Skip to main content
Back to blog

Οδηγός SEO Βήμα 7: Ασφάλεια — Η Βασική Γραμμή που Αναμένει η Google το 2026

·13 min read·by LANGR SEO

Οδηγός SEO Βήμα 7: Ασφάλεια

Αυτό είναι το Βήμα 7 του Οδήγου SEO 13 Βημάτων. Η ασφάλεια δεν αφορά μόνο την προστασία των χρηστών — επηρεάζει άμεσα τις θέσεις σας στις μηχανές αναζήτησης. Η Google χρησιμοποιεί το HTTPS ως σήμα κατάταξης από το 2014, και οι προσδοκίες έχουν μόνο αυξηθεί.

Οι περισσότεροι κάτοχοι ιστοσελίδων σκέφτονται την ασφάλεια ως ένα δυαδικό: "Έχουμε SSL, άρα είμαστε ασφαλείς." Στην πραγματικότητα, η Google αξιολογεί δεκάδες σήματα ασφάλειας. Ιστοσελίδες με σωστές επικεφαλίδες ασφάλειας, έγκυρα πιστοποιητικά και χωρίς μεικτό περιεχόμενο κατατάσσονται υψηλότερα από ιστοσελίδες με μόνο ένα βασικό πιστοποιητικό SSL — όλα τα άλλα παραμένοντας ίσα.

Τα καλά νέα: οι περισσότερες διορθώσεις ασφαλείας είναι ρυθμίσεις μιας φοράς. Ρυθμίστε τα μία φορά, και προστατεύουν τις θέσεις σας μόνιμα.

Ρύθμιση SSL

SSL (τεχνικά TLS) κρυπτογραφεί τη σύνδεση μεταξύ του διακομιστή σας και των επισκεπτών. Από το 2014, η Google έχει επιβεβαιώσει ρητά το HTTPS ως σήμα κατάταξης. Το 2026, το γεγονός ότι δεν έχετε HTTPS δεν είναι απλώς ένα πρόβλημα κατάταξης — το Chrome επισημαίνει τις HTTP ιστοσελίδες ως "Μη Ασφαλείς" στη γραμμή διευθύνσεων, καταστρέφοντας την εμπιστοσύνη των χρηστών.

Προϋποθέσεις για σωστό SSL:

| Προϋπόθεση | Γιατί | Πώς να το Ελέγξετε | |------------|-------|--------------------| | Έγκυρο πιστοποιητικό | Ληγμένο = προειδοποίηση πλοηγού = απογοητευμένοι χρήστες | Ελέγξτε την ημερομηνία λήξης | | Πλήρης αλυσίδα | Ατελείς αλυσίδες αποτυγχάνουν σε ορισμένες συσκευές | Δοκιμή SSL Labs | | TLS 1.2+ | Οι παλαιότερες εκδόσεις έχουν γνωστές ευπάθειες | Δοκιμή SSL Labs | | Όχι SHA-1 | Έχει καταργηθεί, οι πλοηγοί το απορρίπτουν | Λεπτομέρειες πιστοποιητικού | | Κάλυψη SAN | Και οι www και μη-www πρέπει να καλύπτονται | Λεπτομέρειες πιστοποιητικού | | Αυτόματη ανανέωση | Αποτρέπει καταστροφές λήξης | Ρύθμιση Let's Encrypt / παρόχου |

Βαθμολογία SSL:

100% = Έγκυρο πιστοποιητικό + Πλήρης αλυσίδα + TLS 1.3 + Ισχυρός κωδικοποιητής + Αυτόματη ανανέωση
  0% = Ληγμένο ή απούσα πιστοποίηση

Κοινά λάθη SSL:

