Skip to main content
Back to blog

SEO ಮಾರ್ಗದರ್ಶಿ ಹೆಜ್ಜೆ 7: ಸುರಕ್ಷತೆ — 2026ರಲ್ಲಿ Google ನಿರೀಕ್ಷಿಸುವ ತಳಹದಿ

·11 min read·by LANGR SEO

SEO ಮಾರ್ಗದರ್ಶಿ ಹೆಜ್ಜೆ 7: ಸುರಕ್ಷತೆ

ಇದು 13-ಹೆಜ್ಜೆ SEO ಮಾರ್ಗದರ್ಶಿನ ಹೆಜ್ಜೆ 7. ಸುರಕ್ಷತೆ ಮಾತ್ರ ಬಳಕೆದಾರರನ್ನು ರಕ್ಷಿಸುವ ಕುರಿತಲ್ಲ — ಇದು ನಿಟ್ಟುಸಿರುಗೊಡುವ ವರ್ಗಗಳಲ್ಲಿ ನೇರವಾದ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ. 2014 ರಿಂದ, Google HTTPS ಅನ್ನು ಒರಟಾದ ಸಂಕೇತವನ್ನು ರೂಪಿಸುವುದಾಗಿ ಬಳಸುತ್ತಿದೆ, ಮತ್ತು ನಿರೀಕ್ಷೆಗಳು ಮಾತ್ರ ಹೆಚ್ಚಾಗಿವೆ.

ಬಹುದಾದ ಜಾಲತಾಣದ ಮಾಲೀಕರೆ ಬಿಂದುಚಿಹ್ನೆಗಳಲ್ಲಿ ಸುರಕ್ಷತೆಯನ್ನು ಎಂದುಕೊಳ್ಳುತ್ತಾರೆ: "ನಮ್ಮ ಬಳಿ SSL ಇದೆ, ಹೀಗಾಗಿ ನಾವು ಸುರಕ್ಷಿತ." ವಾಸ್ತವದಲ್ಲಿ, Google ನೂರಾರು ಸುರಕ್ಷತಾ ಚಿಹ್ನೆಗಳನ್ನುಮೌಲ್ಯಮಾಪನ ಮಾಡುತ್ತದೆ. ಸೂಕ್ತ ಸುರಕ್ಷತಾ ಹೆಡರ್‌ಗಳು, ಮಾನ್ಯ ಪ್ರಮಾಣ ಪತ್ರಗಳು, ಮತ್ತು ಮಿಶ್ರ ವಿಷಯವಿಲ್ಲದ ಜಾಲತಾಣಗಳು ಮೂಲಭೂತ SSL ಪ್ರಮಾಣ ಪತ್ರವನ್ನು ಹೊಂದಿರುವ ಜಾಲತಾಣಗಳಿಗೂ ಮೀರಿಸುತ್ತವೆ — ಇತರ ಎಲ್ಲಾ ಸಮಾನವಾಗಿರುವಾಗ.

ಸುಖ ಸುದ್ದಿಯೆಂದರೆ: ಹೆಚ್ಚುತಕ್ಕ ಈ ಎಲ್ಲಾ ಸುರಕ್ಷತಾ ದುರಸ್ತಿ ಒಂದೇ ಬಾರಿ ಸಿದ್ಧಪಡಿಸಿದಂತೆ ಅನ್ಯವು. ಅವುಗಳನ್ನು ಒಂದು ಸಮಯದಲ್ಲಿ ಹೊಂದಿಸಿ, ನಿಮ್ಮ ಸ್ಥಾನಗಳನ್ನು ಸ್ತಾಯೀವಾಗಿ ರಕ್ಷಿಸುತ್ತವೆ.

SSL ಕಾನ್ಫಿಗರೇಶನ್

SSL (ತಾಂತ್ರಿಕವಾಗಿ TLS) ನಿಮ್ಮ ಸರ್ವರ್ ಮತ್ತು ಭೇಟಿಕಾರರ ನಡುವೆ ಜಾಲ ಸಂಪರ್ಕವನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡುತ್ತದೆ. 2014ರಿಂದ, Google HTTPS ಅನ್ನು ಒರಟಾದ ಸಂಕೇತವಾಗಿ ಖಚಿತಪಡಿಸಿದೆ. 2026ರಲ್ಲಿ, HTTPS ಇಲ್ಲದಿರುವುದು ಕೇವಲ ಬರಹಾಂಶ ಸಮಸ್ಯೆಯಲ್ಲ — Chrome HTTP ಜಾಲತಾಣಗಳನ್ನು "ಸುರಕ್ಷಿತ ಅಲ್ಲ" ಎಂದು ಗುರುತಿಸುತ್ತದೆ, ಬಳಕೆದಾರರ ನಂಬಿಕೆಯನ್ನು ಹಾಳು ಮಾಡುತ್ತದೆ.

