Skip to main content
Back to blog

SEO Leiðarvísir Skref 7: Öryggi — Lágmarkskrafan sem Google væntir 2026

·12 min read·by LANGR SEO

SEO Leiðarvísir Skref 7: Öryggi

Þetta er Skref 7 af 13-skrefa SEO leiðarvísinum. Öryggi snýst ekki bara um að vernda notendur — það hefur bein áhrif á leitarframmistöðu þína. Google hefur notað HTTPS sem leitarvísismerki síðan 2014, og væntingar hafa aðeins aukist.

Flestir eigendur vefsíðna hugsa um öryggi sem tvíhyggju: "Við erum með SSL, þannig að við erum örugg." Í raun metur Google tugir öryggismerki. Vefsíður með réttri öryggishöfuð, gilt vottorð og engin blandað efni erfiðara en þær sem hafa aðeins grunn SSL vottorð — allt annað er jafnt.

Góðu fréttirnar: flestar öryggislausnir eru einu sinni stillingar. Settu þær upp einu sinni, og þær vernda leitarframmistöðuna þína nánast að eilífu.

SSL Uppsetning

SSL (vanið TLS) dulkóðar tenginguna á milli þjónsins þíns og gesta. Síðan 2014 hefur Google staðfest HTTPS sem leitarvísismerki. Árið 2026 er ekki að vera með HTTPS ekki bara leitarvísisvandamál — Chrome merkir HTTP vefsíður sem "Ekki Örugg" í slóðarbrandara, sem skemmir traust notenda.

Krafan fyrir rétta SSL:

| Krafan | Hvers vegna | Hvernig á að athuga | |--------------|-----------------------------------------|-------------------------------| | Gilt vottorð | Útrunnið = vafraviðvörun = notendur hoppa burt | Athugaðu gildistíma | | Full keðja | Ófullkomnar keðjur bregðast á sumum tækjum | SSL Labs próf | | TLS 1.2+ | Eldri útgáfur hafa þekkta veikleika | SSL Labs próf | | Engin SHA-1 | Úrelt, vafrar hafna því | Vottorðaskilyrði | | SAN þekja | www og ekki-www verða að vera báðar þaktar | Vottorðaskilyrði | | Sjálfendurnotkun| Forðast útrunuvandamál | Let's Encrypt / þjónustuaðili stilling |

SSL stigagjöf:

100% = Gilt vottorð + Full keðja + TLS 1.3 + Sterkt dulkóðun + Sjálfendurnotkun
  0% = Útrunnið eða vottorð vantar

Algengar SSL mistök:

  1. Vottorð rennur út án fyrirvara — Settu upp eftirlit (Skref 6) að minnsta kosti 30 dögum fyrir útrun
  2. Ófullkomin vottorðakeðja — Þjónn þarf að senda millivottorð, ekki aðeins laufið
  3. Blandara efni — HTTPS síða hleður HTTP auðlindum (myndir, skriftir, CSS)
  4. Umfangi umfjöllunar — HTTP → HTTPS → HTTP hringir vegna rangt uppsett CDN/proxy
  5. Ósamræmi milli non-www og www — Vottorð þekur annað en ekki hitt

Fljótlegur sigur: Keyrðu lén þitt í gegnum SSL Labs (ssllabs.com/ssltest). Allt undir "A" einkunn hefur málefni sem hægt er að bregðast við. Flestir hýsilar laga þessi með einu smelli.

Öryggishöfuð

Öryggishöfuð eru HTTP svörhöfuð sem segja vöfrum hvernig á að hegða sér þegar hlaðið er inn á vefsíðuna þína. Þau hindra heila flokka árása — og skriðskrár Google skoða þau.

Mikilvæg öryggishöfuð:

Efnisöryggisstefna (CSP)

CSP er það öflugasta öryggishöfuð. Það segir vöfrum nákvæmlega hvaða auðlindir (skriftir, CSS, myndir, letur) eru leyfðar að hlaða á síður þínar.

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

Hvað CSP kemur í veg fyrir:

  • Cross-site scripting (XSS) árásir
  • Gagnainnsæi árásir
  • Clickjacking (í gegnum frame-ancestors)
  • Óheimilt skrifturkeyrslu (cryptominers, auglýsinga innsetningar)

CSP útfærslustefna:

  1. Byrjaðu með Content-Security-Policy-Report-Only (skráðar brot án lokunar)
  2. Fylgstu með skýrslum í 1-2 vikur
  3. Whitelistaðu lögmætar heimildir
  4. Skiptu yfir í staðfestingarham
  5. Bættu report-uri eða report-to fyrir áframhaldandi skráningu á brotum

X-Frame-Options

Hindrar vefsíðuna þína í að vera sett í iframes á öðrum lendum (verndar clickjacking).

