Skip to main content
Back to blog

Guia SEO Pas 7: Seguretat — La Base que Google Espera el 2026

·13 min read·by LANGR SEO

Guia SEO Pas 7: Seguretat

Esteu al Pas 7 de la Guia SEO de 13 Passos. La seguretat no és només protegir els usuaris: afecta directament les vostres posicions en les cerques. Google utilitza HTTPS com a senyal de classificació des del 2014, i les expectatives només han anat augmentant.

La majoria dels propietaris de llocs web pensen en la seguretat com un binomi: "Tenim SSL, així que estem segurs." En realitat, Google avalua desenes de senyals de seguretat. Els llocs amb capçaleres de seguretat adequades, certificats vàlids i sense contingut mixt superen els llocs amb un simple certificat SSL — sempre que tot el demés sigui igual.

La bona notícia és que la majoria de les correccions de seguretat són configuracions puntuals. Configura-les una vegada, i protegiran les teves classificacions de manera permanent.

Configuració SSL

SSL (tècnicament TLS) xifra la connexió entre el teu servidor i els visitants. Des del 2014, Google ha confirmat explícitament HTTPS com a senyal de classificació. El 2026, no tenir HTTPS no és només un problema de classificació: Chrome marca els llocs HTTP com "No Segurs" a la barra d'adreces, destruint la confiança dels usuaris.

Requisits per a un SSL adequat:

| Requisit | Per què | Com comprovar | |----------|---------|---------------| | Certificat vàlid | Caducat = avís del navegador = usuaris abandonen | Comprovar data de caducitat | | Cadena completa | Cadena incompleta falla en alguns dispositius | Prova SSL Labs | | TLS 1.2+ | Versions més antigues tenen vulnerabilitats conegudes | Prova SSL Labs | | Sense SHA-1 | Deixat de ser utilitzat, els navegadors el rebutgen | Detalls del certificat | | Cobertura SAN | www i no-www han de ser coberts | Detalls del certificat | | Auto-renovació | Prevén desastres per caducitat | Configuració de Let's Encrypt / proveïdor |

Puntuació SSL:

100% = Certificat vàlid + Cadena completa + TLS 1.3 + Cifra forta + Auto-renovació
  0% = Certificat caducat o inexistent

Errors comuns de SSL:

  1. El certificat caduca sense avís — Configureu la monitorització (Pas 6) mínim 30 dies abans de la caducitat
  2. Cadena de certificat incompleta — El servidor ha d'enviar certificats intermedis, no només la fulla
  3. Contingut mixt — La pàgina HTTPS carrega recursos HTTP (imatges, scripts, fulls d’estil)
  4. Cicles de redirecció — Rediccions HTTP → HTTPS → HTTP causades per CDN/proxy mal configurats
  5. Desajust entre non-www i www — El certificat cobreix un però no l'altre

Guany ràpid: Corre la teva domini a través de SSL Labs (ssllabs.com/ssltest). Qualsevol cosa per sota d'una qualificació "A" té problemes d'acció. La majoria de proveïdors d'allotjament ho solucionen amb un clic.

Capçaleres de Seguretat

Les capçaleres de seguretat són capçaleres de resposta HTTP que indiquen als navegadors com comportar-se en carregar el teu lloc. Prevenen categories completes d'atacs — i els rastrejadors de Google les comproven.

Les capçaleres de seguretat essencials:

Content-Security-Policy (CSP)

CSP és la capçalera de seguretat més potent. Indica als navegadors exactament quins recursos (scripts, estils, imatges, fonts) es poden carregar a les teves pàgines.

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

Què impedeix el CSP:

  • Atacs de scripting entre llocs (XSS)
  • Atacs d'injecció de dades
  • Clickjacking (mitjançant frame-ancestors)
  • Execució no autoritzada d'scripts (cryptominers, injectors d'anuncis)

Estratègia de desplegament de CSP:

  1. Comença amb Content-Security-Policy-Report-Only (registra violacions sense bloquejar)
  2. Monitoritza informes durant 1-2 setmanes
  3. Autoritza fonts legítimes
  4. Canvia a mode d'aplicació
  5. Afegeix report-uri o report-to per a registre continu de violacions

X-Frame-Options

Impedix que el teu lloc sigui incrustat en iframes d'altres dominis (protecció contra clickjacking).