ಸೂಕ್ತ SSL ಗೆ ಅಗತ್ಯಗಳು:

|Requirement | Why | How to Check | |-------------|-----|--------------| | ಮಾನ್ಯ ಪ್ರಮಾಣ ಪತ್ರ | ದಿನಾಂಕ ಮರುಪೂರಿತ = ಬ್ರೌಸರ್ ಎಚ್ಚರಿಕೆಯನ್ನು = ಹಾರುವ ಬಳಕೆದಾರರು | ಸಮಯ ಪರಿಷ್ಕರಿಸು | | ಸಂಪೂರ್ಣ ಶ್ರೇಣಿಯ ಮೂಲಕ | ಅಪೂರ್ಣ ಸರಣಿಗಳು ಕೆಲವು ಸಾಧನಗಳಲ್ಲಿ ವಿಫಲವಾಗುತ್ತವೆ | SSL ಲ್ಯಾಬ್ ಪರೀಕ್ಷೆ | | TLS 1.2+ | ಹಳೆಯ ಆವೃತ್ತಿಗಳಲ್ಲKnown ಅಪಾಯತೆಗಳಿವೆ | SSL ಲ್ಯಾಬ್ ಪರೀಕ್ಷೆ | | SHA-1 ಇಲ್ಲ | ಅವ್ಯಸ್ಕೃತ, ಬ್ರೌಸರ್ ಅದನ್ನು ಖಂಡಿಸಲು | ಪ್ರಮಾಣ ಪತ್ರದ ವಿವರಗಳು | | SAN ಒಾಗಿದೆ | www ಮತ್ತು non-www ಎರಡೂ ಸಹ ವ್ಯಾಪಿಸಿದೆ | ಪ್ರಮಾಣ ಪತ್ರದ ವಿವರಗಳು | | ಸ್ವಯಂ-ಪುನರ್-ನೋಂದಣಿ | ಸಮಾರಕ್ಷಕರಾಗುತ್ತದೆ | Let’s Encrypt/ ಒದಗಿಸುವ ಕಾನ್ಫಿಗ್ |

SSL ಅಂಕೀಕರಣ:

100% = ಮಾನ್ಯ ಪ್ರಮಾಣ + ಸಂಪೂರ್ಣ ಶ್ರೇಣಿ + TLS 1.3 + ಶಕ್ತಿ ಎನ್‌ක්ෂನ್ + Auto-renew
  0% = ದಿನಾಂಕ ಮರುಪೂರಿತ ಅಥವಾ ಕೊರತೆಯ ಉಳ್ಳ ಪ್ರಮಾಣ ಪತ್ರ

ಸಾಮಾನ್ಯ SSL ತಪ್ಪುಗಳು:

  1. ಪ್ರಮಾಣ ಪತ್ರ ಎದ್ದಿಲ್ಲದೆ ಮರುಪೂರಿತವಾದಾಗ — ಇಳಿಸುವ ಇಲಾಖೆಯನ್ನು ನಿರ್ಮಿಸಲು (ಹೆಜ್ಜೆ 6) ಕನಿಷ್ಠ 30 ದಿನಗಳ ಮುಂಚಿತವಾಗಿ
  2. ಅಪೂರ್ಣ ಪ್ರಮಾಣ ಪತ್ರ ಸರಣಿ — ಸರ್ವರ್ ಇಂಟರ್ಮಿಡಿಯೇಟ್ ಪ್ರಮಾಣ ಪತ್ರಗಳನ್ನು ಕಳುಹಿಸಬೇಕು, ಕೇವಲ ಎಲೆ ಮತ್ತುಲ್ಲ
  3. ಮಿಶ್ರ ವಿಷಯ — HTTPS ಪುಟವು HTTP ಸಂಪತ್ತುಗಳನ್ನು (ಚಿತ್ರಗಳು, ಲೆಕ್ಕಪತ್ರಗಳು, ಶ್ರೇಣೀಬದ್ಧಗೊಳಿಸಿ)
  4. ಮರುನಿರ್ದೇಶನ ಸಾವುತ್ತಗಳು — HTTP → HTTPS → HTTP ಚಕ್ರಗಳು ಮಾರ್ಚುರಾಯಿಸಿದ CDN/ಪ್ರಾಕ್ಸಿಯಿಂದ
  5. Non-www ವಿರುದ್ಧ www ಅಸಮ ನೋಡಿ — ಪ್ರಮಾಣ ಪತ್ರವು ಒಂದನ್ನು ಮಾತ್ರ ಕಾವಲು ಮಾಡುತ್ತದೆ ಆದರೆ ಇನ್ನೊಂದನ್ನು ಅಲ್ಲ

ತಕ್ಷಣದ ಗೆಲುವು: ನಿಮ್ಮ ಡೊಮೇನ್ ಅನ್ನು SSL ಲ್ಯಾಬ್ ಮುಖಾಂತರ ಓಡಿಸಿ (ssllabs.com/ssltest). "A" ರೇಟಿಂಗ್‌ಕ್ಕಿಂತ ಕಡಿಮೆ ಏನಾದರೂ ಕಾಯಕದ ಸಮಸ್ಯೆಗಳೆಂದರೆ. ಒಬ್ಬ ಹೆಚ್ಚು ಹೋಸ್ಟಿಂಗ್ ಆಸ್ಥಿದಾರರು ಈ ಸಮಸ್ಯೆಗಳನ್ನು ಒಂದೇ ಕ್ಲಿಕ್‌ನಲ್ಲಿ ಸುಧಾರಿಸುತ್ತಾರೆ.