X-Frame-Options: DENY

Eða ef þú þarft að leyfa sömu uppsprettu:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

Hindrar vöfrum frá MIME-gerð sniffing (túlka skrár sem aðrar gerðir en þær sem eru tilkynntar).

X-Content-Type-Options: nosniff

Þessi einstaki línu kemur í veg fyrir árásir þar sem .jpg skrá inniheldur falinn JavaScript sem vafrinn gæti keyrt.

Referrer-Policy

Stjórnar því hversu miklar upplýsingarnar um skírteini eru sendar þegar notendur smella á tengla frá vefsíðunni þinni.

Referrer-Policy: strict-origin-when-cross-origin

Þetta sendir fulla slóð fyrir sömu uppruna beiðni en aðeins uppruna (lén) fyrir kross-uppsprettu beiðnir. Jafnar þarfir greininga við friðhelgi.

Permissions-Policy

Stjórnar hvaða vafra eiginleikar (kamma, hljóðnemi, staðsetning, osfrv.) megi nota á vefsíðunni þinni.

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

Aftengja eiginleika sem þú notar ekki kemur í veg fyrir að utanaðkomandi skriftur misnoti þess.

Dæmi um höfuðútfærslu (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

Höfuðútfærsla (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Höfuðútfærsla (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Fljótlegur sigur: Bættu öllum 5 höfuðunum hér að ofan við vefþjónusta þína. Þetta tekur 5 mínútur og bætir strax öryggi þínu í hvaða skanna tól sem er.

HSTS Preload

HTTP Strict Transport Security (HSTS) segir vöfrum að nota alltaf HTTPS fyrir lén þitt — jafnvel áður en fyrstu beiðnin kemur. Án HSTS má fyrsta heimsókn á vefsíðuna þína enn nota HTTP (sem er viðkvæmt fyrir íhlutun) áður en rithöfundarbreytingin í HTTPS gerist.

HSTS höfuð:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Þrjár tilskipanir:

| Tilskipun | Merking | |----------------------|-------------------------------------| | max-age=31536000 | Mundu þetta í 1 ár (í sekúndum) | | includeSubDomains | Gildir einnig fyrir allar undirlén | | preload | Fjárfesting í preloading listum vafra |

HSTS preloading listi:

Mest öfluga HSTS verndin. Vöfrar komu með innbyggðan lista yfir lén sem verða alltaf að nota HTTPS. Að senda lén þitt á hstspreload.org þýðir:

  • Fyrstir gestir fá HTTPS strax (enginn HTTP → HTTPS undanfarandi)
  • Ómögulegt fyrir árásarmenn að draga niður tengingar
  • Varanlegur (erfið sé að fjarlægja þegar skráð)

Krafan fyrir HSTS preloading:

  1. Gilt HTTPS vottorð
  2. Umfanga allar HTTP í HTTPS (þ.m.t. undirlén)
  3. HSTS höfuð með max-age >= 31536000
  4. HSTS höfuð inniheldur includeSubDomains
  5. HSTS höfuð inniheldur preload
  6. Öll undirlén verða að styðja HTTPS

Varningur: Sendu aðeins í preloading ef ÖLL undirlén þín styðja HTTPS. includeSubDomains tilskipunin þýðir að hvaða HTTP-eina undirlén sem er verða ófáanleg.

Fljótlegur sigur: Ef þú ert þegar með HTTPS á öllum undirlénum, bættu fullu HSTS höfuðinu við og sendu á hstspreload.org. Vinnslan tekur nokkrar vikur en verndin er varanleg.

Skanning á viðkvæmni

Sjálfvirk skanning á viðkvæmni greinir þekkta öryggisvankanta í þínu staki áður en árásarmenn nýta sér þá.

Hvað skanning á viðkvæmni athugar:

  • Úrelt hugbúnaður: WordPress, viðbætur, JavaScript bókasöfn með þekktum CVE
  • Sýndar skrár: .env, .git, wp-config.php, gagnagrunnsskerðingar
  • Upplýsinga leka: Þjóna útgáfu höfuð, villumeðferð, stakaskekkjur
  • Sjálfgefið skilyrði: Stjórnendarsíður án auðkenningar, sjálfgefin lykilorð
  • Opin hafnir/þjónustur: Óþarfar þjónustur sem eru opin fyrir internetinu
  • Innsæisstaðir: Form án CSRF verndar, ófrætt inntak

Algengar veikleikar eftir vettvangi:

| Vettvang | Top Veikleiki | Lagfæring | |----------|----------------------------|---------------------------| | WordPress | Úreltar viðbætur | Sjálfvirk uppfærsla + WAF | | Shopify | Uppsagnir þriðja aðila | Endurskoða forritaskrá árlega | | Next.js | Opin API leiðir | Auðkenning millihandbók + hraðatakmark | | Stíla vefsíður | CDN rangt stillt | Endurskoða skyndiminni reglur | | Sérsniðin | SQL innskot | Hlutbundin fyrirspurnir |