  1. Το πιστοποιητικό λήγει χωρίς προειδοποίηση — Στήστε παρακολούθηση (Βήμα 6) τουλάχιστον 30 ημέρες πριν τη λήξη
  2. Ατελής αλυσίδα πιστοποίησης — Ο διακομιστής πρέπει να στείλει ενδιάμεσα πιστοποιητικά, όχι μόνο το φύλλο
  3. Μεικτό περιεχόμενο — Η σελίδα HTTPS φορτώνει πόρους HTTP (εικόνες, σενάρια, φύλλα στυλ)
  4. Κύκλοι ανακατεύθυνσης — Κύκλοι HTTP → HTTPS → HTTP που προκαλούνται από κακή ρύθμιση CDN/Proxy
  5. Μη www σε www διαφορά — Το πιστοποιητικό καλύπτει το ένα αλλά όχι το άλλο

Γρήγορη νίκη: Τρέξτε το τομέα σας μέσω SSL Labs (ssllabs.com/ssltest). Οτιδήποτε κάτω από βαθμολογία "A" έχει ζητήματα που απαιτούν δράση. Οι περισσότεροι πάροχοι φιλοξενίας διορθώνουν αυτά με ένα κλικ.

Επικεφαλίδες Ασφάλειας

Οι επικεφαλίδες ασφάλειας είναι οι επικεφαλίδες απόκρισης HTTP που δίνουν οδηγίες στους πλοηγούς πώς να συμπεριφέρονται κατά τη φόρτωση της ιστοσελίδας σας. Αποτρέπουν ολόκληρες κατηγορίες επιθέσεων — και οι ανιχνευτές της Google τις ελέγχουν.

Οι βασικές επικεφαλίδες ασφαλείας:

Πολιτική Ασφάλειας Περιεχομένου (CSP)

Η CSP είναι η πιο ισχυρή επικεφαλίδα ασφάλειας. Λέει στους πλοηγούς ακριβώς ποιους πόρους (σενάρια, στυλ, εικόνες, γραμματοσειρές) επιτρέπεται να φορτώνουν στις σελίδες σας.

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

Τι αποτρέπει η CSP:

  • Επιθέσεις Cross-site scripting (XSS)
  • Επιθέσεις ένεσης δεδομένων
  • Clickjacking (μέσω frame-ancestors)
  • Μη εξουσιοδοτημένη εκτέλεση σεναρίων (cryptominers, ad injectors)

Στρατηγική εφαρμογής CSP:

  1. Ξεκινήστε με Content-Security-Policy-Report-Only (καταγράφει παραβιάσεις χωρίς να μπλοκάρει)
  2. Παρακολουθήστε τις αναφορές για 1-2 εβδομάδες
  3. Λευκή λίστα νόμιμων πηγών
  4. Μεταβείτε σε λειτουργία εφαρμογής
  5. Προσθέστε report-uri ή report-to για συνεχή καταγραφή παραβιάσεων

X-Frame-Options

Αποτρέπει την ενσωμάτωση της ιστοσελίδας σας σε iframes σε άλλους τομείς (προστασία από clickjacking).

X-Frame-Options: DENY

Ή αν πρέπει να επιτρέψετε τη σκανδαλισμένη σχηματική τοποθέτηση:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

Αποτρέπει τους πλοηγούς από το MIME-type sniffing (ερμηνεία αρχείων ως διαφορετικοί τύποι από ότι δηλώνονται).

X-Content-Type-Options: nosniff

Αυτή η γραμμή αποτρέπει επιθέσεις όπου ένα αρχείο .jpg περιέχει κρυφό JavaScript που μπορεί να εκτελέσει ο πλοηγός.

Referrer-Policy

Ελέγχει πόσο ανάλογες πληροφορίες ανακατεύθυνσης στέλνονται όταν οι χρήστες κάνουν κλικ σε συνδέσμους από την ιστοσελίδα σας.

Referrer-Policy: strict-origin-when-cross-origin

Αυτό στέλνει τη πλήρη διεύθυνση URL για αιτήματα ίδιου τομέα αλλά μόνο την προέλευση (τομέα) για διασυνοριακά αιτήματα. Ισορροπεί τις ανάγκες αναλυτικών στοιχείων με την ιδιωτικότητα.

