SEO Ceļvedis 7. solis: Drošība — Bāzes līmenis, ko Google sagaida 2026. gadā
SEO Ceļvedis 7. solis: Drošība
Šis ir 7. solis 13 soļu SEO ceļvedī. Drošība nav tikai lietotāju aizsardzība — tā tieši ietekmē jūsu meklēšanas pozīcijas. Google kopš 2014. gada izmanto HTTPS kā vērtēšanas signālu, un sagaidīšanas ir tikai pieaugušas.
Lielākā daļa vietņu īpašnieku uzskata drošību par bināru: "Mums ir SSL, tāpēc esam droši." Patiesībā Google novērtē desmitiem drošības signālu. Vietnes ar pareizajām drošības galvenēm, derīgām sertifikātiem un bez jaukta satura ierindojas augstāk nekā vietnes ar tikai pamata SSL sertifikātu — ja viss pārējais ir vienāds.
Laba ziņa: lielākā daļa drošības labojumu ir vienreizējas konfigurācijas. Iestatiet tos vienu reizi, un tie uz visiem laikiem aizsargā jūsu pozīcijas.
SSL konfigurācija
SSL (tehniski TLS) šifrē savienojumu starp jūsu serveri un apmeklētājiem. Kopš 2014. gada Google skaidri apstiprināja HTTPS kā vērtēšanas signālu. 2026. gadā, ja nav HTTPS, tas nav tikai vērtēšanas jautājums — Chrome adreses joslā atzīmē HTTP vietnes kā "Nav drošs", iznīcinot lietotāju uzticību.
Prasības pareizai SSL:
| Prasība | Kāpēc | Kā pārbaudīt | |----------|-------|---------------| | Derīgs sertifikāts | Beidzies = pārlūka brīdinājums = izsistie lietotāji | Pārbaudiet derīguma termiņu | | Pilna ķēde | Nepilnīgas ķēdes neizdodas dažos ierīcēs | SSL Labs tests | | TLS 1.2+ | Vecākās versijas ir zināmas ievainojamības | SSL Labs tests | | Nav SHA-1 | Novecojis, pārlūki to noraida | Sertifikāta detaļas | | SAN segums | www un non-www jāsedz abi | Sertifikāta detaļas | | Automātiskā atjaunošana | Novērš derīguma termiņa beigu katastrofas | Let's Encrypt / pakalpojumu sniedzēja konfigurācija |
SSL novērtējums:
100% = Derīgs sertifikāts + Pilna ķēde + TLS 1.3 + Spēcīga šifra + Automātiskā atjaunošana
0% = Beidzies vai trūkstošs sertifikāts
Biežākās SSL kļūdas:
- Sertifikāts beidzas bez brīdinājuma — Iestatiet monitoringu (6. solis) vismaz 30 dienas pirms derīguma termiņa beigām
- Nepilna sertifikāta ķēde — Serverim jānosūta starpposma sertifikāti, nevis tikai lapu
- Jaukts saturs — HTTPS lapa ielādē HTTP resursus (attēlus, skriptus, stilus)
- Pārnovirzīšanas cilpas — HTTP → HTTPS → HTTP cikli, ko izraisa nepareizi konfigurēts CDN/prokseis
- Nesakritība starp non-www un www — Sertifikāts sedz vienu, bet ne otru
Ātra uzvara: Palaid savu domēnu caur SSL Labs (ssllabs.com/ssltest). Viss, kas ir zem "A" vērtējuma, ir ar rīcību saistītas problēmas. Lielākā daļa hostinga pakalpojumu sniedzēju to novērš ar vienu klikšķi.
Drošības galvenes
Drošības galvenes ir HTTP atbildes galvenes, kas norāda pārlūkiem, kā rīkoties, kad tiek ielādēta jūsu vietne. Tās novērš veselas uzbrukumu kategorijas — un Google robotprogrammas tās pārbauda.
Pamata drošības galvenes:
Satura drošības politika (CSP)
CSP ir visjaudīgākā drošības galvene. Tā pārlūkprogrammām precīzi norāda, kādi resursi (skripti, stili, attēli, fonti) drīkst tikt ielādēti jūsu lapās.
Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';
Ko CSP novērš:
- Starpdomēnu skriptu (XSS) uzbrukumus
- Datu injekcijas uzbrukumus
- Klikšķināšanas uzbrukumus (caur
frame-ancestors) - Neautorizētu skriptu izpildi (kriptominēšana, reklāmu injektori)
CSP izvietošanas stratēģija:
- Sāciet ar
Content-Security-Policy-Report-Only(reģistrē pārkāpumus bez bloķēšanas) - Uzraugiet ziņojumus 1-2 nedēļas
- Iekļaujiet legitīmos avotus sarakstā
- Pārslēdzieties uz īstenošanas režīmu
- Pievienojiet
report-urivaireport-toilgstošai pārkāpumu reģistrēšanai
X-Frame-Options
Novērš, ka jūsu vietne tiek iekļauta citās domēnos (klikšķināšanas uzbrukumu aizsardzība).
X-Frame-Options: DENY
Vai, ja Jums nepieciešams atļaut tādas pašas izcelsmes iFrame:
X-Frame-Options: SAMEORIGIN
X-Content-Type-Options
Novērš pārlūku MIME tipa nopratināšanu (failu interpretāciju kā citiem tipiem nekā deklarēti).
X-Content-Type-Options: nosniff
Šis viens rindiņš novērš uzbrukumus, kuros .jpg fails satur slēptu JavaScript, ko pārlūks varētu izpildīt.
Referrer-Policy
Kontrolē, cik daudz avotu informācijas tiek nosūtīta, kad lietotāji klikšķina uz saitēm no jūsu vietnes.
Referrer-Policy: strict-origin-when-cross-origin
Tas nosūta pilnu URL uz tādu pašu izcelsmes pieprasījumiem, bet tikai izcelsmi (domēnu) uz starpdomēnu pieprasījumiem. Sabalansē analītikas vajadzības ar privātumu.
Permissions-Policy
Kontrolē, kuras pārlūka funkcijas (kamera, mikrofons, ģeolokācija utt.) var tikt izmantotas jūsu vietnē.
Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()
Funkciju deaktivizēšana, ko neizmantojat, novērš trešo pušu skriptu ļaunprātīgu izmantošanu.
Galvenes ieviešanas piemērs (Next.js):
// next.config.js
module.exports = {
async headers() {
return [{
source: '/(.*)',
headers: [
{ key: 'X-Content-Type-Options', value: 'nosniff' },
{ key: 'X-Frame-Options', value: 'SAMEORIGIN' },
{ key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
{ key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
{ key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
]
}]
}
}
Galvenes ieviešana (Apache .htaccess):
Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Galvenes ieviešana (Nginx):
add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
Ātra uzvara: Pievienojiet visus 5 iepriekš minētos galvenes savam servera konfigurācijai. Tas aizņem 5 minūtes un nekavējoties uzlabo jūsu drošības stāvokli jebkurā skenēšanas rīkā.
HSTS pirmsielāde
HTTP Striktā Transporta Drošība (HSTS) norāda pārlūkiem vienmēr izmantot HTTPS jūsu domēnam — pat pirms pirmā pieprasījuma. Bez HSTS pirmā vizīte jūsu vietnē var joprojām izmantot HTTP (pakļauta pārkāpšanai) pirms tiek veikta novirzīšana uz HTTPS.