Skannun tíðni:

  • Daglega: Sjálfvirk ytra skanning (SSL, höfuð, sýndar skrár)
  • Vikulega: Villu aðferðar í háðum skrifum (npm audit, WordPress viðbótarskannari)
  • Mánaðarlega: Dýrmæt skanning með auðkenningu
  • Eftir hvern útgáfu: Endurgerð

Fljótlegur sigur: Keyrðu npm audit (Node.js) eða athugaðu viðbætuna á CMS lista fyrir úreltar hluta. Lagfærðu mikilvægar/miklar villur strax.

Blandað Efni

Blandað efni á sér stað þegar HTTPS síða hleður auðlindum (myndir, skriftir, CSS, iframes) yfir HTTP. Þetta brýtur að hluta dulkóðunina og kveikir á vöfrunarfyrirmælum.

Tegundir blandaðs efnis:

| Tegund | Alvarleiki | Dæmi | Vafra hegðun | |-------------|------------|----------------------|-----------------------------------| | Virkt | Hár | HTTP skrift, iframe, CSS | Blokkar sjálfkrafa | | Óvirkt | Miðlungs | HTTP mynd, video, hljóð | Hleður með viðvörun |

Virkt blandað efni er blokkað af nútíma vöfrum — það þýðir að skriftur og CSS þín munu einfaldlega ekki hlaðast. Óvirkt blandað efni hleðst en sýnir öryggisviðvaranir.

Að finna blandað efni:

  1. Opnaðu Chrome DevTools → Console
  2. Leitaðu að "Blandað efni" viðvörunum
  3. Alternatífa, skannaðu með skriðhólfi (Screaming Frog, LANGR)

Algengar heimildir blandaðs efnis:

  • Hardkóðaðar http:// slóðir í efni (blogg, vöru lýsingar)
  • Utanaðkomandi smákökur hlaða HTTP auðlindum
  • Innfelld efni (gömul YouTube insert, samfélagsmiðlacöllun)
  • CSS background-image með HTTP slóðum
  • Letur hlaðið yfir HTTP

Að laga blandað efni:

<!-- Vont -->
<img src="http://example.com/image.jpg" />

<!-- Gott -->
<img src="https://example.com/image.jpg" />

<!-- Best (protokol-óháð, aðlagast að slóðarprotokol) -->
<img src="//example.com/image.jpg" />

Gagnagrunnyfirlýsing (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

Fljótlegur sigur: Opnaðu heimasíðu þína í Chrome, ýttu á F12, athugaðu Console flipann fyrir viðvaranir um blandað efni. Lagfærðu allar sem koma fram — þessar eru beint sýnilegar Google.

Ohreyfingastaðmundum af þriðja aðila

Sérhver utanaðkomandi skrift sem þú hleður er hugsanlegur öryggis (og frammistöðuvandamál). Skriptur þriðja aðila geta:

  • Veiðst (supply chain árásir)
  • Fylgt notendum þínum án leyfis (GDPR brot)
  • Laus á síðuna þína (render-blocking, netseinkennandi)
  • Brotið aðgerðir (útgáfu uppfærslur, bilanir)
  • Innleiðt óæskilegt efni (annonsuskriftur farið að skyldi)

Endurræður þriðja aðila skriftur:

| Skritt | Nauðsynleg? | Vísitölu (Risk Level) | Valkostur | |--------------|-------------|-----------------------|--------------------------------| | Google Analytics | Oftast já | Lágt | Server-síður skráning | | Spjallsmálin | Kannski | Miðlungs | Sjálfgefið lausn | | Samfélagsmiðla deilingar | Sumar sinnum | Miðlungs | Staðbundin tengja | | A/B prófanir | Stundum | Hár | Server-síður prófanir | | Endurmerkingar skífur | Viðskiptalega ákvörðun | Hár | Fyrsta aðila gögn | | Letur CDNs | Þægilegt | Lágt | Sjálfgefið letur |

Lágmarka áhættu fyrir nauðsynlegar skriftur þriðja aðila:

  1. Subresource Integrity (SRI): Hash staðfesting kemur í veg fyrir að skammtanir með truflunum hlaðist
<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>
  1. CSP takmarkanir: Leyfðu aðeins skriftur frá þekktum lendum
  2. Sandkassaframkvæmd: Aðgreindu utanaðkomandi smákökur
  3. Regluleg skönnun: Endurskoðun hverja fjórar vikur á öllum utanaðkomandi auðlindum
  4. Eftirlit: Viðvaranir um nýja utanaðkomandi lenda sem koma fram á síðunum þínum

Fljótlegur sigur: Listaðu hverja