Gid SEO Etap 7: Sekirite — Baz Google espere nan 2026
Gid SEO Etap 7: Sekirite
Sa a se Etap 7 nan Gid SEO 13 Etap. Sekirite pa sèlman konsidere pwoteje itilizatè yo — li gen yon enpak dirèk sou klasman rechèch ou yo. Google sèvi ak HTTPS kòm yon siyal klasman depi 2014, epi atant yo sèlman ogmante.
Pifò mèt sit panse sekirite se yon bagay bipolari: "Nou gen SSL, donk nou an sekirite." An reyalite, Google evalye plizyè siyal sekirite. Sit ki gen tèt sekirite adekwat, sètifika valab, ak pa gen kontni melanje yo genyen pi bon klasman pase sit ki sèlman gen yon sètifika SSL debaz — tout bagay lòt bagay kanpe sou pye.
Bon nouvèl la: pifò reparasyon sekirite se konfigirasyon yon sèl fwa. Configure yo yon fwa, epi yo pwoteje klasman ou pou toutan.
Konfigirasyon SSL
SSL (tekniquement TLS) chiffre koneksyon ant sèvè ou ak vizitè yo. Depi 2014, Google te konfime HTTPS kòm yon siyal klasman. An 2026, pa gen HTTPS pa jis yon pwoblèm klasman — Chrome make sit HTTP yo kòm "Pa Sekirize" nan ba adrès la, detwi konfyans itilizatè.
Egzijans pou yon SSL adekwat:
| Egzijans | Poukisa | Kijan pou verifye | |----------|---------|------------------| | Sètifika valab | Expired = avètisman navigatè = itilizatè kite sit la | Verifye dat ekspire | | Chèn konplè | Chèn ki pa konplè echwe sou kèk aparèy | Tès SSL Labs | | TLS 1.2+ | Vèsyon ansyen yo gen vilnerabilite ki konnen | Tès SSL Labs | | Pa SHA-1 | Depase, navigatè rejete li | Detay sètifika | | Kouvèti SAN | www ak non-www dwe tou dwat kouvri | Detay sètifika | | Renouvelman otomatik | Anpeche dezas ekspirasyon | Let's Encrypt / konfigirasyon founisè |
Klasman SSL:
100% = Sètifika valab + Chèn konplè + TLS 1.3 + Cipher fò + Renouvelman otomatik
0% = Sètifika ki ekspire oswa ki mankeErè komen SSL:
- Sètifika ekspire san avètisman — Mete sou pye siveyans (Etap 6) omwen 30 jou anvan li ekspire
- Chèn sètifika ki pa konplè — Sèvè a dwe voye sètifika entèmedyè, pa sèlman fèy la
- Kontni melanje — Paj HTTPS ki chaje resous HTTP (imaj, scripts, stylesheets)
- Boukl redireksyon — HTTP → HTTPS → HTTP sik ki fèt pa CDN/pwoksime mal configure
- Non-www vs www pa matche — Sètifika kouvri youn men pa lòt la
Quick win: Fè tès domèn ou a sou SSL Labs (ssllabs.com/ssltest). Nenpòt bagay ki anba yon nòt "A" gen pwoblèm ki ka aji sou yo. Pifò founisè hosting rezoud sa yo ak yon sèl klike.
Tèt Sekirite
Tèt sekirite yo se tèt repons HTTP ki bay enstriksyon navigatè yo sou ki jan pou aji lè yo chaje sit ou. Yo anpeche tout kategori atak — epi crawlers Google verifye yo.
Tèt sekirite esansyèl yo:
Content-Security-Policy (CSP)
CSP se tèt sekirite ki pi pwisan. Li di navigatè yo egzakteman ki resous (scripts, styles, imaj, polis) ki pèmèt chaje sou paj ou yo.
Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';Sa CSP anpeche:
- Atak scripting atravè sit (XSS)
- Atak enjeksyon done
- Clickjacking (atravè
frame-ancestors) - Egzekisyon script san otorizasyon (cryptominers, ad injectors)
Estrateji deplwaman CSP:
- Kòmanse ak
Content-Security-Policy-Report-Only(log vyolasyon san bloke) - Siveye rapò pou 1-2 semèn
- Mete sous lejitim sou lis blan
- Chanje pou mòd fè respekte
- Ajoute
report-urioswareport-topou lòg vyolasyon sa yo kontinye
X-Frame-Options
Anpeche sit ou a nan enfòmasyon nan iframes sou lòt domèn (pwoteksyon clickjacking).
