Skip to main content
Back to blog

SEO Ceļvedis 7. solis: Drošība — Bāzes līmenis, ko Google sagaida 2026. gadā

·11 min read·by LANGR SEO

SEO Ceļvedis 7. solis: Drošība

Šis ir 7. solis 13 soļu SEO ceļvedī. Drošība nav tikai lietotāju aizsardzība — tā tieši ietekmē jūsu meklēšanas pozīcijas. Google kopš 2014. gada izmanto HTTPS kā vērtēšanas signālu, un sagaidīšanas ir tikai pieaugušas.


Lielākā daļa vietņu īpašnieku uzskata drošību par bināru: "Mums ir SSL, tāpēc esam droši." Patiesībā Google novērtē desmitiem drošības signālu. Vietnes ar pareizajām drošības galvenēm, derīgām sertifikātiem un bez jaukta satura ierindojas augstāk nekā vietnes ar tikai pamata SSL sertifikātu — ja viss pārējais ir vienāds.

Laba ziņa: lielākā daļa drošības labojumu ir vienreizējas konfigurācijas. Iestatiet tos vienu reizi, un tie uz visiem laikiem aizsargā jūsu pozīcijas.

SSL konfigurācija

SSL (tehniski TLS) šifrē savienojumu starp jūsu serveri un apmeklētājiem. Kopš 2014. gada Google skaidri apstiprināja HTTPS kā vērtēšanas signālu. 2026. gadā, ja nav HTTPS, tas nav tikai vērtēšanas jautājums — Chrome adreses joslā atzīmē HTTP vietnes kā "Nav drošs", iznīcinot lietotāju uzticību.

Prasības pareizai SSL:

| Prasība | Kāpēc | Kā pārbaudīt | |----------|-------|---------------| | Derīgs sertifikāts | Beidzies = pārlūka brīdinājums = izsistie lietotāji | Pārbaudiet derīguma termiņu | | Pilna ķēde | Nepilnīgas ķēdes neizdodas dažos ierīcēs | SSL Labs tests | | TLS 1.2+ | Vecākās versijas ir zināmas ievainojamības | SSL Labs tests | | Nav SHA-1 | Novecojis, pārlūki to noraida | Sertifikāta detaļas | | SAN segums | www un non-www jāsedz abi | Sertifikāta detaļas | | Automātiskā atjaunošana | Novērš derīguma termiņa beigu katastrofas | Let's Encrypt / pakalpojumu sniedzēja konfigurācija |

SSL novērtējums:

100% = Derīgs sertifikāts + Pilna ķēde + TLS 1.3 + Spēcīga šifra + Automātiskā atjaunošana
  0% = Beidzies vai trūkstošs sertifikāts

Biežākās SSL kļūdas:

  1. Sertifikāts beidzas bez brīdinājuma — Iestatiet monitoringu (6. solis) vismaz 30 dienas pirms derīguma termiņa beigām
  2. Nepilna sertifikāta ķēde — Serverim jānosūta starpposma sertifikāti, nevis tikai lapu
  3. Jaukts saturs — HTTPS lapa ielādē HTTP resursus (attēlus, skriptus, stilus)
  4. Pārnovirzīšanas cilpas — HTTP → HTTPS → HTTP cikli, ko izraisa nepareizi konfigurēts CDN/prokseis
  5. Nesakritība starp non-www un www — Sertifikāts sedz vienu, bet ne otru

Ātra uzvara: Palaid savu domēnu caur SSL Labs (ssllabs.com/ssltest). Viss, kas ir zem "A" vērtējuma, ir ar rīcību saistītas problēmas. Lielākā daļa hostinga pakalpojumu sniedzēju to novērš ar vienu klikšķi.

Drošības galvenes

Drošības galvenes ir HTTP atbildes galvenes, kas norāda pārlūkiem, kā rīkoties, kad tiek ielādēta jūsu vietne. Tās novērš veselas uzbrukumu kategorijas — un Google robotprogrammas tās pārbauda.

Pamata drošības galvenes:

Satura drošības politika (CSP)

CSP ir visjaudīgākā drošības galvene. Tā pārlūkprogrammām precīzi norāda, kādi resursi (skripti, stili, attēli, fonti) drīkst tikt ielādēti jūsu lapās.

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

Ko CSP novērš:

  • Starpdomēnu skriptu (XSS) uzbrukumus
  • Datu injekcijas uzbrukumus
  • Klikšķināšanas uzbrukumus (caur frame-ancestors)
  • Neautorizētu skriptu izpildi (kriptominēšana, reklāmu injektori)

CSP izvietošanas stratēģija:

  1. Sāciet ar Content-Security-Policy-Report-Only (reģistrē pārkāpumus bez bloķēšanas)
  2. Uzraugiet ziņojumus 1-2 nedēļas
  3. Iekļaujiet legitīmos avotus sarakstā
  4. Pārslēdzieties uz īstenošanas režīmu
  5. Pievienojiet report-uri vai report-to ilgstošai pārkāpumu reģistrēšanai

X-Frame-Options

Novērš, ka jūsu vietne tiek iekļauta citās domēnos (klikšķināšanas uzbrukumu aizsardzība).