ಸುರಕ್ಷತಾ ಹೆಡರ್‌ಗಳು

ಸುರಕ್ಷತಾ ಹೆಡರ್‌ಗಳು ನಿಮ್ಮ ಜಾಲತಾಣವನ್ನು ಲೋಡ್ ಮಾಡುವಾಗ ಬ್ರೌಸರ್‌ಗಳಿಗೆ ಹೇಗೆ ವರ್ತನೆ ಮತ್ತು ಸೂಚಿಸುತ್ತವೆ. ಸಂಪೂರ್ಣ ವರ್ಗಗಳ ಅಪಾಯಗಳನ್ನು ತಡೆಯುತ್ತವೆ — ಮತ್ತು Google ಕ್ರೋಲರ್‌ಗಳು ಇವರನ್ನು ಪರಿಶೀಲಿಸುತ್ತವೆ.

ಅಗತ್ಯ ಸುರಕ್ಷತಾ ಹೆಡರ್‌ಗಳು:

ವಿಷಯ-ಸುರಕ್ಷತಾ-ನೀತಿ (CSP)

CSP ಹೆಚ್ಚು ಶಕ್ತಿಶಾಲಿ ಸುರಕ್ಷತಾ ಹೆಡರ್ — ಇದು ಬ್ರೌಸರ್‌ಗಳನ್ನು ನಿಮ್ಮ ಪುಟಗಳಲ್ಲಿ ಯಾವ ಸಂಪತ್ತುಗಳು (ಲೆಕ್ಕ ಮಾಹಿತಿಗಳು, ಶ್ರೇಣೀಬದ್ಧಗೊಳಿಸಿ, ಚಿತ್ರಗಳು, ಶ್ರೇಣೀಬದ್ಧಗೊಳಿಸಿ) ಅವರು ಲೋಡ್ ಮಾಡಲು ವಿಶೇಷವಾಗಿ ಹೊಂದಿವೆ ಎಂದು ಸೂಚಿಸುತ್ತದೆ.

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

CSP ಏನನ್ನು ತುಳಿಯುತ್ತದೆ:

  • ಕ್ರಾಸ್-ಜಾಲ ಸ್ಕ್ರಿಪ್ಟ್ (XSS) ಮೋದಿನ ಕಳವು
  • ಡೇಟಾ ಸುತ್ತೋಣೆ ಅಪಾಯ
  • ಕ್ಲಿಕ್‌ಜಾಕ್‌ (ದಾರ ಮೂಲಕ frame-ancestors)
  • ಅನುಮೋದಿತ ಸ್ಕ್ರಿಪ್ಟ್ ಕಾರ್ಯಗತಗೊಳ್ಳಿಕೆ (ಕ್ರಿಪ್ಟೋಮೈನರ್‌ಗಳು, ವೆಬ್ಬರ್ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳು)

CSP ನಿಯೋಜನೆ ತಂತ್ರವನ್ನು:

  1. Content-Security-Policy-Report-Only (ಣನಿಗೆ ಬ್ಲಾಕ್ ಮಾಡದಂತೆ ಲಾಗ್ ಸಂಪೂರ್ಣ ತಪ್ಪುಗಳು)
  2. 1-2 ವಾರಗಳ ಕಾಲ ವರದಿಗಳನ್ನು ಮುನ್ಸೂಚನೆ ಮಾಡಿ
  3. ನಿಜವಾದ ಸಂಪತ್ತುಗಳನ್ನು ವೈಟ್‌ಲಿಸ್ಟ್ ಮಾಡಿ
  4. ಶ್ರೇಣೀಬದ್ಧಗೊಳಿಸುವ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಅನುಸರಿಸಲು ಬದಲಾಯಿಸಿ
  5. ಉಲ್ಲೇಖ URI ಅಥವಾ ವರದಿ ಮೂಲಕ ಬ್ಲಾಕ್ ಕುರಿತು ಗ್ರಾಹಕರಿಗೆ ಮುಂದುವರಿಸಿದೆ

X-Frame-Options

ನಿಮ್ಮ ಜಾಲತಾಣವನ್ನು ಇತರ ಡೊಮೇನ್‌ಗಳ ಮೂಲಕ ಐಫ್ರೇಮ್‌ಗಳಲ್ಲಿ ಸಾಮಾಜಿಕ ಶ್ರೇಣೀಬದ್ಧಗೊಳಿಸಲು ತಡೆಯುತ್ತದೆ (ಕ್ಲಾಕ್‌ಜಾಕ್ ರಕ್ಷಣೆಯು) .

X-Frame-Options: DENY

ಅಥವಾ ನೀವು ಒಂದೇ ಮೂಲದ ರೂಪಾಂತರವನ್ನು ಅನುಮತಿಸುವ ಅಗತ್ಯವಿದ್ದರೆ:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

ಮಿಂಟೇಪ್ಪುಗಳನ್ನು MIME-ಗುರುತನ್ನು ತಡೆಯುತ್ತದೆ (ಜಾಲದಲ್ಲಿ ಅಗತ್ಯವಿಲ್ಲದ ರೀತಿಯಲ್ಲಿ ಫೈಲ್‌ಗಳನ್ನು ವಿವರಿಸುತ್ತದೆ).

X-Content-Type-Options: nosniff

ಈ ಒಂದು-ಲೈನ್ ಹೊಸ ಮನೋಭಾವನೆಗಳಲ್ಲಿ .jpgಫೈಲ್‌ಗಳು ಪೂರ್ವ-ಲಾಗ್ಟ್ಸ್ ಆದ ವರ್ತನೆಗೆ ಪ್ರವೇಶಿಸುತ್ತದೆ.