X-Frame-Options: DENYOswa si ou bezwen pèmèt framing menm-orijin:
X-Frame-Options: SAMEORIGINX-Content-Type-Options
Anpeche navigatè yo soti nan MIME-tip sniffing (entèprete fichye kòm diferan kalite pase sa ki deklare).
X-Content-Type-Options: nosniffSa a anpeche atak kote yon fichye .jpg gen JavaScript kache ke navigatè a ka egzekite.
Referrer-Policy
Kontwole konbyen enfòmasyon referrer voye lè itilizatè yo klike sou lyen ki soti nan sit ou.
Referrer-Policy: strict-origin-when-cross-originSa a voye URL konplè pou demann menm-orijin men sèlman orijin (domèn) pou demann atravè-orijin. Balans bezwen analis ak prive.
Permissions-Policy
Kontwole ki karakteristik navigatè (kamera, mikwofòn, jeyolokalizasyon, elatriye) ki ka itilize sou sit ou.
Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()Dezaktive karakteristik ou pa itilize anpeche script twazyèm pati yo abize yo.
Egzanp aplikasyon tèt (Next.js):
// next.config.js
module.exports = {
async headers() {
return [{
source: '/(.*)',
headers: [
{ key: 'X-Content-Type-Options', value: 'nosniff' },
{ key: 'X-Frame-Options', value: 'SAMEORIGIN' },
{ key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
{ key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
{ key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
]
}]
}
}Aplikasyon tèt (Apache .htaccess):
Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"Aplikasyon tèt (Nginx):
add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;Quick win: Ajoute tout 5 tèt sa yo nan konfigirasyon sèvè ou a. Sa a pran 5 minit epi imedyatman amelyore pozisyon sekirite ou nan nenpòt zouti eskanè.
HSTS Preload
HTTP Strict Transport Security (HSTS) di navigatè yo toujou sèvi ak HTTPS pou domèn ou — menm anvan premye demann lan. San HSTS, premye vizit sou sit ou ka toujou sèvi ak HTTP (vulnerable a entèsepte) anvan redireksyon an nan HTTPS fèt.
Tèt HSTS:
Strict-Transport-Security: max-age=31536000; includeSubDomains; preloadTwa direktiv yo:
| Direktif | Siyati | |----------|--------| | max-age=31536000 | Sonje sa a pou 1 ane (an segonn) | | includeSubDomains | Apwopriye pou tout subdomains tou | | preload | Mande enkli nan lis preload navigatè yo |
Lis preload HSTS:
Pwoteksyon HSTS ki ultime. Navigatè yo ap ba ou yon lis entegre domèn ki dwe toujou sèvi ak HTTPS. Soumèt domèn ou a hstspreload.org vle di:
- Vizitè premye fwa yo jwenn HTTPS imedyatman (pa gen HTTP → HTTPS redireksyon)
- Enposib pou atakè yo diminye koneksyon
- Pèmanan (difisil pou retire yon fwa ou soumèt)
Egzijans pou HSTS preload:
- Sètifika HTTPS valab
- Redireksyon tout HTTP nan HTTPS (ki gen ladan subdomains)
- Tèt HSTS ak
max-age>= 31536000 - Tèt HSTS gen ladan
includeSubDomains - Tèt HSTS gen ladan
preload - Tout subdomains dwe sipòte HTTPS
Avètisman: Soumèt sèlman pou preload si TOUT subdomains ou sipòte HTTPS. Direktif includeSubDomains vle di nenpòt subdomain ki sèlman HTTP ap vin ireyabl.
Quick win: Si ou deja gen HTTPS sou tout subdomains, ajoute tèt HSTS konplè a epi soumèt nan hstspreload.org. Pwosesis la pran kèk semèn men pwoteksyon an se pèmanan.
Eskanè Vilnerabilite
Eskanè vilnerabilite otomatik idantifye pwoblèm sekirite ki konnen nan estrikti ou anvan atakè yo eksplwate yo.