Permissions-Policy

Ελέγχει ποιες δυνατότητες του πλοηγού (κάμερα, μικρόφωνο, γεωεντοπισμός, κ.λπ.) μπορούν να χρησιμοποιηθούν στην ιστοσελίδα σας.

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

Απενεργοποιώντας δυνατότητες που δεν χρησιμοποιείτε αποτρέπει τρίτους σενάριο από την κακή χρήση τους.

Παράδειγμα εφαρμογής επικεφαλίδων (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

Εφαρμογή επικεφαλίδων (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Εφαρμογή επικεφαλίδων (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Γρήγορη νίκη: Προσθέστε όλες τις παραπάνω 5 επικεφαλίδες στη ρύθμιση του διακομιστή σας. Αυτό διαρκεί 5 λεπτά και βελτιώνει άμεσα τη στάση ασφάλειας σας σε οποιοδήποτε εργαλείο σάρωσης.

HSTS Preload

Η HTTP Strict Transport Security (HSTS) λέει στους πλοηγούς να χρησιμοποιούν πάντα HTTPS για το τομέα σας — ακόμα και πριν την πρώτη αίτηση. Χωρίς HSTS, η πρώτη επίσκεψη στην ιστοσελίδα σας μπορεί να χρησιμοποιεί ακόμα HTTP (ευάλωτο σε παρακολούθηση) πριν συμβεί η ανακατεύθυνση στο HTTPS.

Επικεφαλίδα HSTS:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Οι τρεις οδηγίες:

| Οδηγία | Σημασία | |--------|---------| | max-age=31536000 | Θυμήσου αυτό για 1 έτος (σε δευτερόλεπτα) | | includeSubDomains | Εφαρμόστε και σε όλους τους υποτομείς | | preload | Αιτήστε συμπερίληψη σε λίστες προφόρτωσης πλοηγών |

Λίστα HSTS preload:

Η κορυφαία προστασία HSTS. Οι πλοηγοί στέλνουν με μια ενσωματωμένη λίστα domains που πρέπει να χρησιμοποιούν πάντα HTTPS. Υποβάλλοντας το τομέα σας στο hstspreload.org σημαίνει:

  • Οι πρώτοι επισκέπτες αποκτούν HTTPS αμέσως (χωρίς ανακατεύθυνση HTTP → HTTPS)
  • Αδύνατο για επιτιθέμενους να υποβαθμίσουν τις συνδέσεις
  • Μόνιμο (δύσκολο να αφαιρεθεί μόλις υποβληθεί)

Απαιτήσεις για HSTS preload:

  1. Έγκυρο HTTPS πιστοποιητικό
  2. Ανακατεύθυνση όλων των HTTP σε HTTPS (συμπεριλαμβανομένων των υποτομέων)
  3. Επικεφαλίδα HSTS με max-age >= 31536000
  4. Η επικεφαλίδα HSTS περιλαμβάνει includeSubDomains
  5. Η επικεφαλίδα HSTS περιλαμβάνει preload
  6. Όλοι οι υποτομείς πρέπει να υποστηρίζουν HTTPS

Προειδοποίηση: Υποβάλετε μόνο για προφόρτωση αν ΟΛΟΙ οι υποτομείς σας υποστηρίζουν HTTPS. Η οδηγία includeSubDomains σημαίνει ότι οποιοσδήποτε υποτομέας μόνο HTTP θα γίνει απρόσιτος.

Γρήγορη νίκη: Αν έχετε ήδη HTTPS σε όλους τους υποτομείς, προσθέστε την πλήρη επικεφαλίδα HSTS και υποβάλετε σε hstspreload.org. Η επεξεργασία διαρκεί κάποιες εβδομάδες αλλά η προστασία είναι μόνιμη.

Σάρωση Ευπαθειών

Η αυτοματοποιημένη σάρωση ευπαθειών αναγνωρίζει γνωστά ζητήματα ασφάλειας στην στοίβα σας πριν οι επιτιθέμενοι τα εκμεταλλευτούν.

