Skip to main content
Back to blog

SEO Водич Step 7: Безбедност — Основната Линија што Google Очекува во 2026

·13 min read·by LANGR SEO

SEO Водич Степ 7: Безбедност

Ова е Степ 7 од 13-те чекори SEO водич. Безбедноста не е само за заштита на корисниците — директно влијае на вашите резултати во пребарувањето. Google ја користи HTTPS како сигнал за рангирање од 2014, а очекувањата само се зголемија.

Повеќето сопственици на веб сајтови ја сметаат безбедноста за бинарна: "Имаме SSL, значи сме безбедни." Во стварноста, Google оценува десетици сигнали за безбедност. Сайтови со правилни безбедносни хедери, валидни сертификати и без мешан содржина се рангираат повисоко од оние со само основен SSL сертификат — се освен ако не се добиени исти услови.

Добрата вест: повеќето исправки за безбедност се конфигурации единствен пат. Поставете ги еднаш, и тие ќе ја заштитат вашата позиција за навек.

SSL Конфигурација

SSL (технички TLS) ја шифрира врската помеѓу вашиот сервер и посетителите. Од 2014, Google експлицитно потврдува HTTPS како сигнал за рангирање. Во 2026, недостигот на HTTPS не е само проблем со рангирањето — Chrome ги маркира HTTP сайтите како "Не безбедни" во адресната линија, уништувајќи го довербата на корисниците.

Барања за правилен SSL:

| Барање | Зошто | Како да проверите | |-------------|-----|--------------| | Валиден сертификат | Истечен = предупредување од прелистувачот = одбиени корисници | Проверете ја датумот на истекување | | Полн ланец | Неповолни ланци не функционираат на некои уреди | SSL Labs тест | | TLS 1.2+ | Постари верзии имаат познати ранливости | SSL Labs тест | | Без SHA-1 | Депрецирана, прелистувачите ја отфрлаат | Детали за сертификатот | | SAN покриеност | www и non-www мораат да бидат покриени | Детали за сертификатот | | Автоматско обновување | Превенција на катастрофи при истекување | Let's Encrypt / конфигурација на провајдерот |

Оценување на SSL:

100% = Валиден сертификат + Полн ланец + TLS 1.3 + Силен шифар + Автоматско обновување
  0% = Истечен или недостапен сертификат

Чести SSL грешки:

  1. Сертификатот истекува без известување — Поставете мониторинг (Степ 6) најмалку 30 дена пред истекување
  2. Неполн сертификат ланец — Серверот мора да испрати интермедионни сертификати, а не само листа
  3. Мешан содржина — HTTPS страницата учитува HTTP ресурси (слики, скрипти, стилови)
  4. Префрлувачки многу циклуси — HTTP → HTTPS → HTTP циклуси резултираат од некоректно конфигуриран CDN/проксy
  5. Несоодветство помеѓу non-www и www — Сертификатот покрива едниот, но не и другиот

Брзо решение: Тргнете ја вашата домена преку SSL Labs (ssllabs.com/ssltest). Сè што е под "A" оценка има проблеми кои треба да се решат. Повеќето провајдери на хостинг ги исправуваат со едно кликнување.

Безбедносни Хедери

Безбедносните хедери се HTTP одговор хедери кои им даваат инструкции на прелистувачите како да се однесуваат кога го учитаат вашиот сајт. Тие ги спречуваат целосни категории на напади — а Google-овите бот-ови ги проверуваат.

Основните безбедносни хедери:

Политика за Безбедност на Содржината (CSP)

CSP е најмоќниот безбедносен хедер. Тоа им кажува на прелистувачите токму кои ресурси (скрипти, стилови, слики, фонтови) се дозволени да се учитаат на вашите страници.

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

Што CSP спречува:

  • Cross-site scripting (XSS) напади
  • Напади на инјекција на податоци
  • Clickjacking (преку frame-ancestors)
  • Неправилно извршување на скрипти (криптоминери, инекторни реклами)

Стратегија за имплементација на CSP:

  1. Започнете со Content-Security-Policy-Report-Only (лога нарушувања без блокирање)
  2. Следете извештаи за 1-2 недели
  3. Додадете легитимни извори на бела листа
  4. Превключете во режим на строгување
  5. Додадете report-uri или report-to за тековно логирање на нарушувања

X-Frame-Options

Спречува вашиот сајт да биде вградена во iframe-ови на други домени (заштита од clickjacking).