Referrer-Policy

ನಿಮ್ಮ ಜಾಲತಾಣದಿಂದ ಬಳಕೆದಾರರು ಲಿಂಕ್ಸ್ ಮೇಲೆ ಕ್ಲಿಕ್ ಮಾಡಿದಾಗ ಕ多少ಪ್ಪರ ಮಾಹಿತಿಯಷ್ಟು ಕಳುಹಿಸೋವು ಎಂಬುದನ್ನು ನಿಯಂತ್ರಿಸುತ್ತದೆ.

Referrer-Policy: strict-origin-when-cross-origin

ನೀವು ತಲುಪಿರುವ URL ಅನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ಕಳುಹಿಸುತ್ತದೆ ಆದರೆ ಕ್ರಾಸ್-ಆರಿಜಿನ್ ವಿನಂತಿಗಳಿಗೆ ಮಾತ್ರ ಮೂಲ (ಡೊಮೇನ್) ಅನ್ನು ಕಳುಹಿಸುತ್ತದೆ. ವಿಶ್ಲೇಷಣೆಯ ಅಗತ್ಯಗಳನ್ನು ಖಾತರಿಯನ್ನೊಳಗೊಂಡಂತೆ ಒದಗಿಸುತ್ತದೆ.

Permissions-Policy

ನಿಮ್ಮ ಜಾಲತಾಣದಲ್ಲಿ ಬಳಸಬಹುದಾದ ಯಾವ ಬ್ರೌಸರ್ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು (ಕ್ಯಾಮೆರಾ, ಮೈಕ್ರೋಫೋನ್, ಜಿಯೋಲೊಗೇಶನ್, ಇತ್ಯಾದಿ) ನಿಯಂತ್ರಿಸುತ್ತದೆ.

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

ನೀವು ಬಳಸದ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸುವುದರಿಂದ ಮೂರನೆಯ ಪಕ್ಷದ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳನ್ನು ದುರ್ಬಳಕೆ ಮಾಡಿದರೂ, ಇವು ಮಾಡಬಾರದು.

ಹೆಡರ್ ಅನುಷ್ಟಾನ ಉದಾಹರಣೆ (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

ಹೆಡರ್ ಅನುಷ್ಟಾನ (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

ಹೆಡರ್ ಅನುಷ್ಟಾನ (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

ತಕ್ಷಣದ ಗೆಲುವು: ಮೇಲ್ಕೂಡಲಿರುವ 5 ಹೆಡರ್‌ಗಳನ್ನು ನಿಮ್ಮ ಸರ್ವರ್ ಕಾನ್ಫಿಗರೇಶನ್‌ಗೆ ಸೇರಿಸಿ. ಇದನ್ನು 5 ನಿಮಿಷಗಳು ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ, ಮತ್ತು ಯಾವುದೇ ಸ್ಕಾನ್ ಟೂಲ್‌ನಲ್ಲಿ ತಕ್ಷಣ ನಿಮ್ಮ ಸುರಕ್ಷತೆ ಸ್ಥಿತಿಯನ್ನು ಸುಧಾರಿಸುತ್ತದೆ.

HSTS ಪರಿಣಾಮ

HTTP Strict Transport Security (HSTS) ಬ್ರೌಜನನ್‌ಗಳನ್ನು ನಿಮ್ಮ ಡೊಮೇನ್‌ಗಾಗಿ ಸದಾ HTTPS ಅನ್ನು ಬಳಸಲು ಸೂಚಿಸುತ್ತದೆ - ಮೊದಲ ವಿನಂತಿಯಂತೆ. HSTS ಇಲ್ಲದಿದ್ದರೆ, ನಿಮ್ಮ ಜಾಲತಾಣಕ್ಕೆ ಮೊದಲ ಬಾರಿಗೆ ಭೇಟಿ ಮಾಡಿದಾಗ HHTTPS (ಊರಿಣು ನೀತಿ) ಬಳಸುತ್ತದೆ, ನಂತರ HTTPS ಗೆ ಹೊರಹಾಕಿಕೊಂಡದ್ದಾಗಿದೆ.

HSTS ಹೆಡರ್:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

ಮೂರು ನಿರ್ದೇಶನಗಳು:

| ನಿರ್ದೇಶನ | ಅರ್ಥ | |-----------|---------| | max-age=31536000 | ಇದನ್ನು 1 ವರ್ಷ ( seco ) ನೆನೆಸಿರಿ | | includeSubDomains | ಎಲ್ಲಾ ಉಪಡೊಮೇನ್‌ಗಳಿಗೆ ಇದು ಪ್ರಯೋಗಿಸು | | preload | ಬ್ರೌಸರ್ ಪೂರ್ವ ಪಟ್ಟಿ ಬಳಕೆಯು ಕೇಳಿಸುತ್ತವೆ |

HSTS ಪೂರ್ವ ಪಟ್ಟಿ:

ಉತ್ತಮ HSTS ರಕ್ಷಣೆ. ಬ್ರೌಸರ್‌ಗಳು ಯಾವಾಗಲೂ HTTPS ಅನ್ನು ಬಳಸಬೇಕಾದ ಡೊಮೇನ್‌ಗಳ ನಿರ್ಮಿತ ಪಟ್ಟಿಯೊಂದಿಗೆ ಬಂದಿವೆ. ನಿಮ್ಮ ಡೊಮೇನ್ ಅನ್ನು hstspreload.org ಗೆ ಸಲ್ಲಿಸುವುದರಿಂದ:

