SEO માર્ગદર્શન પગલું 7: સુરક્ષા

આ 13-પગલું SEO માર્ગદર્શન નું પગલું 7 છે. સુરક્ષા ફક્ત ઉપયોગકર્તાઓને પ્રભાવી બનાવવાની વાત નથી — તે તમારા શોધ રેંકિંગને સખત અસર કરે છે. ગુગલે 2014 માં HTTPS ને રેન્કિંગ સંકેત તરીકે ઉપયોગ કર્યો છે, અને અપેક્ષાઓ માત્ર વધતી જ ગઈ છે.

જ્યાં સુધી વેબસાઇટ માલિકો માટે સુરક્ષા મુલ્યંકન એક બાઇનરી બાબત છે: "અમારા પાસે SSL છે, તેથી અમે સુરક્ષિત છીએ." વાસ્તવમાં, ગુગલ ઘણા સુરક્ષા સંકેતોનું મૂલ્યાંકન કરે છે. યોગ્ય સુરક્ષા હેડર્સ, માન્ય પ્રમાણપત્રો અને કોઈ મિક્સ્ડ સામગ્રીના સાઇટોએ મૂળભૂત SSL પ્રમાણપત્ર ધરાવતી સાઇટોને કરતાં વધુ ઊંચા રેન્ક કરે છે — બાકી બધું સમાન થવા પર.

સારા સમાચાર: સામાન્ય સુરક્ષા સુધારેતા એકવારના સુમેળ છે. એક વખત તેને સેટ પુરીને, તેઓ તમારી રેન્કિંગને કાયમી રીતે સુરક્ષિત રાખે છે.

SSL સુમેળ

SSL (ટેક્નિકલી TLS) તમારા સર્વર અને મુલાકાતીઓ વચ્ચેના કનેક્શનને ઈન્ક્રિપ્ટ કરે છે. 2014 થી, ગુગલે HTTPS ને એક રેન્કિંગ સંકેત તરીકે સ્પષ્ટપણે કન્ફર્મ કર્યું છે. 2026 માં, HTTPS ના અભાવે ફક્ત રેન્કિંગ મુદ્દો નહીં - Chrome HTTP સાઇટોને સરનામા બારમાં "સુરક્ષિત નથી" તરીકે દર્શાવે છે, જે પ્રમાણભૂતતા નાશ કરે છે.

સુરક્ષિત SSL માટેની જરૂરિયાતો:

| જરૂરિયાત | આ કેમ | ચકાસવા માટે કેવી રીતે | |-----------|-------|---------------------| | માન્ય પ્રમાણપત્ર | રદ થવું = બ્રાઉઝર ચેતવણી = પ્રયાસ તપાસો | ભૂતકાળની તારીખ ચકાસો | | સંપૂર્ણ શ્રેણી | અપૂર્ણ શ્રેણીઓ કેટલીક ડિવાઇસો પર નિષ્ફળ થાય છે | SSL લેબ્સ પરીક્ષણ | | TLS 1.2+ | જૂની આવૃત્તિઓમાં જાણીતી kwetsbaarheid છે | SSL લેબ્સ પરીક્ષણ | | કોઈ SHA-1 | Deprecated, બ્રાઉઝરો તે મંજૂર નથી | પ્રમાણપત્ર વિગતો | | SAN આવરણ | www અને non-www બંને આવરી લેવાં જોઈએ | પ્રમાણપત્ર વિગતો | | સ્વતઃ નવિનીકરણ | રદ્દ થવા ના જોખમ દૂર કરે છે | Let's Encrypt / પ્રદાતા કન્ફિગરેશન |

SSL સ્કોરિંગ:

100% = માન્ય સર્ટ + સંપૂર્ણ શ્રેણી + TLS 1.3 + મજબૂત સાયફર + સ્વતઃ નવાંકરણ
  0% = રદ થયેલ અથવા ખોયેલું પ્રમાણપત્ર

સામાન્ય SSL ભૂલો:

પ્રમાણપત્રની ઈંટરન્ચ્યુરી જા નો થાય — માન્ય 30 દિવસ પહેલાં જ્યાદા કરતી વ્યવસ્થા કરો (પગલું 6)
અપૂર્ણ પ્રમાણપત્ર શ્રેણી — સર્વર પાસે મધ્યમ પ્રમાણપત્રો મોકલવા જરૂરી છે, ફક્ત પાનચાંйым જ નહીં
મિક્સ્ડ સામગ્રી — HTTPS પૃષ્ઠ HTTP સંશોધનો (છબીઓ, સ્ક્રિપ્ટ, શૈલીઓ)
પરિવર્તન લૂપ — HTTP → HTTPS → HTTP ચક્ર miskonfig અમુક CDN/પ્રોક્સ દ્વારા બને છે
Non-www વિરુદ્ધ www ગેરસમજો — પ્રમાણપત્ર એકને આવરી લે છે પરંતુ બીજાને લેતા નથી

ઝટપટ જીત: SSL લેબ્સ (ssllabs.com/ssltest) પર તમારા ડોમેન પર ચલાવો. "A" રેટિંગથી નીચે કોઈ પણ વસ્તુ ગરમ સમસ્યાઓ છે. બહું સારા હોસ્ટિંગ પ્રદાતાઓ આને એક ક્લિકમાં ઠીક કરે છે.

સુરક્ષા હેડરો

સુરક્ષા હેડર્સ એ HTTP પ્રતિસાદ હેડર્સ છે જે બ્રાઉઝરોને કહે છે કે તેમની સાઇટ લોડ કરતી વખતે કેવી વર્તવું. તેઓ સમગ્ર શ્રેણીના આક્રમણોને રોકે છે — અને ગુગલના ક્રોલર તેમને તપાસે છે.

મહત્વપૂર્ણ સુરક્ષા હેડર્સ:

સામગ્રી-સુરક્ષા-નીતિ (CSP)

CSP સૌથી શક્તિશાળી સુરક્ષા હેડર છે. તે બ્રાઉઝરોને ચોક્કસ રીતે જણાવે છે કે કયા સંશોધનો (સ્ક્રિપ્ટો, શૈલીઓ, છબીઓ, ફોન્ટ) તમારી પાનાંઓમાં લોંક કરાય છે.

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

CSP કઈ અટકાવે છે:

ક્રોસ-સાઈટ સ્ક્રિપ્ટિંગ (XSS) આક્રમણો
ડેટા ઇન્જેક્શન આક્રમણો
ક્લિકજેકિંગ (દ્વારા frame-ancestors)
અધિકૃતિત скрип્ટ એક્ઝિક્યુશન (ક્રિપ્ટોમાઇનર્સ, જાહેરાત ઇન્જેક્ટર્સ)

CSP ડિપ્લોયમેન્ટ વ્યૂહરચના:

Content-Security-Policy-Report-Onlyથી શરૂઆત કરો (દિશનિર્દેશો სამართ ઉઠાવ્યા વગરની લોગ્સ)
1-2 અઠવાડિયા સુધી રિપોર્ટની નક્કી કરો
અધિકૃત સ્ત્રોતોને વ્હાઇટલિસ્ટ કરો
અમલક્ષમતામાં ફેરવો
ચાલુ દોષ લોગિંગ માટે report-uri અથવા report-to ઉમેરો

X-Frame-Options

આપની સાઇટને અન્ય ડોમેનમાં iframe માં સેટ કરવા દેતા નથી (ક્લિકજેકિંગ સુરક્ષા).

X-Frame-Options: DENY

અથવા જો તમે સમાન મૂળ ને સમર્થન આપવા માંગો છો:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

બ્રાઉઝરોને MIME પ્રકારની સ્નીફિંગ અટકાવે છે (ફાઈલોને જાહેરમાંથી અલગ પ્રકારોમાં વ્યાખ્યાયિત કરવા).

X-Content-Type-Options: nosniff

આ એક-લાઈન એ અમલમાં અટકાવે છે જ્યાં માધ્યમ .jpg ફાઈલ છિપાયેલા JavaScript ધરાવે છે જે બ્રાઉઝર ચલાવી શકે છે.

Referrer-Policy

તમારી સાઇટમાંથી સંકેત આપવા માટે કયા અપેક્ષાઓ (લિંક પર ક્લિક કરતાં) અમલમાં લેવી જોઈએ તે નિયંત્રિત કરે છે.

Referrer-Policy: strict-origin-when-cross-origin

આ સમાન મૂળ અરજી માટે સંપૂર્ણ URL મોકલે છે પરંતુ ક્રોસ-મૂલ પ્રક્ષેપણ વખતે ફક્ત મૂળ (ડોમેન). વિશ્લેષણની જરૂરિયાતોને ખાનગીતા સાથે સંતુલન સર્જે છે.