X-Frame-Options: DENY

Или ако мора да дозволите исто-доменска рамка:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

Спречува прелистувачите да ја проверат MIME типот (интерпретирање на датотеки како различни типови од декларирани).

X-Content-Type-Options: nosniff

Оваа една линија спречува напади каде што .jpg датотеката содржи скриен JavaScript што прелистувачот би можел да го изврши.

Referrer-Policy

Контролира колку референтни информации се испраќаат кога корисниците кликнуваат на линкови од вашиот сајт.

Referrer-Policy: strict-origin-when-cross-origin

Ова испраќа целосна URL адреса за исто-доменски барања, но само изворот (доменот) за крос-доменски барања. Балансира потребите за аналитика со приватноста.

Permissions-Policy

Контролира кои функции на прелистувачот (камера, микрофон, геолокација итн.) можат да се користат на вашиот сајт.

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

Оневозможувањето на функциите што не се користат спречува третиот странски скрипти да ги злоупотребуваат.

Пример за имплементација на хедер (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

Имплементација на хедер (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Имплементација на хедер (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Брзо решение: Додадете ги сите 5 хедери одгоре во вашата конфигурација на серверот. Ова трае 5 минути и веднаш го подобрува вашиот безбедносен статус во било кој алат за скенирање.

HSTS Preload

HTTP Стрикна Транспортна Безбедност (HSTS) им кажува на прелистувачите секогаш да користат HTTPS за вашиот домен — дури и пред првото барање. Без HSTS, првото посетување на вашиот сајт може да користи HTTP (подложно на интерсепција) пред да се направи префрлување на HTTPS.

HSTS хедер:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Трите директиви:

| Директива | Значење | |-----------|---------| | max-age=31536000 | Запомнете ова за 1 година (во секунди) | | includeSubDomains | Применете и на сите поддомени | | preload | Барајте вклучување во листи на прелистувачи |

HSTS preload листа:

Универзална HSTS заштита. Прелистувачите испорачуваат со вградена листа на домени што мораат секогаш да користат HTTPS. Поднесувањето на вашиот домен до hstspreload.org значи:

  • Првичните посетители добиваат HTTPS веднаш (без HTTP → HTTPS префрлување)
  • Невозможно за напаѓачите да ја намалат врската
  • Трајна (тежок е за отстранување по поднесување)

Барања за HSTS preload:

  1. Валиден HTTPS сертификат
  2. Префрлете сите HTTP на HTTPS (вклучувајќи поддомени)
  3. HSTS хедер со max-age >= 31536000
  4. HSTS хедер вклучува includeSubDomains
  5. HSTS хедер вклучува preload
  6. Сите поддомени мораат да поддржуваат HTTPS

Внимание: Поднесете за preload само ако СИТЕ ваши поддомени поддржуваат HTTPS. Директивата includeSubDomains значи квалификуван HTTP само поддомен ќе стане недостапен.

Брзо решение: Ако веќе имате HTTPS на сите поддомени, додајте го полнометажниот HSTS хедер и поднесете до hstspreload.org. Обработката трае неколку недели, но заштитата е трајна.

Скенирање на Ранливости

Автоматизираното скенирање на ранливости идентификува познати безбедносни проблеми во вашиот стек пред напаѓачите да ги искористат.

Што проверува скенирањето на ранливости:

  • Стара софтверска верзија: WordPress, плугини, JavaScript библиотеки со познати CVE-и
  • Отворени датотеки: .env, .git, wp-config.php, бази на податоци
  • Испуштање на информации: Заглавија на сервиерска верзија, режим на дебуг, стекови на грешки
  • Стандардни акредитиви: Админ страници без овластување, стандардни лозинки
  • Отворени порти/услуги: Непотребни услуги изложени на интернет
  • Точки за инјекција: Формулари без CSRF заштита, непроверени внесувања

Чести ранливости по платформа:

| Платформа | Главна Ранливост | Поправка | |----------|-------------------|-----| | WordPress | Стари плугини | Автоматско обновување + WAF | | Shopify | Дозволи на трети апликации | Аудит на списоците на апликации секој квартал | | Next.js | Отворени API рути | Auth middleware + ограничување на стапка | | Статички сайтови | Некоректна конфигурација на CDN | Проверете ги правилата за кеш | | Прилагодено | SQL инјекција | Параметризирани барања |

