Skip to main content
Back to blog

SEO Guide Schritt 7: Sécherheet — D'Basislinnen déi Google 2026 erwaart

·12 min read·by LANGR SEO

SEO Guide Schritt 7: Sécherheet

Dat ass Schritt 7 vum 13-Schritte SEO Guide. Sécherheet ass net nëmmen iwwer d'Benotzer ze schützen — et beaflosst direkt Är Sichrankings. Google benotzt HTTPS säit 2014 als Ranking-Signal, an d'Erwaardungen sinn just gewuess.

Éischtens denken déi meescht Sitebesitzer un Sécherheet als e Binär: "Mir hunn SSL, also sinn mir sécher." A Wierklechkeet evaluéiert Google Dutzende vun Sécherheets-Signaler. Websäiten mat richteger Sécherheetsheader, gültege Zertifikater, an keng gemëschte Inhalter hu méi héich Ränge wéi Websäiten mat just engem Basis-SSL-Zertifikat — all aner Saachen sinn gläich.

D'Gutt Noriicht: déi meeschte Sécherheetsfixen sinn eenzela Konfiguratioune. Setzt se eenzeg a se schützen Är Ränge op d'Zäitchen.

SSL Konfiguratioun

SSL (technesch TLS) verschlësst d'Verbindung tëscht Ärem Server an de Besucher. Zënter 2014 huet Google explizit HTTPS als Ranking-Signal bestätegt. Am Joer 2026 ass net ze hunn HTTPS net nëmmen e Ranking Problem — Chrome markéiert HTTP Sites als "Net Sécher" am Adressfeld, wat d'Vetraue vun de Benotzer zerstéiert.

Fuerderungen fir richteg SSL:

| Fuerderung | Firwat | Wéi ze Kontrolléieren | |------------|--------|----------------------| | Gülteg Zertifikat | Avertissement vum Browser bei Avertriedung = Benotzer deenen déi zréckzegéien | Kontrolléiert d'Ablafdatum | | Komplet Kette | Onvollstänneg Ketten falen op e puer Apparater | SSL Labs Test | | TLS 1.2+ | Ael Versiounen hunn bekannte Verwundbarkeeten | SSL Labs Test | | Kee SHA-1 | Verwiesselung, Browser refuséieren et | Zertifikat Detailer | | SAN Deckung | www an net-www mussen all z'ënnerstëtzen | Zertifikat Detailer | | Auto-Erneierung | Verhindert Aflossdisaster | Let's Encrypt / Provider Konfiguratioun |

SSL Bewäertung:

100% = Gülteg Zertifikat + Komplet Kette + TLS 1.3 + Stärek Cipher + Auto-Erneierung
  0% = Ofgelaf oder vermëssend Zertifikat

Gängéiert SSL Feeler:

  1. Zertifikat verläuft ouni Notiz — Richteg Monitorage (Schritt 6) 30 Deeg virun der Aflaf
  2. Onvollstänneg Zertifikat Kette — Server muss tëscht Zertifikater schécken, net just de Blat
  3. Gemëschte Inhalt — HTTPS Säit läd HTTP Ressourcen (Biller, Skripte, Stylesheets)
  4. Redirect Schleifen — HTTP → HTTPS → HTTP Zyklen verursaacht duerch falsch konfiguréiert CDN/proxy
  5. Non-www vs www Mëssbrauch — Zertifikat deckt dat een a net dat aner

Quick Win: Maacht Är Domain duerch SSL Labs (ssllabs.com/ssltest). All Zäite ënner engem "A" Bewäertung hunn an der Aktiounspunkte. Déi meeschte Hosting Provider fixéieren dës mat engem Klick.

Sécherheetsheader

Sécherheetsheader sinn HTTP Äntwertheader déi de Browser instruéieren wéi se sech sollt veralte beim Lueden vun Ärer Site. Si verhënneren ganz Kategorien vun Ugrëff — an Google's Crawler kontrolléieren dës.

Déi essentiell Sécherheetsheader:

Inhalt-Sécherheetspolitik (CSP)

CSP ass de mächtegsten Sécherheetsheader. Et seet de Browser genau wéi eng Ressourcen (Skripte, Styles, Biller, Schrëften) ass erlaabt op Äre Säiten ze laden.

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

Wat CSP verhënnert:

  • Cross-Site Scripting (XSS) Ugrëffer
  • Dateninjektionsangriffe
  • Clickjacking (via frame-ancestors)
  • Unerlaabten Skript Ausféierung (Kryptominer, Reklamm Injekteren)

CSP Déploiement Strategi:

  1. Starten mat Content-Security-Policy-Report-Only (verfoulungsprotokoller ouni ze blockéieren)
  2. Monitor Reports fir 1-2 Wochen
  3. Whitelist legitim Quellen
  4. Wechselt an Zwangsmodus
  5. Fügen report-uri oder report-to fir ongoing Verfoulungsprotokolléiert

X-Frame-Options

Verhënnert Äre Site als iFrame op aneren Domänen eebezéien (clickjacking schützt).