Permissions-Policy

બ્રાઉઝર પ્રકારની કઈ સામગ્રી (કૅમેરા, માઇક્રોફોન, સ્થાનો વગેરે) તમારી સાઇટ પર ઉપયોગ કરી શકાય છે તે નિયંત્રિત કરે છે.

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

તમે ઉપયોગ ન કરતાં સુવિધાઓ વિમુક્ત થવાથી તૃતીય પક્ષના સ્ક્રિપ્ટ્સથી દુશ્મનાઈને અટકાવશે.

હેડર અમલ ઉદાહરણ (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

હેડર અમલ (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

હેડર અમલ (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

ઝટપટ જીત: ઉપર જણાવેલા 5 હેડર તમારી સર્વર કન્ફિગરેશનમાં ઉમેરો. આ 5 મિનિટ લે છે અને તરત જ તમારી સુરક્ષા સ્થિતિમાં સુધારો કરે છે.

HSTS પૂર્વભૂમિકા

HTTP સખ્ત પરિવહન સુરક્ષા (HSTS) બ્રાઉઝરોને તમારા ડોમેન માટે હંમેશા HTTPS ઉપયોગ કરવા કહેશે — પ્રથમ વિનંતી કરતા અગાઉ. HSTS વિના, પહેલી મુલાકાત ની સાઇટ હજુ પણ HTTP નો ઉપયોગ કરી શકે છે (અતિશય ટકરાવાની આસપાસના જોખમ) ત્યારબાદ HTTPS તરફ પરિવર્તન થાય છે.

HSTS હેડર:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

ત્રણ નિર્દેશો:

| નિર્દેશ | અર્થ | |---------|-------| | max-age=31536000 | આને 1 વર્ષ (સેકન્ડમાં) યાદ રાખો | | includeSubDomains | તમામ સુરક્ષિત મોખરાંથી પણ લાગુ પડે છે | | preload | બ્રાઉઝર પૂર્વભૂમિકામાં અથંગાનીત કરી લેવું |

HSTS પૂર્વભૂમિકામાં સૂચિ:

આ અંતિમ HSTS સુરક્ષા છે. બ્રાઉઝરો હંમેશા HTTPS નો ઉપયોગ કરવાં આવશ્યક ડોમેનની યાદી સાથે આવે છે. hstspreload.org પર તમારા ડોમેનનું સબમિશન એટલે કે:

પ્રથમ વખત મુલાકાતીઓને તરત HTTPS મળે છે (HTTP → HTTPS પરિવર્તન નથી)
આક્રમકોએ કનેક્શન્સને downgrade કરવા માટે લાયકાત નથી
કાયમી (સબમિટ થયા પછી દૂર કરવું મુશ્કેલ)

HSTS પૂર્વભૂમિકા માટેની જરૂરિયાતો:

માન્ય HTTPS પ્રમાણપત્ર
તમામ HTTP ને HTTPS તરફ ફરીપાવે (ઉપડૉમેનને પણ ઉળુમણો)
HSTS હેડર સાથે max-age >= 31536000
HSTS હેડર includeSubDomains નો સમાવેશ કરવો જોઈએ
HSTS હેડર preload નો સમાવેશ કરવો જોઈએ
તમામ ઉપડોમેનોએ HTTPS સમર્થન કરવું જોઈએ

ચેતવણી: માત્ર preload માટે સબમિટ કરો જો તમારા તમામ ઉપડોમેન HTTPS ને સમર્થન આપે છે. includeSubDomains નિર્દેશનો અર્થ એ છે કે કોઈપણ HTTP-માત્ર ઉપડોમેન ઍક્સેસના અક્ષમ બનાવશે.

ઝટપટ જીત: જો તમારી પાસે પહેલેથી જ HTTPS પર તમામ ઉપડોમેન છે, તો સંપૂર્ણ HSTS હેડર ઉમેરો અને hstspreload.org પર સબમિટ કરો. પ્રક્રિયા થોડી અઠવાડિયો લે છે પરંતુ સુરક્ષા કાયમી રહે છે.

ભેદ્યતા સ્કેનિંગ

સ્વચાલિત ભેદ્યતા સ્કેનિંગ તમારા સ્ટેકમાં જાણીતા સુરક્ષા મુદ્દાઓની ઓળખ આપે છે તે પહેલા ચાલુ બની જાય છે.