Sa eskanè vilnerabilite a verifye:
- Lojisyèl ki ansyen: WordPress, plugins, bibliyotèk JavaScript ki gen CVE ki konnen
- Fichye ki ekspoze:
.env,.git,wp-config.php, dumps baz done - Fuite enfòmasyon: Tèt vèsyon sèvè, mòd debogaj, tras stack
- Kredi default: Paj administratè san otorizasyon, modpas default
- Pò/seriv ki ouvè: Sèvis ki pa nesesè ekspoze sou entènèt la
- Pwen enjeksyon: Fòm ki pa gen pwoteksyon CSRF, antre ki pa valide
Vilnerabilite komen pa platfòm:
| Platfòm | Pi gwo Vilnerabilite | Fiks | |---------|----------------------|------| | WordPress | Plugins ki ansyen | Auto-aktualizasyon + WAF | | Shopify | Otorizasyon aplikasyon twazyèm pati | Revize lis aplikasyon chak trimès | | Next.js | Chemen API ki ekspoze | Otorizasyon middleware + limitasyon frekans | | Sit estatik | Mauvaise configuration CDN | Revize règ kach | | Custom | Enjeksyon SQL | Kesyon ki parametrize |
Frekans eskanè:
- Chak jou: Eskanè sifas otomatik (SSL, tèt, fichye ekspoze)
- Chak semèn: Verifye vilnerabilite depandans (npm audit, WordPress plugin scanner)
- Chak mwa: Eskanè pwofond ak tès otorize
- Apre chak deplwaman: Verifikasyon regresyon
Quick win: Fè npm audit (Node.js) oswa tcheke lis plugin CMS ou a pou konpozan ki ansyen. Fikse pwoblèm kritik/wo severite imedyatman.
Kontni Melanje
Kontni melanje rive lè yon paj HTTPS chaje resous (imaj, scripts, stylesheets, iframes) atravè HTTP. Sa a kraze ankripasyon an yon pati e li déclenche avètisman navigatè.
Tip kontni melanje:
| Tip | Severité | Egzanp | Konpòtman Navigatè | |-----|----------|--------|---------------------| | Aktif | Segondè | Script HTTP, iframe, CSS | Bloke pa default | | Pasif | Mwayen | Imaj HTTP, videyo, odyo | Chaje ak avètisman |
Kontni melanje aktif bloke pa navigatè modern yo — sa vle di scripts ou ak styles yo senpleman pa pral chaje. Kontni melanje pasif chaje, men montre avètisman sekirite.
Kouman jwenn kontni melanje:
- L ouvri Chrome DevTools → Console
- Gade pou avètisman "Kontni Melanje"
- Apre sa, eskanè ak yon crawler (Screaming Frog, LANGR)
Sous kontni melanje komen:
- URL
http://ki kòd dirèk nan kontni (artik, deskripsyon pwodwi) - Widgets twazyèm pati ki chaje resous HTTP
- Kontni entegre (anviwònman pou YouTube fin vye granmoun, widgets medya sosyal)
- CSS
background-imageak URL HTTP - Fichye polis ki chaje atravè HTTP
Fikse kontni melanje:
<!-- Move -->
<img src="http://example.com/image.jpg" />
<!-- Bon -->
<img src="https://example.com/image.jpg" />
<!-- Pi bon (protokòl-relatif, adapte ak pwotokòl paj la) -->
<img src="//example.com/image.jpg" />Fikse baz done (WordPress):
UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');Quick win: L ouvri paj dakèy ou a nan Chrome, peze F12, tcheke onglet Console a pou avètisman kontni melanje. Fikse nenpòt bagay ki parèt — sa yo dirèkteman vizib pou Google.
Ris Script Twazyèm Pati
Chak script ekstèn ou chaje se yon potansyèl sekirite (ak pèfòmans) ki an danje. Scripts twazyèm pati ka:
- Kòmanse konpwomèt (atake chèn livrezon)
- Suiv itilizatè ou san konsantman (vyolasyon GDPR)
- Ralanti sit ou (bloke rend, latansi rezo)
- Kraze fonksyonalite (aktualizasyon vèsyon, echèk)
- Enjekte kontni ki pa vle (script piblisite ki mal fè)
Ka udit script twazyèm pati ou:
| Script | Nesesè? | Nivo Risk | Altènatif | |--------|---------|-----------|-----------| | Google Analytics | Souvan wi | Ba | Suivi bò sèvè | | Widgets chat | Petèt | Mwayen | Solisyon ki otorize tèt yo | | Bouton pataje sosyal | Ra | Mwayen | Lyen pataje estatik | | Tès A/B | Pafwa | Segondè | Tès bò sèvè | | Pixels retargeting | Desizyon biznis | Segondè | Done premye pati | | Font CDNs | Pratik | Ba | Polis otorize tèt yo |
Mitigasyon risk pou script twazyèm pati esansyèl:
- Subresource Integrity (SRI): Verifikasyon hash anpeche script ki twonpe yo chaje
<script src="https://cdn.example.com/lib.js"
integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
crossorigin="anonymous"></script>- Restriksyon CSP: Pèmèt sèlman scripts ki sòti nan domèn ki konnen
- Iframes sandboxed: Izole widgets twazyèm pati
- Regilye audits: Revizyon chak trimès tout resous ekstèn
- Siveyans: Alèt sou nouvo domèn ekstèn ki parèt nan paj ou yo
Quick win: Lis chak