Τι ελέγχει η σάρωση ευπαθειών:

  • Παλαιωμένο λογισμικό: WordPress, πρόσθετα, βιβλιοθήκες JavaScript με γνωστά CVEs
  • Εκτεθειμένα αρχεία: .env, .git, wp-config.php, εκροές βάσεων δεδομένων
  • Διαρροή πληροφοριών: Επικεφαλίδες έκδοσης διακομιστή, κατάσταση αποσφαλμάτωσης, στοίβες παρακολούθησης
  • Προεπιλεγμένα διαπιστευτήρια: Σελίδες διαχειριστή χωρίς αυθεντικοποίηση, προεπιλεγμένοι κωδικοί πρόσβασης
  • Ανοιχτές θύρες/υπηρεσίες: Μη αναγκαίες υπηρεσίες που εκτίθενται στο διαδίκτυο
  • Σημεία ένεσης: Φόρμες χωρίς προστασία CSRF, μη επικυρωμένα εισαγωγές

Κοινές ευπάθειες ανά πλατφόρμα:

| Πλατφόρμα | Κορυφαία Ευπάθεια | Διόρθωση | |-----------|-------------------|-----------| | WordPress | Παλαιωμένα πρόσθετα | Αυτόματη αναβάθμιση + WAF | | Shopify | Δικαιώματα εφαρμογών τρίτων | Έλεγχος λίστας εφαρμογών ανά τρίμηνο | | Next.js | Εκτεθειμένες διαδρομές API | Middleware αυθεντικοποίησης + περιορισμός ρυθμού | | Στατικές ιστοσελίδες | Κακή ρύθμιση CDN | Αναθεώρηση κανόνων cache | | Custom | SQL injection | Παράμετροποιημένα ερωτήματα |

Συχνότητα σάρωσης:

  • Καθημερινά: Αυτοματοποιημένη επιφανειακή σάρωση (SSL, επικεφαλίδες, εκτεθειμένα αρχεία)
  • Εβδομαδιαία: Έλεγχος ευπαθειών εξαρτήσεων (npm audit, σαρωτής προσθέτων WordPress)
  • Μηνιαία: Βαθιά σάρωση με πιστοποίηση δοκιμών
  • Μετά από κάθε ανάπτυξη: Έλεγχος οπισθοδρόμησης

Γρήγορη νίκη: Τρέξτε npm audit (Node.js) ή ελέγξτε τη λίστα πρόσθετων του CMS σας για παλαιωμένα εξαρτήματα. Διορθώστε άμεσα ζητήματα κρισίμων/υψηλών σοβαρότητας.

Μεικτό Περιεχόμενο

Το μεικτό περιεχόμενο συμβαίνει όταν μια σελίδα HTTPS φορτώνει πόρους (εικόνες, σενάρια, φύλλα στυλ, iframes) μέσω HTTP. Αυτό σπάει εν μέρει την κρυπτογράφηση και ενεργοποιεί προειδοποιήσεις πλοηγού.

Τύποι μεικτού περιεχομένου:

| Τύπος | Σοβαρότητα | Παράδειγμα | Συμπεριφορά Πλοηγού | |-------|------------|------------|----------------------| | Ενεργό | Υψηλή | HTTP σενάριο, iframe, CSS | Μπλοκαρισμένο από προεπιλογή | | Παθητικό | Μέση | HTTP εικόνα, βίντεο, ήχος | Φορτώνεται με προειδοποίηση |

Το ενεργό μεικτό περιεχόμενο εμποδίζεται από τους σύγχρονους πλοηγούς — πράγμα που σημαίνει ότι τα σενάρια και οι στυλιστικές ρυθμίσεις σας δεν θα φορτώσουν απλά. Το παθητικό μεικτό περιεχόμενο φορτώνεται αλλά δείχνει προειδοποιήσεις ασφαλείας.