Честота на скенирање:

  • Дневно: Автоматизирано површинско скенирање (SSL, хедери, отворени датотеки)
  • Недељно: Проверка на ранливости по зависности (npm audit, скенер за WordPress плугини)
  • Месечно: Длабоко скенирање со овластено тестирање
  • По секое распоредување: Проверка на регресија

Брзо решение: Извршете npm audit (Node.js) или проверете ја вашата CMS листа на плугини за стари компоненти. Исправете ја критичната или висока сериозност веднаш.

Мешан Содржинa

Мешаната содржина се случува кога HTTPS страницата учитува ресурси (слики, скрипти, стилови, iframe) преку HTTP. Ова делумно ги прекинува шифрирањето и предизвикува предупредувања во прелистувачите.

Типови на мешана содржина:

| Тип | Сериозност | Пример | Понашање на прелистувачот | |------|----------|---------|------------------| | Активна | Висока | HTTP скрипта, iframe, CSS | Блокирано по подразбирање | | Пасивна | Средна | HTTP слика, видео, аудио | Учитано со предупредување |

Активната мешана содржина е блокирана од современите прелистувачи — што значи вашите скрипти и стилови едноставно нема да се учитаат. Пасивната мешана содржина се учитува, но покажува предупредувања за безбедност.

Наоѓање на мешана содржина:

  1. Отворете Chrome DevTools → Конзола
  2. Погледнете за "Мешана содржина" предупредувања
  3. Алтернативно, скенирајте со crawler (Screaming Frog, LANGR)

Чести извори на мешана содржина:

  • Хардкодиран http:// URL во содржината (блог постови, описи на производи)
  • Трети апликации кои учитуваат HTTP ресурси
  • Вградена содржина (старите вградени YouTube, widget-и на социјални медиуми)
  • CSS background-image со HTTP URL
  • Фонтови учитани преку HTTP

Поправка на мешана содржина:

<!-- Лошо -->
<img src="http://example.com/image.jpg" />

<!-- Добро -->
<img src="https://example.com/image.jpg" />

<!-- Најдобро (протокол-релативно, прилагодува во зависност од протоколот на страницата) -->
<img src="//example.com/image.jpg" />

Поправка преку база на податоци (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

Брзо решение: Отворете ја вашата首页 во Chrome, притиснете F12, проверете ја табулаторот Конзола за предупредувања за мешана содржина. Исправете ги сите што се појавуваат — овие се директно видливи за Google.

Ризици од Трети СТРАНСКИ Скрипти

Секој надворешен скрипт што го учитувате е потенцијален безбедносен (и перформансен) ризик. Третиот странски скрипти можат:

  • Да бидат компромитирани (напади од добавната низа)
  • Да ги следат вашите корисници без согласност (повреда на GDPR)
  • Да го успорат вашиот сајт (блокирање на рендерирање, мрежна латентност)
  • Да ја нарушат функционалноста (актуелизации на верзии, прекини)
  • Да инјектираат несакама содржина (погрешни рекламни скрипти)

Аудит на вашите третички скрипти:

| Скрипта | Потребно? | Ниво на Ризик | Алтернатива | |--------|-----------|------------|-------------| | Google Analytics | Често да | Ниско | Сервенски трекинг | | Чат widget-и | Можеби | Средно | Само-хостед решенија | | Дела за социјално споделување | Ретко | Средно | Статички линкови за споделување | | A/B тестирање | Понекогаш | Високо | Сервенско тестирање | | Пиксели за повторно целно тоа | Бизнис одлука | Високо | Први податоци | | Фонт CDN-ови | Удобно | Ниско | Само-хостед фонтови |

Спречување на ризици за есенцијални трети скрипти:

  1. Субресурсна интегритет (SRI): Хаш верификација спречува натамошни скрипти од прикачување
<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>
  1. CSP ограничувања: Дозволете само скрипти од познати домени
  2. Изолирани iframe-и: Изолирате трети widget-и
  3. Редовни аудити: Квартален преглед на сите надворешни ресурси
  4. Набљудување: Упати при појава на нови надворешни домени во вашите страници

Брзо решение: Запишете ги сите