HSTS galvene:
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
Trīs norādījumi:
| Norādījums | Nozīme | |------------|--------| | max-age=31536000 | Atcerieties to 1 gadu (sekundēs) | | includeSubDomains | Attiecas arī uz visiem apakšdomeniem | | preload | Pieprasīt iekļaušanu pārlūku pirmsielādes sarakstos |
HSTS pirmsielādes saraksts:
Galīgā HSTS aizsardzība. Pārlūki piegādā ar iebūvētu domēnu sarakstu, kuriem vienmēr jādara HTTPS. Iesniedzot savu domēnu hstspreload.org, tas nozīmē:
- Pirmreizēji apmeklētāji uzreiz iegūst HTTPS (nav HTTP → HTTPS novirzīšanas)
- Neiespējami uzbrucējiem pazemināt savienojumus
- Pastāvīgi (grūti noņemt pēc iesniegšanas)
Prasības HSTS pirmsielādei:
- Derīgs HTTPS sertifikāts
- Novirzīt visus HTTP uz HTTPS (ieskaitot apakšdomēnus)
- HSTS galvene ar
max-age>= 31536000 - HSTS galvene ietver
includeSubDomains - HSTS galvene ietver
preload - Visām apakšdomēniem jāatbalsta HTTPS
Brīdinājums: Iesniedziet uz pirmsielādi tikai tad, ja VISI jūsu apakšdomēni atbalsta HTTPS. includeSubDomains norādījums nozīmē, ka jebkurš HTTP tikai apakšdomēns kļūs nepieejams.
Ātra uzvara: Ja jums jau ir HTTPS visos apakšdomēnos, pievienojiet pilnu HSTS galveni un iesniedziet to hstspreload.org. Apstrāde aizņem dažas nedēļas, bet aizsardzība ir pastāvīga.
Ievainojamību skenēšana
Automatizēta ievainojamību skenēšana nosaka zināmas drošības problēmas jūsu stekā pirms uzbrukēji tām piesakās.
Ko ievainojamību skenēšana pārbauda:
- Novecojusi programmatūra: WordPress, spraudņi, JavaScript bibliotēkas ar zināmiem CVE
- Atklāti faili:
.env,.git,wp-config.php, datu bāzes izgāztuves - Informācijas noplūde: Servera versijas galvenes, kļūdu režīms, steka pēdas
- Noklusējuma akreditācijas dati: Administrācijas lapas bez autentifikācijas, noklusējuma paroles
- Atvērtas porti/pakalpojumi: Nepieciešami pakalpojumi, kas tiek atvērti internetā
- Iekļaušanas punkti: Veidlapas bez CSRF aizsardzības, nevalidēti ievadi
Biežākās ievainojamības pēc platformas:
| Platforma | Galvenā ievainojamība | Labojums | |-----------|-----------------------|----------| | WordPress | Novecojusi spraudņi | Automātiskā atjaunināšana + WAF | | Shopify | Trešās puses aplikāciju atļaujas | Audits aplikāciju sarakstam reizi ceturksnī | | Next.js | Atklātas API maršruti | Autentifikācijas starpība + pieprasījumu ierobežošana | | Statiskas vietnes | CDN nepareiza konfigurācija | Pārskatīt kešatmiņas noteikumus | | Pielāgota | SQL injekcija | Parametrizēti vaicājumi |
Skenēšanas biežums:
- Katru dienu: Automatizēta virsmas skenēšana (SSL, galvenes, atklāti faili)
- Reizi nedēļā: Atkarību ievainojamību pārbaude (npm audits, WordPress spraudņu skeneris)
- Reizi mēnesī: Padziļināta skenēšana ar autentificētu testēšanu
- Pēc katra izvietojuma: Atkārtošanās pārbaude
Ātra uzvara: Palaid npm audit (Node.js) vai pārbaudiet savu CMS spraudņu sarakstu par novecojušām komponentēm. Steidzami novērst kritiskās/augstākās nopietnības problēmas.
Jauktais saturs
Jaukts saturs rodas, kad HTTPS lapa ielādē resursus (attēlus, skriptus, stilus, iFrame) caur HTTP. Tas daļēji izjauc šifrēšanu un rada pārlūka brīdinājumus.
Jaukta satura veidi:
| Veids | Smagums | Piemērs | Pārlūka uzvedība | |-------|---------|---------|--------------------| | Aktīvs | Augsts | HTTP skripts, iFrame, CSS | Bloķēts pēc noklusējuma | | Pasīvs | Vidējs | HTTP attēls, video, audio | Ielādēts ar brīdinājumu |
Aktīvais jauktā satura ir bloķēts mūsdienu pārlūkos — tas nozīmē, ka jūsu skripti un stili vienkārši neielādējas. Pasīvais jauktais saturs ielādējas, bet parāda drošības brīdinājumus.