  • ಮೊದಲ ಬಾರಿಗೆ ಭೇಟಿಕಾರರು ಸಂಪೂರ್ಣವಾಗಿ ಓಡುತ್ತವೆ (ಯಾವ HTTP → HTTPS ಮರುನಿರ್ದೇಶನ ಇಲ್ಲ)
  • ದಾರಿಯಲ್ಲಿ ದುರ್ಬಳಕೆ ಮಾಡಲು ಆಯುಷ್ಯವನ್ನು ಕಟಾಯಿಸಲು ಕಷ್ಟವಾಗುತ್ತದೆ
  • ಶಾಶ್ವತ (ಒಂದುವರಿಯ ಹೋಗುವುದು ಕಷ್ಟ)

HSTS ಪೂರ್ವ ಪಟ್ಟಿಗೆ ಅಗತ್ಯಗಳು:

  1. ಮಾನ್ಯ HTTPS ಪ್ರಮಾಣಪತ್ರ
  2. ಸಂಪೂರ್ಣ HTTP ಅನ್ನು HTTPSಗೆ ಮರುನಿರ್ದೇಶನ ಮಾಡುತ್ತದೆ (ಉಪಡೊಮೇನ್‌ಗಳನ್ನೂ ಒಳಗೊಂಡಂಥ)
  3. HSTS ಹೆಡರ್ max-age >= 31536000 ಇದು ಅತೀ ದೊಡ್ಡದು
  4. HSTS ಹೆಡರ್‌ನಲ್ಲಿಯೂ includeSubDomains
  5. HSTS ಹೆಡರ್‌ನಲ್ಲಿ preload ಆಸನೀಯ
  6. ಎಲ್ಲಾ ಉಪಡೊಮೇನ್‌ಗಳಿಗೆ HTTPS ಬೆಂಬಲವು ಕಲ್ಪಿಸಲಾಗುತ್ತದೆ

ಚೆತನ: ನಿಮ್ಮ ಎಲ್ಲಾ ಉಪಡೊಮೇನ್‌ಗಳಿಗೆ HTTPS ಬೆಂಬಲಿತವಾಗಿಲ್ಲದಾಗ ಮಾತ್ರ ಪೂರ್ವ ಪಟ್ಟಿ ಅರ್ಜಿಸಲು. includeSubDomains ನಿರ್ದೇಶನವು ಎಂದಾದರೂ HTTP ಮಾತ್ರ ಉಪಡೊಮೇನ್‌ ಬರುವ ಪ್ರದೇಶವನ್ನು ಅನ್ವಯಿಸಲಾಗುವುದು.

ತಕ್ಷಣದ ಗೆಲುವು: ನೀವು ಈಗಾಗಲೇ ಎಲ್ಲಾ ಉಪಡೊಮೇನ್‌ಗಳಲ್ಲಿಯೂ ಪ್ರತ್ಯೇಕ HTTPS ಹೊಂದಿದರೆ, ಸಂಪೂರ್ಣ HSTS ಹೆಡರ್ ಅನ್ನು ಸೇರಿಸಿ ಮತ್ತು hstspreload.org ಗೆ ಸಲ್ಲಿಸಿ. ಕಾರ್ಯಗತಗೊಳ್ಳುವಿಕೆ ಕೆಲವು ವಾರಗಳು ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ ಆದರೆ ನಿರ್ವಹಣೆ ಶಾಶ್ವತವಾಗಿದೆ.

ಅಪಾಯತೆ ಪತ್ತೆ

ಸ್ವಾಯತ್ತ ಸಂಪೂರ್ಣ ಅಪಾಯತೆ ಪತ್ತೆ ಯಂತ್ರಗಳನ್ನು ಮುನ್ನೋಟಗೊಳಿಸುತ್ತವೆ, ನಿಮ್ಮ ಸ್ಟಾಕ್‌ನಲ್ಲಿ ವಿದ್ಯುಕ್ತ ತೊಂದರೆಗಳನ್ನು ಗುರುತಿಸುತ್ತದೆ.

ಅಪಾಯತೆ ಪತ್ತೆನ ಹೆಚ್ಚು ಕೇಳುತ್ತದೆ:

  • ಹಳೆಯ ಮೇಲೆ ದೂ, ಆಪ್ಲಿಕೇಶನ್: WordPress, ప్రమಾಣ ಪತ್ರಗಳು, ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಗ್ರಂಥಾಲಯಗಳನ್ನು ತಿಳಿದ CVEಗಳಿಗೆ
  • ಪ್ರಕಾಶಿತ ಫೈಲ್‌ಗಳು: .env, .git, wp-config.php, ಡೇಟಾಬೇಸ್ ಡಂಪ್‌ಗಳು
  • ಮಾಹಿತಿ漏出: ಸರ್ವರ್ ಆವೃತ್ತಿಯ ಹೆಡರ್‌ಗಳು, ಡೇಬಗ್ ಮೋಡ್, ಸ್ಟಾಕ್ ಟ್ರೇಸ್‌ಗಳು
  • ಡೆಫಾಲ್ಟ್ ಪ್ರಮಾಣಗಳು: ಅಧಿಕಾರವಿಲ್ಲದ ನಿರ್ವಹಣಾ ಪುಟಗಳು, ಡೆಫಾಲ್ಟ್ ಪಾಸ್ವರ್ಡ್‌ಗಳು
  • ಊಗರಾಷ್ಟ್ರೀಯ ಸೇವೆಗಳ ಪ್ರವೇಶ ಪಟ್ಟಿಗಳು: ಅಸಾಧಾರಣ ಸೇವೆಗಳು ಇಂಟರ್‌ನೆಟ್‌ಗೆ ತೆರೆದಿವೆ
  • ಹುಡುಕಲು ಬಿಂದುಗಳು: CSRF ರಕ್ಷಣೆ ಇಲ್ಲದ ರೂಪಗಳು, ಅಸಮಾನವಾದ ನಿಖರಗಳು