ભેદ્યતા સ્કેનિંગ શું તપાસે છે:

જૂની સોફ્ટવેર: WordPress, પ્લગઇન્સ, JavaScript લાયબ્રેરીઝ સાથે જાણીતા CVEs
ઉમટેલા ફાઈલો: .env, .git, wp-config.php, ડેટાબેઝ ડમ્પ્સ
માહિતીની નીચાર: સર્વર આવૃત્તિ હેડર્સ, ડિબગ સ્થિતિ, સ્ટેક ટ્રેસ
ડિફૉલ્ટ સત્રો: પ્રધાન પૃષ્ઠો વિના ઓથ, ડિફૉલ્ટ પાસવર્ડ્સ
ખુલ્લા છિદ્રો/સેવા: અનાવશ્યક સેવાઓ ઇંટરનેટ સામે મુક્યા છે
ઇન્જેક્શન પોઈન્ટ્સ: CSRF સુરક્ષાના વિના ફોર્મ, અમાન્ય ઇનપુટ

મંચદ્વારા સામાન્ય ભેદ્યતા:

| પ્લેટફોર્મ | અગ્રતા ભેદ્યતા | સુધારો | |------------|----------------|---------| | WordPress | જૂના પ્લગઇન્સ | સ્વતઃ અપડેટ + WAF | | Shopify | ત્રીજું-પાર્ટી એપ્લિકેશન અનુમતિઓ | ત્રિમાસિક ઍપ યાદીની વ્યાખ્યા | | Next.js | ખુલેલા API રૂટ | ઓથ મધ્યમ વ્યાખ્યા + દરપત્ર મર્યાદા | | સ્ટેટિક સાઇટ્સ | CDN miskonfiguration | કેશ નિયમોની સમીક્ષા | | કસ્ટમ | SQL ઇન્જેક્શન | પેરામીટર મોડ કરેલી ક્વેરીઝ |

સ્કેનિંગ આવર્તન:

દૈનિક: સ્વચાલિત સપાટી સ્કેન (SSL, હેડર્સ, ખુલેલા ફાઈલો)
સાપ્તાહિક: નિર્ભરતા ભેદ્યતા ચકાસણી (npm audit, WordPress પ્લગઇન સ્કેનર)
માસિક: માન્ય પરીક્ષણ સાથે નીચાળું સ્કેન
દરેક અમલ પછી: નેગેટિવ્સ જાળવી રાખવા

ઝટપટ જીત: npm audit (Node.js) ચલાવો અથવા તમારા CMS પ્લગઇન યાદીમાં જૂની ઘટકો માટે તપાસો. તાત્કાલિક મોખરાના / ઊંચી દેખાવમાં સમસ્યાઓને ઠીક કરો.

મિક્સ્ડ સામગ્રી

મિક્સ્ડ સામગ્રી થાય છે જયારે HTTPS પૃષ્ઠ HTTP માં સંશોધનો (છબીઓ, સ્ક્રિપ્ટ, શૈલીઓ, iframe) લોડ કરે છે. આ ભાગમાં ઈન્ક્રિપ્શન તૂટે છે અને બ્રાઉઝર ચેતવણીઓ વધી છે.

મિક્સ્ડ સામગ્રીના પ્રકાર:

| પ્રકાર | ગંભીરતા | ઉદાહરણ | બ્રાઉઝર વર્તન | |-------|---------|---------|----------------| | સક્રિય | ઉંચું | HTTP સ્ક્રિપ્ટ, iframe, CSS | ડિફૉલ્ટ મુજબ અવરોધિત | | ઊણસુકું | મધ્યમ | HTTP છબી, વિડિઓ, ઑડિયો | ચેતવણી સાથે લોડ કરેલું |

સક્રિય મિક્સ્ડ સામગ્રી નવા બ્રાઉઝરો દ્વારા અવરોધિત છે — તેનો અર્થ એ છે કે ваши скрипты અને શૈલીઓ લોડ નહીં થાય. ઊણસુકાં મિક્સ્ડ સામગ્રી લોડ થાય છે પરંતુ સુરક્ષા ચેતવણી દર્શાવે છે.