Jaukta satura atrašana:
- Atveriet Chrome DevTools → Konsoli
- Meklējiet "Jaukts saturs" brīdinājumus
- Alternatīvi, skenējiet ar pārmeklētāju (Screaming Frog, LANGR)
Biežākie jaukto satura avoti:
- Cietajos resursos iekodētie
http://URL (emuru ziņas, produktu apraksti) - Trešās puses logrīki, kas ielādē HTTP resursus
- Iekļauti resursi (YouTube vecie iekļaušanas pieprasījumi, sociālo mediju logrīki)
- CSS
background-imagear HTTP URL - Fonti, kas ielādēti caur HTTP
Jaukta satura novēršana:
<!-- Slikti -->
<img src="http://example.com/image.jpg" />
<!-- Labi -->
<img src="https://example.com/image.jpg" />
<!-- Vislabāk (protokola relatīvi, pielāgojas lapas protokolam) -->
<img src="//example.com/image.jpg" />
Datu bāzes labojums (WordPress):
UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');
Ātra uzvara: Atveriet savu sākumlapu Chrome, nospiediet F12, pārbaudiet Konsoles cilni par jaukta satura brīdinājumiem. Novērsiet jebkuru, kas parādās — tos tieši redz Google.
Trešo pušu skriptu riski
Ikviens ārējais skripts, ko ielādējat, ir potenciāls drošības (un veiktspējas) risku avots. Trešo pušu skripti var:
- Tikt apdraudētiem (piegādes ķēdes uzbrukumi)
- Izsekot jūsu lietotājus bez piekrišanas (GDPR pārkāpums)
- Palēnināt jūsu vietni (renderēšanas bloķēšana, tīkla kavēšanās)
- Pasliktināt funkcionalitāti (versiju atjauninājumi, pārtraukumi)
- Ievietot nevēlamu saturu (nepareizi reklāmu skripti)
Auditējiet savus trešo pušu skriptus:
| Skripts | Nepieciešams? | Riska līmenis | Alternatīva | |---------|---------------|---------------|-------------| | Google Analytics | Bieži jā | Zems | Servera pusē veiktā izsekošana | | Čata logrīki | Iespējams | Vidējs | Pašuzticami risinājumi | | Sociālo mediju koplietošanas pogas | Retāk | Vidējs | Statiskās koplietošanas saites | | A/B testēšana | Dažreiz | Augsts | Servera pusē veiktā testēšana | | Atkal mērĪšanas pikseļi | Uzņēmuma lēmums | Augsts | Pirmās puses dati | | Fonts CDN | Ērti | Zems | Pašuzticami fonti |
Riska mazināšana būtiskiem trešo pušu skriptiem:
- Apakšresursu integritāte (SRI): Hash verifikācija novērš pieņemtu skriptu ielādi
<script src="https://cdn.example.com/lib.js"
integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
crossorigin="anonymous"></script>
- CSP ierobežojumi: Atļaut tikai skriptus no zināmiem domēniem
- Sanded iFrame: Izolēt trešo pušu logrīkus
- Regulāri auditi: Ceturkšņa pārskats par visiem ārējiem resursiem
- Monitorings: Brīdinājums par jauniem ārējiem domēniem jūsu lapās
Ātra uzvara: Sarakstiet katru tagu savā HTML, kas tiek ielādēts no ārēja domēna. Noņemiet jebkuru, ko neatzīstat vai vairs nevajadzētu. Katrs noņemšana uzlabo drošību un lapas ātrumu.
Ļaunatūras detekcija un Google droša pārlūkošana
Google uztur drošas pārlūkošanas sarakstu ar vietnēm, kas zināmā veidā izplata ļaunatūru vai mitina pikšķerēšanas saturu. Būt iekļautam šajā sarakstā ir katastrofāls SEO — Google rādīs pilna lapas brīdinājumu pirms ļauj lietotājiem apmeklēt jūsu vietni.
Kā vietnes tiek iezīmētas:
- Apdraudēta vietne, kas izplata ļaunatūru (uzlauzta WordPress utt.)
