

Видове смесено съдържание:

| Вид | Тежест | Пример | Поведение на браузъра | |-----|--------|--------|-----------------------| | Активно | Високо | HTTP скрипт, iframe, CSS | Блокиран по подразбиране | | Пасивно | Средно | HTTP изображение, видео, аудио | Зарежда със предупреждение |

Активното смесено съдържание е блокирано от съвременните браузъри — което означава, че вашите скриптове и стилове просто няма да се заредят. Пасивното смесено съдържание се зарежда, но показва предупреждения за сигурност.

Намиране на смесено съдържание:

  1. Отворете Chrome DevTools → Конзола
  2. Търсете "Смесено съдържание" предупреждения
  3. Алтернативно, сканирайте с пълзящ (Screaming Frog, LANGR)

Чести източници на смесено съдържание:

  • Вградени http:// URL адреси в съдържанието (публикации в блог, описания на продукти)
  • Уиджети от трети страни, зареждащи HTTP ресурси
  • Вградени съдържания (стари вграждания на YouTube, уиджети за социални медии)
  • CSS background-image с HTTP URL адреси
  • Шрифтове, зареждащи се чрез HTTP

Поправяне на смесено съдържание:

<!-- Лошо -->
<img src="http://example.com/image.jpg" />

<!-- Добро -->
<img src="https://example.com/image.jpg" />

<!-- Най-добро (протоколна относителност, адаптира се към протокола на страницата) -->
<img src="//example.com/image.jpg" />

Поправка в базата данни (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

Бърз резултат: Отворете началната си страница в Chrome, натиснете F12, проверете таба Конзола за предупреждения за смесено съдържание. Поправете всички, които се появят — те са директно видими за Google.

Рискове от скриптове от трети страни

Всеки външен скрипт, който зареждате, е потенциална отговорност за сигурността (и производителността). Скриптовете от трети страни могат да:

  • Бъдат компрометирани (атаки на веригата за доставки)
  • Следят вашите потребители без съгласие (нарушение на GDPR)
  • Забавят сайта ви (блокиране на рендери, мрежова латентност)
  • Наранят функционалността (обновления на версии, повреди)
  • Инжектират нежелано съдържание (неправилни рекламни скриптове)

Оценете вашите скриптове от трети страни:

| Скрипт | Необходим? | Ниво на риск | Алтернатива | |--------|------------|--------------|--------------| | Google Analytics | Често да | Ниско | Проследяване на сървъра | | Чат уиджети | Може би | Средно | Самостоятелно хоствани решения | | Бутон за споделяне в социалните медии | Рядко | Средно | Статични споделящи връзки | | A/B тестване | Понякога | Високо | Тестване на сървъра | | Пиксели за повторно таргетиране | Решение за бизнеса | Високо | Данни от първа страна | | Font CDNs | Удобно | Ниско | Самостоятелно хостване на шрифтове |

Намаляване на риска за основни скриптове от трети страни:

  1. Сигурност на подресурсите (SRI): Хеш проверката предотвратява зареждането на манипулирани скриптове
<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>
  1. Ограничения на CSP: Позволявайте само скриптове от известни домейни
  2. Изолирани iframes: Изолирайте уиджетите от трети страни
  3. Редовни одити: Тримесечно преглеждане на всички външни ресурси
  4. Мониторинг: Известие за нови външни домейни, появяващи се на вашите страници

Бърз резултат: Избройте всеки