X-Frame-Options: DENY

O si necessites permetre la incrustació de mateix origen:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

Impedix que els navegadors facin "MIME-type sniffing" (interpretarFitxers com si fossin de diferents tipus dels declarats).

X-Content-Type-Options: nosniff

Aquesta línia impedeix atacs on un fitxer .jpg conté JavaScript amagat que el navegador podria executar.

Referrer-Policy

Controlem quina quantitat d'informació de referència s'envia quan els usuaris fan clic en enllaços del teu lloc.

Referrer-Policy: strict-origin-when-cross-origin

Això envia la URL completa per a sol·licits d'origen-igual, però només l'origen (domini) per a sol·licits de creu-origen. Equilibra les necessitats d'analítica amb la privadesa.

Permissions-Policy

Controlem quines característiques del navegador (càmera, micròfon, geolocalització, etc.) poden ser utilitzades al teu lloc.

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

Desactivar característiques que no utilitzes impedeix que scripts de tercers les abusin.

Exemple d'implementació de capçaleres (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

Implementació de capçaleres (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Implementació de capçaleres (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Guany ràpid: Afegeix totes les 5 capçaleres esmentades anteriorment a la teva configuració del servidor. Això triga 5 minuts i millora immediatament la teva postura de seguretat en qualsevol eina de comprovació.

HSTS Preload

HTTP Strict Transport Security (HSTS) indica als navegadors que sempre utilitzin HTTPS per al teu domini — fins i tot abans de la primera sol·licitud. Sense HSTS, la primera visita al teu lloc pot seguir utilitzant HTTP (vulnerable a la interceptació) abans que es produeixi la redirecció a HTTPS.

Capçalera HSTS:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Les tres directrius:

| Directriu | Significat | |-----------|------------| | max-age=31536000 | Recorda això durant 1 any (en segons) | | includeSubDomains | S'aplica a tots els subdominis també | | preload | Sol·licita la inclusió a les llistes de preload dels navegadors |

Llista de preload HSTS:

La protecció HSTS definitiva. Els navegadors venen amb una llista integrada de dominis que han d'utilitzar sempre HTTPS. Enviar el teu domini a hstspreload.org significa:

  • Els visitants per primera vegada obtenen HTTPS immediatament (sense redirecció HTTP → HTTPS)
  • Impossible per als atacants rebaixar connexions
  • Permanent (difícil d'eliminar un cop enviat)

Requisits per al preload HSTS:

  1. Certificat HTTPS vàlid
  2. Redirigir tot HTTP a HTTPS (incloent subdominis)
  3. Capçalera HSTS amb max-age >= 31536000
  4. Capçalera HSTS inclou includeSubDomains
  5. Capçalera HSTS inclou preload
  6. Tots els subdominis han de suportar HTTPS

Advertència: Només envia a preload si TOTS els teus subdominis suporten HTTPS. La directriu includeSubDomains significa que qualsevol subdomini només HTTP es tornarà inaccessible.

Guany ràpid: Si ja tens HTTPS en tots els subdominis, afegeix la capçalera HSTS completa i envia a hstspreload.org. El processament triga unes setmanes, però la protecció és permanent.

Exploració de Vulnerabilitats

L'exploració automatitzada de vulnerabilitats identifica problemes de seguretat coneguts en la teva pila abans que els atacants els explotin.

El que comprova l'exploració de vulnerabilitats:

  • Programari desactualitzat: WordPress, plugins, biblioteques de JavaScript amb CVEs conegudes
  • Fitxers exposats: .env, .git, wp-config.php, bolques de bases de dades
  • Fugida d'informació: Capçaleres de versió del servidor, mode de depuració, traçades de pila
  • Credencials per defecte: Pàgines d'administració sense autenticació, contrasenyes per defecte
  • Ports/serveis oberts: Serveis innecessaris exposats a Internet
  • Punts d'injecció: Formularis sense protecció CSRF, entrades no validades

Vulnerabilitats comunes per plataforma:

| Plataforma | Vulnerabilitat principal | Solució | |------------|--------------------------|---------| | WordPress | Plugins desactualitzats | Autoactualització + WAF | | Shopify | Permisos d'aplicacions de tercers | Auditoria de la llista d'aplicacions trimestral | | Next.js | Rutes d'API exposades | Middleware d'autenticació + limitació de taxa | | Llocs estàtics | Configuració incorrecta del CDN | Revisar regles de memòria cau | | Personalitzat | Injecció SQL | Consultes parametritzades |