ಮೂಲ ಕಂಪೆಕ್ಷನ್ ಸಮಾಹಾರ:

| ಪ್ಲಾಟ್‌ಫಾರ್ಮ್ | ಶ್ರೇಣಿ ಅಪಾಯ | ತಿದ್ದುಪಡಿ | |----------|-------------------|-----| | WordPress | ಹಳೆಯPlugins | ಸ್ವಯಂ-ಅಪ್ಡೇಟ್ + WAF | | Shopify | ಮೂರನೇ-ಕೋಣ ಆಪ್ ಅನುಮತೆ | ತ್ರೈಮಾಸಿಕ ಆಪ್ ಪಟ್ಟಿ ಪರಿಶೀಲನೆ | | Next.js | ಪ್ರಕಟಿತ API ಮಾರ್ಗಗಳು | ಅಧಿಕಾರ ಮಿಡಲ್‌ವೇರ್ + ದರ ಮಿತಿಯು | | ಸ್ಟಾಟಿಕ್ ಜಾಲತಾಣಗಳು | CDN ದೋಷಕರ ಸ್ವಾಗತ | ಕ್ಯಾಶ್ ನಿಯಮಗಳನ್ನು ಪರಿಶೀಲನೆ | | ಕಸ್ಟಮ್ | SQL ಸಂಸ್ಥಿತಮ | ಪ್ಯಾಮೇಟರಾಯ್ಡ್ ಕ್ವೆರಿ |

ಆಧಾರ ನಿಮ್ಮ ಸಂಖ್ಯಾ ಸಮಯ:

  • ದೈನಂದಿನ: ಸ್ವಯಂ-ಪೂರ್ಣ ಸ್ಕಾನ್ (SSL, ಹೆಡರ್‌ಗಳು, ಡುಬೇಕು, )
  • ವಾರೀ: ಈಗಾಗಲೇ ಪುರಾವೆಗಳ ಪರಿಶೀಲನೆ (npm audit, WordPress plugin)
  • ಮಾಸಿಕ: ಮಾನ್ಯತೆ ಪರೀಕ್ಷೆಯಾಗಿ ತುರ್ತು ಒಂದು ಆಳ ಸಂಪೂರ್ಣ ನೋನೂ ನೋಡಿ
  • ಪ್ರತಿ ನಿಯೋಜನೆಯ ನಂತರ: ಪುನರಾವೃತ್ತ ಪರೀಕ್ಷೆ

ತಕ್ಷಣದ ಗೆಲುವು: npm audit (Node.js) ಅನ್ನು ಓಡಿಸಿ ಅಥವಾ вашу CMS ಪ್ಲಗಿನ್ ಪಟ್ಟಿ ಪರಿಶೀಲಿಸಿ. ತಕ್ಷಣವೇ ಆಪಾದಿತ / ಉಲ್ಬಣ ಪ್ರಮಾಣದ ಸಮಸ್ಯೆಗಳನ್ನು ಖಚಿತಪಡಿಸಿ.

ಮಿಶ್ರ ವಿಷಯ

ಮಿಶ್ರ ವಿಷಯ ಆಗುಚೆಲ್ಲಿ HTTPS ಪುಟವು ಸಂಪತ್ತುಗಳನ್ನು (ಚಿತ್ರಗಳು, ನಿರ್ದೇಶಕಗಳು, ಶ್ರೇಣೀಬದ್ಧಗೊಳಿಸಿ, ಐಫ್ರೇಮ್‌ಗಳನ್ನು) HTTP ಮೂಲಕ ಲೋಡ್ ಬಳಸಬಹುದು. ಇದು ಅಪೂರ್ಣವಾಗಿರುವ ಎನ್‌ಕ್ರಿಪ್ಟ್ ಅನ್ನು ತೀವ್ರಗೊಳಿಸುತ್ತದೆ ಮತ್ತು ಬ್ರೌಸರ್ ಎಚ್ಚರಿಕೆಗಳನ್ನು ಸಕಾಲದಲ್ಲಿ ಸೂಚಿಸುತ್ತವೆ.