X-Frame-Options: DENY

Vai, ja Jums nepieciešams atļaut tādas pašas izcelsmes iFrame:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

Novērš pārlūku MIME tipa nopratināšanu (failu interpretāciju kā citiem tipiem nekā deklarēti).

X-Content-Type-Options: nosniff

Šis viens rindiņš novērš uzbrukumus, kuros .jpg fails satur slēptu JavaScript, ko pārlūks varētu izpildīt.

Referrer-Policy

Kontrolē, cik daudz avotu informācijas tiek nosūtīta, kad lietotāji klikšķina uz saitēm no jūsu vietnes.

Referrer-Policy: strict-origin-when-cross-origin

Tas nosūta pilnu URL uz tādu pašu izcelsmes pieprasījumiem, bet tikai izcelsmi (domēnu) uz starpdomēnu pieprasījumiem. Sabalansē analītikas vajadzības ar privātumu.

Permissions-Policy

Kontrolē, kuras pārlūka funkcijas (kamera, mikrofons, ģeolokācija utt.) var tikt izmantotas jūsu vietnē.

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

Funkciju deaktivizēšana, ko neizmantojat, novērš trešo pušu skriptu ļaunprātīgu izmantošanu.

Galvenes ieviešanas piemērs (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

Galvenes ieviešana (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Galvenes ieviešana (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Ātra uzvara: Pievienojiet visus 5 iepriekš minētos galvenes savam servera konfigurācijai. Tas aizņem 5 minūtes un nekavējoties uzlabo jūsu drošības stāvokli jebkurā skenēšanas rīkā.

HSTS pirmsielāde

HTTP Striktā Transporta Drošība (HSTS) norāda pārlūkiem vienmēr izmantot HTTPS jūsu domēnam — pat pirms pirmā pieprasījuma. Bez HSTS pirmā vizīte jūsu vietnē var joprojām izmantot HTTP (pakļauta pārkāpšanai) pirms tiek veikta novirzīšana uz HTTPS.

HSTS galvene:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Trīs norādījumi:

| Norādījums | Nozīme | |------------|--------| | max-age=31536000 | Atcerieties to 1 gadu (sekundēs) | | includeSubDomains | Attiecas arī uz visiem apakšdomeniem | | preload | Pieprasīt iekļaušanu pārlūku pirmsielādes sarakstos |

HSTS pirmsielādes saraksts:

Galīgā HSTS aizsardzība. Pārlūki piegādā ar iebūvētu domēnu sarakstu, kuriem vienmēr jādara HTTPS. Iesniedzot savu domēnu hstspreload.org, tas nozīmē:

  • Pirmreizēji apmeklētāji uzreiz iegūst HTTPS (nav HTTP → HTTPS novirzīšanas)
  • Neiespējami uzbrucējiem pazemināt savienojumus
  • Pastāvīgi (grūti noņemt pēc iesniegšanas)

Prasības HSTS pirmsielādei:

  1. Derīgs HTTPS sertifikāts
  2. Novirzīt visus HTTP uz HTTPS (ieskaitot apakšdomēnus)
  3. HSTS galvene ar max-age >= 31536000
  4. HSTS galvene ietver includeSubDomains
  5. HSTS galvene ietver preload
  6. Visām apakšdomēniem jāatbalsta HTTPS

Brīdinājums: Iesniedziet uz pirmsielādi tikai tad, ja VISI jūsu apakšdomēni atbalsta HTTPS. includeSubDomains norādījums nozīmē, ka jebkurš HTTP tikai apakšdomēns kļūs nepieejams.

Ātra uzvara: Ja jums jau ir HTTPS visos apakšdomēnos, pievienojiet pilnu HSTS galveni un iesniedziet to hstspreload.org. Apstrāde aizņem dažas nedēļas, bet aizsardzība ir pastāvīga.

Ievainojamību skenēšana

Automatizēta ievainojamību skenēšana nosaka zināmas drošības problēmas jūsu stekā pirms uzbrukēji tām piesakās.

Ko ievainojamību skenēšana pārbauda:

  • Novecojusi programmatūra: WordPress, spraudņi, JavaScript bibliotēkas ar zināmiem CVE
  • Atklāti faili: .env, .git, wp-config.php, datu bāzes izgāztuves
  • Informācijas noplūde: Servera versijas galvenes, kļūdu režīms, steka pēdas
  • Noklusējuma akreditācijas dati: Administrācijas lapas bez autentifikācijas, noklusējuma paroles
  • Atvērtas porti/pakalpojumi: Nepieciešami pakalpojumi, kas tiek atvērti internetā
  • Iekļaušanas punkti: Veidlapas bez CSRF aizsardzības, nevalidēti ievadi