Freqüència d'exploració:

  • Diari: Exploració de superfície automatitzada (SSL, capçaleres, fitxers exposats)
  • Setmanal: Comprovació de vulnerabilitats de dependències (npm audit, escàner de plugins de WordPress)
  • Mensual: Exploració profunda amb proves autenticades
  • Després de cada desplegament: Comprovació de regressió

Guany ràpid: Executa npm audit (Node.js) o comprova la teva llista de plugins de CMS per components desactualitzats. Soluciona immediatament les qüestions de severitat crítica/alta.

Contingut Mixt

El contingut mixt es produeix quan una pàgina HTTPS carrega recursos (imatges, scripts, fulls d’estil, iframes) a través de HTTP. Això trenca parcialment la xifra i provoca advertències al navegador.

Tipus de contingut mixt:

| Tipus | Severitat | Exemple | Comportament del Navegador | |---------|-----------|---------|-----------------------------| | Actiu | Alt | Script HTTP, iframe, CSS | Blocat per defecte | | Passiu | Mitjà | Imatge HTTP, vídeo, àudio | Carregat amb advertència |

El contingut mixt actiu és bloquejat per navegadors moderns — cosa que significa que els teus scripts i estils simplement no es carregaran. El contingut mixt passiu es carrega però mostra advertències de seguretat.

Trobar contingut mixt:

  1. Obre les DevTools de Chrome → Consola
  2. Cerca advertències de "Contingut Mixt"
  3. Alternativament, escaneja amb un rastrejador (Screaming Frog, LANGR)

Fonts comunes de contingut mixt:

  • URLs http:// codificades en contingut (entrades de blog, descripcions de productes)
  • Widgets de tercers carregant recursos HTTP
  • Contingut incrustat (incrustacions antigues de YouTube, widgets de xarxes socials)
  • CSS background-image amb URLs HTTP
  • Fonts carregades a través de HTTP

Solucionar contingut mixt:

<!-- Dolent -->
<img src="http://example.com/image.jpg" />

<!-- Bo -->
<img src="https://example.com/image.jpg" />

<!-- Millor (relatiu al protocol, s'adapta al protocol de la pàgina) -->
<img src="//example.com/image.jpg" />

Solució de base de dades (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

Guany ràpid: Obre la teva pàgina d'inici a Chrome, prem F12, comprova la pestanya de Consola per advertències de contingut mixt. Soluciona qualsevol que aparegui — això és directament visible per Google.

Riscos dels Scripts de Tercers

Cada script extern que carregues és un potencial passiu de seguretat (i rendiment). Els scripts de tercers poden:

  • Ser compromesos (atacs de cadena de subministrament)
  • Fer un seguiment dels teus usuaris sense consentiment (violació del GDPR)
  • Fer que la teva pàgina sigui més lenta (bloqueig de renderització, latència de xarxa)
  • Trencar la funcionalitat (actualitzacions de versions, caigudes)
  • Injectar contingut no desitjat (scripts publicitaris que fallen)

Audita els teus scripts de tercers:

| Script | Necessari? | Nivell de Risc | Alternativa | |------------------------|------------|-----------------|-------------------------------| | Google Analytics | Sovint sí | Baix | Seguiment al costat del servidor | | Widgets de xat | Potser | Mitjà | Solucions auto-hosted | | Botons de compartir socials | Rarament | Mitjà | Enllaços de compartir estàtics | | Proves A/B | De vegades | Alt | Proves al costat del servidor | | Pixels de retargeting | Decisió empresarial | Alt | Dades de primera part | | CDNs de fonts | Cómode | Baix | Fonts auto-allotjades |

Mitigació de riscos per scripts de tercers essencials:

  1. Integritat de Subrecursos (SRI): La verificació de hash impedeix que scripts manipilats es carreguin
<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>
  1. Restriccions de CSP: Permet només scripts de dominis coneguts
  2. Iframes aïllats: Aïlla widgets de tercers
  3. Auditories regulars: Revisió trimestral de tots els recursos externs
  4. Monitorització: Avís de nous dominis externs que apareixen a les teves pàgines

Guany ràpid: Fes una llista de cada etiqueta