ಮಿಶ್ರ ವಿಷಯದ ವಿಧಗಳು:

| ಪ್ರಕಾರ | ತೀವ್ರತೆ | ಉದಾಹರಣೆ | ಬ್ರೌಸರ್ ಅನುಭವಿ | |------|----------|---------|------------------| | ಸಕ್ರಿಯ | ಏಕಕಾಲದಲ್ಲಿ | HTTP ಸ್ಕ್ರಿಪ್ಟ್, ಐಫ್ರೇಮ್, CSS | ಡೀಫಾಲ್ಟಾಗಿ ನಿರಾಕರಿಸಲಾಗಿದೆ | | ನಿಷ್ಕ್ರಿಯ | ಮಧ್ಯಮ | HTTP ಚಿತ್ರ, ವಿಡಿಯೊ, ಲೊಗೊ | ಎಚ್ಚರಿಕೆ ಸಹಿತ ಲೋಡ್ ಮಾಡಲಾಗಿದೆ |

ಸಕ್ರಿಯ ಮಿಶ್ರ ವಿಷಯವು ಆಧುನಿಕ ಬ್ರೌಸರ್‌ಗಳಲ್ಲಿ ನಿರಾಕರಿಸಲಾಗುತ್ತದೆ - ನೀವು ಲೋಡ್ ಮಾಡದೇ ಅಖಂಡವಾಗದ ಅನುಭವವನ್ನು ಗೌರವಿಸಬಹುದು. ನಿಷ್ಕ್ರಿಯ ಮಿಶ್ರ ವಿಷಯವು ಲೋಡ್ ಮಾಡುತ್ತದೆ ಆದರೆ ಸುರಕ್ಷತಾ ಎಚ್ಚರಿಕೆಗಳನ್ನು ತೋರುತ್ತದೆ.

ಮಿಶ್ರ ವಿಷಯವನ್ನು ಹುಡುಕುವುದು:

  1. Chrome DevTools ಅನ್ನು ತೆರೆಯಿರಿ → ಕಚೇರಿ
  2. "ಮಿಶ್ರ ವಿಷಯ" ಎಚ್ಚರಿಕೆಗಳನ್ನು ಹುಡುಕಿ
  3. ಪರ್ಯಾಯವಾಗಿ, ಸ್ಕ್ರಾಲರ್ ಉಪಯೋಗಿಸಿ (Screaming Frog, LANGR)

ಸಾಮಾನ್ಯ ಮಿಶ್ರ ವಿಷಯದ ಮೂಲಗಳು:

  • ವಿಷಯದಲ್ಲಿ http:// URLs ಹಾರ್ಡ್‌ಕೋಡ್ ಮಾಡಿ (ಬ್ಲಾಗ್ ಪೋಸ್ಟ್‌ಗಳು, ಉತ್ಪನ್ನ ವಿವರಣೆಗಳು)
  • HTTP ಸಂಪತ್ತುಗಳನ್ನು ಲೋಡ್ ಮಾಡುವ ಮೂರನೇ-ಪಕ್ಷ ವಿದ್ಯುಕ್ತವಾದ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳು
  • ಅಂಕಿತ ವಿಷಯ (YouTube ಹಳೆಯ ಅಂಕಿತ, ಸಾಮಾಜಿಕ ಮಾಧ್ಯಮ ವಿದ್ಯುಕ್ತವಾದ)
  • CSS background-image HTTP URLs ನೊಂದಿಗೆ
  • HTTP ಮೂಲಕ ಲೋಡ್ ಆದ ಫಾಂಟ್ಸ್

ಮಿಶ್ರ ವಿಷಯವನ್ನು ದುರಸ್ತಿಗೊಳಿಸುವುದು:

<!-- ಕೆಟ್ಟದು -->
<img src="http://example.com/image.jpg" />

<!-- ಉತ್ತಮ -->
<img src="https://example.com/image.jpg" />

<!-- ಉತ್ತಮ (ಪ್ರೋಟೋಕಾಲ್-ನಿಭಾಯಿಸುವಿಕೆ, ಪುಟದ ಪ್ರೋಟೋಕಾಲ್‌ಗೆ ಹೊಂದಿಕೆ) -->
<img src="//example.com/image.jpg" />

ಡೇಟಾಬೇಸ್ ದುರಸ್ತಿ (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

ತಕ್ಷಣದ ಗೆಲುವು: ನಿಮ್ಮ ಹೋಮ್‌ಪೇಜ್ ಅನ್ನು Chrome ನಲ್ಲಿ ತೆರೆಯಿರಿ, F12 ಒತ್ತಿ, ಮತ್ತು ಕಂಪುಮಂಡಲ ಟ್ಯಾಬ್‌ನಲ್ಲಿಯೇ ಮಿಶ್ರ ವಿಷಯ ಎಚ್ಚರಿಕೆಗಳನ್ನು ಪರಿಶೀಲಿಸಿ. ಇದು Google ಗೆ ನೇರವಾಗಿ ಲಭ್ಯವಿದೆ.