મિક્સ્ડ સામગ્રી શોધવું:

Chrome DevTools ખોલો → Console
"Mixed Content" ચેતવણીઓની શોધ કરો
વિકલ્પ તરીકે, ક્રોલર (Screaming Frog, LANGR) સાથે સ્કેન કરો

સામાન્ય મિક્સ્ડ સામગ્રીના સ્ત્રોત:

સામગ્રીમાં કઠોર રીતે લખાયેલ http:// URLs (બ્લૉગ પોસ્ટો, ઉત્પાદન વર્ણનો)
ત્રીજી પક્ષ ભજવતાં HTTP સંશોધનો
સામગ્રી જોડાયેલું (YouTube જૂના જોડાણ, સામાજિક માધ્યમનાં વિજેટ)
CSS background-image HTTP URLs સાથે
HTTP માં લોડ કરેલ ફૉન્ટ્સ

મિક્સ્ડ સામગ્રી ઠીક કરવાનો ઉદાહરણ:

<!-- ખરાબ -->
<img src="http://example.com/image.jpg" />

<!-- સારો -->
<img src="https://example.com/image.jpg" />

<!-- શ્રેષ્ઠ (પ્રોટોકોલ-સંબંધિત, પૃષ્ઠ સંપ્રદાયમાં સુમેળ): -->
<img src="//example.com/image.jpg" />

ડેટાબેઝ ઠીક કરવા (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

ઝટપટ જીત: તમારા હોમપેજને Chrome માં ખોલો, F12 દબાવો, Console ટેબમાં મિક્સ્ડ સામગ્રીની ચેતવણીની તપાસ કરો. દેખાવમાં આવેલા કોઈપણ સમસ્યાઓને ઠીક કરો — આ પ્રત્યક્ષ ગુગલને જોવા માટે છે.

ત્રીજી પક્ષ સ્ક્રિપ્ટોનાં જોખમો

તમારા દ્વારા લોડ કરવામાં આવતો દરેક બાહ્ય સ્ક્રિપ્ટ એક સંભવિત સુરક્ષા (અને પ્રદર્શન) જોખમ છે. ત્રીજી પક્ષના સ્ક્રિપ્ટો કરી શકે છે:

સંતોષણ મેળવો (સપ્લાય ચેઇન હુમલા)
તમારા ઉપયોગકર્તાઓને મંજૂરી વિના ઉપરાણું કરે (GDPR ઉલ્લંઘન)
તમારો સાઇટ ધીમો કરે (રેન્ડર-બ્લૉકિંગ, નેટવર્ક લેટનસી)
કાર્યક્ષમતા તૂટી જાય (આવૃત્તિમાં અપડેટ્સ, ઓલસિતાં)
અવિગ્નીઓ સામગ્રી આક્રમણ કરે (ગેરમાર્ગે કોટેલ સ્ક્રિપ્ટ્સ)

તમારા ત્રીજી પક્ષના સ્ક્રિપ્ટોનું નિરીક્ષણ કરવું:

| સ્ક્રિપ્ટ | જરૂરી? | જોખમ સ્તર | વિકલ્પ | |-----------|-------|------------|--------| | Google Analytics | મોટેભાગે હા | નીચું | સર્વર-પૂર્વ-ઝૂજવવું | | ચેટ વિજેટ | કદાચ | મધ્યમ | સ્વયં હોસ્ટિંગ ઉકેલો | | સામાજિક વહેંચવા બટનો | અતિRarely | મધ્યમ | સ્થિર શેર લિંક | | A/B પરીક્ષણ | ક્યારેક | ઊંચું | સર્વર-માધ્યમ પરીક્ષણ | | ધ્રુવિકૃત પિક્ષલ | વ્યવસાય નિર્ણય | ઊંચું | પ્રથમ પક્ષના ડેટા | | ફૉન્ટ CDNs | આરામદાયક | નીચું | સ્વયં હોસ્ટ ફૉન્ટ્સ |

આવશ્યક ત્રીજા પક્ષના સ્ક્રિપ્ટો માટે જોખમ ઘટાડવું:

Subresource Integrity (SRI): હેશ ચકાસણી મટોળે થઇ જાય તે સ્ક્રિપ્ટોનું લોડ થવા અટકાવે છે

<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>

CSP મર્યાદાઓ: ફક્ત જાણીતા ડોમેનના સ્ક્રિપ્ટો જ મંજૂર કરો
સેન્ડબોક્સેડ iframes: ત્રીજી પક્ષના વિજેટઓને DataIsolation કરો
નિયમિત નિરીક્ષણ: તમામ બાહ્ય સ્ત્રોતોની ત્રિમાસિક સમીક્ષા
મોનિટરિંગ: તમારા પાને નવા બાહ્ય ડોમેન દેખાય ત્યારે સૂચિત કરો

ઝટપટ જીત: તમારા HTML માં દરેક