Εύρεση μεικτού περιεχομένου:

  1. Ανοίξτε το Chrome DevTools → Κονσόλα
  2. Ψάξτε για "Μεικτό Περιεχόμενο" προειδοποιήσεις
  3. Εναλλακτικά, σαρώστε με έναν ανιχνευτή (Screaming Frog, LANGR)

Κοινές πηγές μεικτού περιεχομένου:

  • Σκληρά κωδικοποιημένες διευθύνσεις http:// σε περιεχόμενο (ιστοσελίδες, περιγραφές προϊόντων)
  • Λειτουργίες τρίτων που φορτώνουν HTTP πόρους
  • Ενσωματωμένο περιεχόμενο (παλιά ενσωματωμένα YouTube, widgets κοινωνικών μέσων)
  • CSS background-image με HTTP διευθύνσεις
  • Fonts που φορτώνονται μέσω HTTP

Διόρθωση μεικτού περιεχομένου:

<!-- Κακό -->
<img src="http://example.com/image.jpg" />

<!-- Καλό -->
<img src="https://example.com/image.jpg" />

<!-- Καλύτερο (σχετικό με το πρωτόκολλο, προσαρμόζεται στο πρωτόκολλο της σελίδας) -->
<img src="//example.com/image.jpg" />

Διόρθωση βάσης δεδομένων (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

Γρήγορη νίκη: Ανοίξτε την αρχική σας σελίδα στο Chrome, πατήστε F12, ελέγξτε την καρτέλα Κονσόλα για προειδοποιήσεις μεικτού περιεχομένου. Διορθώστε τυχόν που εμφανίζονται — αυτές είναι άμεσα ορατές στη Google.

Κίνδυνοι Τρίτων Σεναρίων

Κάθε εξωτερικό σενάριο που φορτώνετε είναι μια πιθανή ευθύνη για ασφάλεια (και απόδοση). Τα σενάρια τρίτων μπορούν να:

  • Είναι παραβιασμένα (επιθέσεις εφοδιαστικής αλυσίδας)
  • Παρακολουθούν τους χρήστες σας χωρίς συναίνεση (παράβαση GDPR)
  • Επιβραδύνουν την ιστοσελίδα σας (μπλοκάρισμα κατά την απόδοση, καθυστέρηση δικτύου)
  • Σπάσουν τη λειτουργικότητα (αναβαθμίσεις εκδόσεων, διακοπές)
  • Ενσωματώσουν ανεπιθύμητο περιεχόμενο (κακόβουλα σενάρια)

Έλεγχος των σεναρίων τρίτων:

| Σενάριο | Απαραίτητο; | Επίπεδο Κινδύνου | Εναλλακτική | |---------|-------------|------------------|--------------| | Google Analytics | Συχνά ναι | Χαμηλό | Παρακολούθηση server-side | | Chat widgets | Ίσως | Μέσο | Λύσεις αυτοφιλοξενίας | | Κουμπιά κοινωνικής κοινοποίησης | Σπάνια | Μέσο | Στατικά links κοινοποίησης | | A/B testing | Μερικές φορές | Υψηλό | Δοκιμές server-side | | Retargeting pixels | Επιχειρηματική απόφαση | Υψηλό | Πρώτα δεδομένα | | Font CDNs | Βολικό | Χαμηλό | Αυτοφιλοξενία γραμματοσειρών |

Μείωση κινδύνου для των απαραίτητων σεναρίων τρίτων:

  1. Subresource Integrity (SRI): Η επαλήθευση hash αποτρέπει την φόρτω σημένων σεναρίων που έχουν τροποποιηθεί
<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>
  1. Περιορισμοί CSP: Επιτρέπουν μόνο σενάρια από γνωστούς τομείς
  2. Sandboxed iframes: Απομονώνουν τα widgets τρίτων
  3. Τακτικοί έλεγχοι: Τριμηνιαία αναθεώρηση όλων των εξωτερικών πόρων
  4. Παρακολούθηση: Ενημέρωση για νέους εξωτερικούς τομείς που εμφανίζονται στις σελίδες σας

Γρήγορη νίκη: Καταγράψτε κάθε