ಮೂರನೇ-ಪಕ್ಷದ ಸ್ಕ್ರಿಪ್ಟ್ ಅಪಾಯಗಳು

ನೀವು ಲೋಡ್ ಮಾಡುವ ಪ್ರತಿಯೊಂದು ಹೊರಗಿನ ಸ್ಕ್ರಿಪ್ಟ್ անվտանգության (ಮತ್ತು ಕಾರ್ಯಗತೀಕ್ರಿಯೆ) ಬಾಧ್ಯತೆ. ಮೂರkante-ಪಕ್ಷದ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳು:

  • ಕಳವುಗೆ ಒಳಗಾಗು (ಸರಬರಾಜು ಸರಪಳಿ ದಾಳಿ)
  • ನಿಮ್ಮ ಬಳಕೆದಾರರನ್ನು ಅನುಮತಿ ಹೊಂದಿಲ್ಲದೆ ಟ್ರ್ಯಾಕ್ ಮಾಡುವುದು (GDPR ಉಲ್ಲಂಘನೆ)
  • ನಿಮ್ಮ ಜಾಲತಾಣವನ್ನು ನಿಧಾನಗತಿಯ ಮೇಲೆ ಮಾಡುವುದು (ರೇಂದ್ರ-ಬ್ಲಾಕ್‌ ಮಾಡುವುದು, ನೆಟ್ವರ್ಕ್ ವಿಳಂಬ)
  • ಕಾರ್ಯಚಟುವಟಿಕೆಯನ್ನು ಸ್ನಾನ ಮಾಡುವಾಗ (ಆವೃತ್ತಿಗಳ ನವೀಕರಣಗಳು, ಸಮುದಾಯಗಳಿಗೆ)
  • ಅಗತ್ಯವಿಲ್ಲದ ವಿಷಯವನ್ನು ಸೇರಿಸುವುದಾಗಿ (ಅಡೋಮಿತ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳು ಪ್ರಯೋಗಿಸಿದೆ)

ನಿಮ್ಮ ಮೂರ kanten-ಪಕ್ಷದ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳನ್ನು ಪರಿಶೀಲಿಸಲಾಗಿದೆ:

| ಸ್ಕ್ರಿಪ್ಟ್ | ಅಗತ್ಯವಿದೆಯೆ? | ಅಪಾಯ ಹಂತ | ಪರ್ಯಾಯ | |--------|-----------|------------|-------------| | Google Analytics | ಮಾರ್ಗಸೂಚಿಯಲ್ಲಿಯೇ | ಕಡಿಮೆ | ಸರ್ವರ್-ಬದ್ಲಿಯನು ಗಮನವು | | ಚಾಟ್ ವಿಡ್ಜಟ್‌ಗಳು | ಬಹಳ ಸಿಗ್ಗಿಯಾಗಿ | ಮಧ್ಯಮ | ಸ್ವಯಂ-ಹೊಡೆಯಿಸಿದ ಪರಿಹಾರಗಳು | | ಸೋಷಿಯಲ್ ಶೇರ್ ಬಟನ್‌ಗಳು | ಅಪರೂಪವಾಗಿ | ಮಧ್ಯಮ | ಸ್ಥರ ಶೇರ್ ಲಿಂಕ್ಸ್ | | A/B ಪರೀಕ್ಷೆ | ಯಾವಾಗ್ಧರಿಯಲ್ಲಿಯೇ | ಏಕಕಾಲದಲ್ಲಿ | ಸರ್ವರ್-ಬದ್ಲಿಯಾದ ಪರೀಕ್ಷೆ | | ಪುನರೇಟೆರುವ ಪಿಕ್ಸೆಲ್ಸ್ | ವ್ಯವಹಾರ ನಿರ್ಧಾರ | ಏಕಕಾಲದಲ್ಲಿ | ಪ್ರಥಮ-ಕೋಣದ ಡೇಟಾ | | ಫಾಂಟ್ CDNs | ಸುಲಭ | ಕಡಿಮೆ | ಸ್ವಯಂ-ಹೊಡೆಯಿಸಿದ ಫಾಂಟ್ಸ್ |

ಅಗತ್ಯವಾದ ಮೂರkante-ಪಕ್ಷದ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳಿಗೆ ಅಪಾಯ ತಡೆಯುವಿಕೆ:

  1. ಉಪಸಂಪತ್ತು ಶುದ್ಧತೆ (SRI): ಹ್ಯಾಶ್ ದೃಢೀಕರಣವು ಬಿದ್ದ ಸ್ಕ್ರಿಪ್ಟ್‌ನ್ನು ಲೋಡ್ ಮಾಡುವುದನ್ನು ತಡೆಯುತ್ತದೆ
<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>
  1. CSP ನಿಯಂತ್ರಣಗಳು: ಮಾತ್ರ ಹೆರಿಸಲು ಪರಿವಾರಿಸಿಕೊಳ್ಳುವ ಡೊಮೇನ್‌ಗಳಿಂದ ಪೂರ್ಣಲಾಗುವು;
  2. Sandboxed iframes: ಮೂರkante-ಪಕ್ಷದ ವಿಂಡೋಗಳನ್ನು ಪ್ರತ್ಯೇಕಗೊಳಿಸುವುದು
  3. ನಿಯಮಿತ ಪರಿಶೀಲನೆ: ಸಂಪೂರ್ಣ ಸಂಪತ್ತುಗಳ ತ್ರೈಮಾಸಿಕ ಪರಿಶೀಲನೆಯನ್ನು ಮಟ್ಟ ಯಾದ್ ಮಾಡುವುದು
  4. ನಿಗಾ: ನಿಮ್ಮ ಪುಟಗಳಲ್ಲಿ ಹೊಸ ಖಾತೆಗಳಿಗೆ ಸೂಚನೆ ನೀಡುವುದು

ತಕ್ಷಣದ ಗೆಲುವು: ನಿಮ್ಮ HTMLನಲ್ಲಿ ಹೊರಗಿನ ಡೊಮೇನ್‌ಗಳಿಂದ ಬರುವ ಪ್ರತಿಯೊಂದು