Biežākās ievainojamības pēc platformas:

| Platforma | Galvenā ievainojamība | Labojums | |-----------|-----------------------|----------| | WordPress | Novecojusi spraudņi | Automātiskā atjaunināšana + WAF | | Shopify | Trešās puses aplikāciju atļaujas | Audits aplikāciju sarakstam reizi ceturksnī | | Next.js | Atklātas API maršruti | Autentifikācijas starpība + pieprasījumu ierobežošana | | Statiskas vietnes | CDN nepareiza konfigurācija | Pārskatīt kešatmiņas noteikumus | | Pielāgota | SQL injekcija | Parametrizēti vaicājumi |

Skenēšanas biežums:

  • Katru dienu: Automatizēta virsmas skenēšana (SSL, galvenes, atklāti faili)
  • Reizi nedēļā: Atkarību ievainojamību pārbaude (npm audits, WordPress spraudņu skeneris)
  • Reizi mēnesī: Padziļināta skenēšana ar autentificētu testēšanu
  • Pēc katra izvietojuma: Atkārtošanās pārbaude

Ātra uzvara: Palaid npm audit (Node.js) vai pārbaudiet savu CMS spraudņu sarakstu par novecojušām komponentēm. Steidzami novērst kritiskās/augstākās nopietnības problēmas.

Jauktais saturs

Jaukts saturs rodas, kad HTTPS lapa ielādē resursus (attēlus, skriptus, stilus, iFrame) caur HTTP. Tas daļēji izjauc šifrēšanu un rada pārlūka brīdinājumus.

Jaukta satura veidi:

| Veids | Smagums | Piemērs | Pārlūka uzvedība | |-------|---------|---------|--------------------| | Aktīvs | Augsts | HTTP skripts, iFrame, CSS | Bloķēts pēc noklusējuma | | Pasīvs | Vidējs | HTTP attēls, video, audio | Ielādēts ar brīdinājumu |

Aktīvais jauktā satura ir bloķēts mūsdienu pārlūkos — tas nozīmē, ka jūsu skripti un stili vienkārši neielādējas. Pasīvais jauktais saturs ielādējas, bet parāda drošības brīdinājumus.

Jaukta satura atrašana:

  1. Atveriet Chrome DevTools → Konsoli
  2. Meklējiet "Jaukts saturs" brīdinājumus
  3. Alternatīvi, skenējiet ar pārmeklētāju (Screaming Frog, LANGR)

Biežākie jaukto satura avoti:

  • Cietajos resursos iekodētie http:// URL (emuru ziņas, produktu apraksti)
  • Trešās puses logrīki, kas ielādē HTTP resursus
  • Iekļauti resursi (YouTube vecie iekļaušanas pieprasījumi, sociālo mediju logrīki)
  • CSS background-image ar HTTP URL
  • Fonti, kas ielādēti caur HTTP

Jaukta satura novēršana:

<!-- Slikti -->
<img src="http://example.com/image.jpg" />

<!-- Labi -->
<img src="https://example.com/image.jpg" />

<!-- Vislabāk (protokola relatīvi, pielāgojas lapas protokolam) -->
<img src="//example.com/image.jpg" />

Datu bāzes labojums (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

Ātra uzvara: Atveriet savu sākumlapu Chrome, nospiediet F12, pārbaudiet Konsoles cilni par jaukta satura brīdinājumiem. Novērsiet jebkuru, kas parādās — tos tieši redz Google.

Trešo pušu skriptu riski

Ikviens ārējais skripts, ko ielādējat, ir potenciāls drošības (un veiktspējas) risku avots. Trešo pušu skripti var:

  • Tikt apdraudētiem (piegādes ķēdes uzbrukumi)
  • Izsekot jūsu lietotājus bez piekrišanas (GDPR pārkāpums)
  • Palēnināt jūsu vietni (renderēšanas bloķēšana, tīkla kavēšanās)
  • Pasliktināt funkcionalitāti (versiju atjauninājumi, pārtraukumi)
  • Ievietot nevēlamu saturu (nepareizi reklāmu skripti)

Auditējiet savus trešo pušu skriptus:

| Skripts | Nepieciešams? | Riska līmenis | Alternatīva | |---------|---------------|---------------|-------------| | Google Analytics | Bieži jā | Zems | Servera pusē veiktā izsekošana | | Čata logrīki | Iespējams | Vidējs | Pašuzticami risinājumi | | Sociālo mediju koplietošanas pogas | Retāk | Vidējs | Statiskās koplietošanas saites | | A/B testēšana | Dažreiz | Augsts | Servera pusē veiktā testēšana | | Atkal mērĪšanas pikseļi | Uzņēmuma lēmums | Augsts | Pirmās puses dati | | Fonts CDN | Ērti | Zems | Pašuzticami fonti |

Riska mazināšana būtiskiem trešo pušu skriptiem:

  1. Apakšresursu integritāte (SRI): Hash verifikācija novērš pieņemtu skriptu ielādi
<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>
  1. CSP ierobežojumi: Atļaut tikai skriptus no zināmiem domēniem
  2. Sanded iFrame: Izolēt trešo pušu logrīkus
  3. Regulāri auditi: Ceturkšņa pārskats par visiem ārējiem resursiem
  4. Monitorings: Brīdinājums par jauniem ārējiem domēniem jūsu lapās

Ātra uzvara: Sarakstiet katru