X-Frame-Options: DENY

Oder wann Dir muss déi selwecht Urspronkframing erlaaben:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

Verhënnert Browser vun MIME-Typ Schnüffelen (dateien als aner Typen wéi erkläert interpretéieren).

X-Content-Type-Options: nosniff

Dësen eenzege Satz verhënnert Ugrëff wou eng .jpg Datei verborgen JavaScript enthält dat de Browser eventuell ausféieren kann.

Referrer-Policy

Kontrolléiert wéi vill Referrer Informatioun gesat gëtt wann d'Benotzer Linken vun Ärem Site klickt.

Referrer-Policy: strict-origin-when-cross-origin

Dëst schéckt d'voll URL fir selwecht Urspronk Ufroen awer nëmmen d'Urspronk (Domän) fir Cross-Origin Ufroen. Balancéiert Analytik Bedarfs mat Privatsphär.

Permissions-Policy

Kontrolléiert wéi eng Browser Funktionen (Kamera, Mikrofon, Geolokalisatioun, etc.) op Ärem Site benotzt ginn.

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

Disabling Fonctionen déi Dir net benotzt verhënnert drëtt Partei Skripte fir se ze missbrauchen.

Header Implementatioun Beispill (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

Header Implementatioun (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Header Implementatioun (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Quick Win: Fügen all 5 Header uebert zur Ärer Server Konfiguratioun. Dat dauert 5 Minutten an verbessert direkt Är Sécherheetspostur an all Scan Tool.

HSTS Preload

HTTP Strict Transport Security (HSTS) deelt de Browser mat ëmmer HTTPS fir Iech Domain ze benotzen — och ier den éischten Uruff. Ouni HSTS kann de erste Besuch op Ärem Site am HTTP (verwiirregt fir Ofhuelung) sinn ier d'Redirect op HTTPS geschitt.

HSTS Header:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Déi dräi Direktiven:

| Direktive | Bedeitung | |-----------|-----------| | max-age=31536000 | Erënnert dat fir 1 Joer (an Zëllen) | | includeSubDomains | Gëllt och fir all Subdomänen | | preload | Ufro fir Inklusioun an Browser Preload Lëschten |

HSTS Preload Lëscht:

D'ultimativ HSTS Schutz. Browser liwweren eng integéiert Lëscht vu Domänen déi ëmmer HTTPS musse benotzen. Är Domain bei hstspreload.org ze submitéieren heescht:

  • Éischte Besucher kréien direkt HTTPS (keen HTTP → HTTPS Redirect)
  • Onméiglech fir Ugrëff ze downgraadéieren
  • Permanent (schwéier ze läschen wann submitted)

Fuerderungen fir HSTS Preload:

  1. Gülteg HTTPS Zertifikat
  2. Redirect alles HTTP op HTTPS (inklusiv Subdomänen)
  3. HSTS Header mat max-age >= 31536000
  4. HSTS Header enthält includeSubDomains
  5. HSTS Header enthält preload
  6. All Subdomänen mussen HTTPS ënnerstëtzen

Warnung: Ufro fir Preload nëmmen wann ALL Är Subdomänen HTTPS ënnerstëtzen. D'Direktiv includeSubDomains bedeit datt all HTTP-nur Subdomän zougänglech gëtt.

Quick Win: Wann Dir schonn HTTPS op allen Subdomänen hutt, fügt de komplette HSTS Header derbäi an submitéiert bei hstspreload.org. D'Vereurdeelen dauert e puer Wochen, awer de Schutz ass permanent.

Verwundbarkeeten-Scan

Automatiséiert Verwundbarkeeten-Scannen identifizéieren bekannt Sécherheetsproblemer an Ärem Stack fir d'Ugrëff esofroen.

Wat d'Verwundbarkeeten-Scan kontrolléiert:

  • Veraltet Software: WordPress, Plugins, JavaScript Bibliothéiken mat bekannten CVEs
  • Exposed Fichieren: .env, .git, wp-config.php, Datenbank Dumps
  • Informatioun läschen: Server versioun header, Debug Modus, Stack Spuren
  • Standard Credentialen: Administratiounssäiten ouni Auth, Standard Passwörter
  • Offen Ports/Déngscht: Onnéideg Déngscht exposéiert am Internet
  • Injektionspuncten: Formeu ouni CSRF Schutz, unvalidéiert Inputs

Gängéiert Verwundbarkeete vun Plattform:

| Plattform | Top Verwundbarkeet | Fix | |-----------|--------------------|-----| | WordPress | Veraltet Plugins | Auto-update + WAF | | Shopify | Drëtt Partei App Permissionen | Audit App Lëscht véierteljährlech | | Next.js | Exposed API Routen | Auth Middleware + Rate Limite | | Statik Sites | CDN Feeler Configuratioun | Iwwerpréift Cache Reegelen | | Custom | SQL Injektioun | Parameteriséiert Ufroen |