- Ievietoti skripti, kas novirza uz ļaunatūras vietnēm
- Pikšķerēšanas lapas, kas mitinātas jūsu domēnā
- Lietotāju ģenerēts saturs, kas sasaista ar ļaunatūru
- Mitināšana ar failiem, kas atzīti par bīstamiem
Pārbaudot savu drošu pārlūkošanas statusu:
https://transparencyreport.google.com/safe-browsing/search?url=yourdomain.com
Vai Google Search Console: Drošības problēmu sadaļā.
Profilakse:
- Uzturiet visus programmatūras atjauninājumus (CMS, spraudņi, bibliotēkas)
- Izmantojiet stipras, unikālas administrācijas paroles + 2FA
- Uzraugiet failu integritāti (konstatējiet neautorizētas izmaiņas)
- Skatiet lietotājiem augšupielādētu saturu
- Noņemiet neizmantojamus spraudņus/tematus
- Regulāri pārskatiet administrācijas lietotājus
Ja esat iezīmēts:
- Identificējiet un noņemiet ļaunatūras/pikšķerēšanas saturu
- Atjauniniet visu programmatūru un mainiet visas paroles
- Pieprasiet pārskatu Google Search Console
- Pārskati parasti aizņem 1-3 dienas
- Uzmanīgi sekojiet 30 dienas (otrā inficēšanās ir izplatīta)
Ātra uzvara: Pārbaudiet savu vietni transparencyreport.google.com. Ja tīrs, pārliecinieties, ka jūsu CMS un visi spraudņi ir atjaunināti, lai saglabātu šo stāvokli.
Drošības SEO kontrolsaraksts
- [ ] Derīgs SSL sertifikāts ar konfigurētu automātisku atjaunošanu
- [ ] HTTP → HTTPS novirzīšana visās lapās (301, nevis 302)
- [ ] HSTS galvene ar max-age >= 31536000
- [ ] Satura drošības politikas galvene konfigurēta
- [ ] X-Content-Type-Options: nosniff
- [ ] X-Frame-Options: DENY vai SAMEORIGIN
- [ ] Referrer-Policy: strict-origin-when-cross-origin
- [ ] Permissions-Policy, kas deaktivizē neizmantotās funkcijas
- [ ] Nav jaukta satura (HTTP resursi HTTPS lapās)
- [ ] Nav atklātu jutīgu failu (.env, .git, konfigurācijas faili)
- [ ] Servera versijas galvenes noņemtas vai vispārējas
- [ ] Visa programmatūra/spraudņi atjaunināti
- [ ] Google drošas pārlūkošanas statuss: tīrs
- [ ] Trešo pušu skripti auditēti un minimizēti
- [ ] SRI hashi kritiskajiem ārējiem skriptiem
Biežākās drošības kļūdas (saskaņā ar SEO ietekmi)
- Beidzies SSL sertifikāts — tūlītēji vērtējuma kritumi + pārlūka brīdinājums
- Jaukts saturs — pazemina uzticības signālus, daļēja šifrēšana bezjēdzīga
- Nav HSTS — pirmais pieprasījums pakļauts riskam, signāli vājas drošības pozīcijas
- Trūkst CSP — ļauj jebkuram skriptam izpildīties (XSS vektors)
- Atklāti jutīgi faili —
.envar API atslēgām,.gitar avota kodu - Novecojusi CMS/spraudņi — zināmas ekspluatācijas, gala kompromiss
- Vispārējās drošības galvenes trūkums — signāli, ka neesat apsvēris drošību
- Pārāk liela trešo pušu skriptu atļaušana — drošības caurumi, kurus nevarat kontrolēt
Kas tālāk?
8. solis: AI redzamība — 2026. gada SEO griezums. Kā optimizēt Google AI pārskati, ChatGPT citīšanās, Perplexity atsauces un Gemini — visstraujāk augošais atklāšanas kanāls, ko lielākā daļa konkurentu pat nav apsvēruši.
Šis ceļvedis ir daļa no LANGR 13 soļu SEO sērijas. Veiciet bezmaksas auditu, lai redzētu, kur jūsu vietne atrodas visās 13 disciplīnās.