Scan Frequenz:

  • Déif: Automatiséiert Uewerflächenscan (SSL, Header, exposéiert Fichieren)
  • Wöchentlech: Abhängegkeet Verwundbarkeet Kontroll (npm audit, WordPress Plugin Scanner)
  • Monatlech: Déif Scan mat authentifizéiert Tests
  • No all Deploy: Regression Kontroll

Quick Win: Maacht npm audit (Node.js) oder kontrolléiert Är CMS Plugin Lëscht fir veralteten Komponenten. Fixéiert kritesch/hochsäitlech Problemer direkt.

Gemëschte Inhalter

Gemëschte Inhalter geschéihen wann eng HTTPS Säit Ressourcen (Biller, Skripte, Stylesheets, iFrames) iwwer HTTP läd. Dëst brécht partiell d'Verschlësselung an aktivéiert Browser Warnungen.

Zorte vun gemëschte Inhalter:

| Typ | Schweregkeet | Beispill | Browser Verhalen | |-----|-------------|----------|------------------| | Aktiv | Héich | HTTP Skript, iFrame, CSS | Standardméisseg blockéiert | | Passiv | Mëdium | HTTP Bild, Video, Audio | Gelueden mat Warnung |

Aktiv gemëschte Inhalter gëtt vun moderne Browseren blockéiert — dat heescht Är Skripten an Styles lueden einfach net. Passiv gemëschte Inhalter lueden awer weisen Sécherheetswarnungen.

Fannen von gemëschte Inhalter:

  1. Open Chrome DevTools → Konsole
  2. Kuckt no "Gemëschte Inhalter" Warnungen
  3. Alternativ, scan mat engem Crawler (Screaming Frog, LANGR)

Gängéiert Quellen vun gemëschte Inhalter:

  • Hardcoded http:// URLs an Inhalt (Blog Posts, Produktbeschreiwungen)
  • Drëtt Partei Widgets déi HTTP Ressourcen lueden
  • Embedd Inhalt (YouTube al Embeds, sozial Medien Widgets)
  • CSS background-image mat HTTP URLs
  • Schrëften déi iwwer HTTP gelueden

Fixéieren vun gemëschte Inhalter:

<!-- Schlecht -->
<img src="http://example.com/image.jpg" />

<!-- Gut -->
<img src="https://example.com/image.jpg" />

<!-- Bescht (protokollrelatives, adaptéiert un d'Protokoll vun der Säit) -->
<img src="//example.com/image.jpg" />

Datenbank Fix (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

Quick Win: Öffnen Är Startsäit am Chrome, dréckt F12, kontrolléiert de Konsole Tab fir gemëschte Inhalt Warnungen. Fixéiert all déi erscheinen — dës sinn direkt fir Google sichtbar.

Drëtt Partei Skript Risiken

All extern Skript dat Dir läd ass eng potenziell Sécherheet (a Leistung) Haass. Drëtt Partei Skripte kënne:

  • Kompromittéiert sinn (Versuergung Kette Ugrëffer)
  • Är Benotzer ouni Zustimmung verfollegen (GDPR Verletzung)
  • Ären Site verlangsamen (Render-blocking, Netzwierk Verfügbarkeet)
  • Funktiounen briechen (Versioun Updates, Ausfäll)
  • Onerwaart Inhalt injizéiere (Reklamm Skripte déi falsch gelaf sinn)

Audit Äre Drëtt Partei Skripte:

| Skript | Noutwendeg? | Risiko Niveau | Alternativ | |--------|-------------|---------------|------------| | Google Analytics | Oft jo | Low | Server-seit Tracking | | Chat Widgets | Vläicht | Mëdium | Selwer gehost Léisungen | | Sozial deelen Knäppercher | Riedelt | Mëdium | Statisch deelen Links | | A/B Testen | Manchmal | Héich | Server-seit Testen | | Retargeting Pixels | Geschäft Entscheedung | Héich | First-party Daten | | Schrëften CDNs | Bequem | Low | Selwer gehost Schrëften |

Risiko Mëssungen fir essentiel Drëtt Partei Skripte:

  1. Subresource Integration (SRI): Hash Bestätigung verhënnert manipuléiert Skripte vun der Ladung
<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>
  1. CSP Restriktiounen: Erlaabt nëmme Skripte vun bekannten Domänen
  2. Sandboxed iFrames: Isoléiert Drëtt Partei Widgets
  3. Regelméisseg Auditen: Véierteljährlech Iwwerpréiwung aller externer Ressourcen
  4. Monitoren: Alarm bei neie externen Domänen déi an Äre Säiten erscheinen

Quick Win: Lëscht all