Skip to main content
Back to blog

SEO Гарын авлага 7-р алхам: Аюулгүй байдал — Google-ийн 2026 онд хүлээж буй суурь

·11 min read·by LANGR SEO

SEO Гарын авлага 7-р алхам: Аюулгүй байдал

Энэ нь 13 алхмын SEO гарын авлага-ын 7-р алхам юм. Аюулгүй байдал нь хэрэглэгчдийг хамгаалахаас гадна таны хайлтын рейтингт шууд нөлөөлдөг. Google 2014 оноос хойш HTTPS-г рейтингийн дохио болгон ашиглаж ирсэн, бөгөөд хүлээлтүүд өссөөр байна.

Дийлэнх сайт эзэд аюулгүй байдлыг хоёр талт гэж боддог: "Бидэнд SSL байна, тэгэхээр бид аюулгүй." Гэхдээ үнэн хэрэгтээ Google нь аюулгүй байдлын олон дохиог үнэлдэг. Зөв аюулгүй байдалын хуудастай, хүчинтэй сертификаттай, холимог агуулгагүй сайтад зөвхөн үндсэн SSL сертификаттай сайтаас өндөр рейтингтай байдаг — бусад зүйлийг ижил байхад.

Сайн мэдээ: Ихэнх аюулгүй байдлын засварууд нэг удаагийн тохиргоо байдаг. Нэг удаа тохируулбал таны рейтингийг мөнхөд хамгаалдаг.

SSL Тохиргоо

SSL (техникийн хувьд TLS) нь таны сервер болон зочидын хоорондын холболтыг шифрлэдэг. 2014 оноос хойш Google HTTPS-г тодорхойлоод рейтингийн дохио болгож баталгаажуулсан. 2026 он гэхэд HTTPS байхгүй байх нь зөвхөн рейтингийн асуудал биш — Chrome HTTP сайтуудыг "Аюулгүй биш" гэж тэмдэглэнэ, хэрэглэгчийн итгэлийг устгана.

Зөв SSL-ийн шаардлага:

| Шаардлага | Яагаад | Шалгах арга | |-------------|-----|--------------| | Хүчинтэй сертификат | Хугацаа дууссан = браузерийн анхааруулга = буцааж явсан хэрэглэгчид | Дуусах хугацааг шалгах | | Бүтэн гинжин | Дутуу гинжин зарим төхөөрөмжид муудах | SSL Labs тест | | TLS 1.2+ | Хуучны хувилбарууд нь танигдсан эмзэг байдлуудтай байдаг | SSL Labs тест | | SHA-1 байхгүй | Тайлагдсан, браузерууд үүнийг татгалздаг | Сертификатын дэлгэрэнгүй | | SAN хамрах хүрээ | www болон non-www аль алиныг хамарсан байх ёстой | Сертификатын дэлгэрэнгүй | | Автомат шинэчилдэг | Дуусалтын гамингээс урьдчилан сэргийлнэ | Let's Encrypt / ханган нийлүүлэгчийн тохиргоо |

SSL-ийн үнэлгээ:

100% = Хүчинтэй сертификат + Бүтэн гинжин + TLS 1.3 + Хүчтэй шифр + Автомат шинэчлэлт
  0% = Дууссан эсвэл байхгүй сертификат

Танил SSL-ийн алдаанууд:

  1. Сертификат анхааруулгагүйгээр дуусах — Дуусах хугацаа нь 30 өдөр гэж заасан мониторинг тохируулах (6-р алхам)
  2. Дутуу сертификатын гинжин — Сервер дундын сертификатуудыг явуулах ёстой, зөвхөн навч биш
  3. Холимог агуулга — HTTPS хуудас HTTP нөөцийг ачаалж байна (зургийн, скрипт, стиль)
  4. Redirect циклууд — HTTP → HTTPS → HTTP циклүүд тохиргоо муутай CDN/proxy-д үүссэн
  5. Non-www болон www харьцуулалт — Сертификат нэгийг хамардаг, нөгөөдөөг нь хамардаггүй

Туршилт: SSL Labs (ssllabs.com/ssltest)-д таны домэнийг явуул. "A" үнэлгээний доорх хүндэтгэрх жишиг асуудлуудтай. Ихэнх хостингийн үйлчилгээ, тохируулгатай байна.

Аюулгүй Байдалын Хуудас

Аюулгүй байдлын хуудас бол HTTP-ийн хариуны хуудас бөгөөд браузеруудын таны сайтыг ачааллахад хэрхэн үйлдлэхийг зааж өгдөг. Тэд бүтэн категориудын халдлагуудыг зогсоодог — мөн Google's crawl-ууд эдгээрийг шалгадаг.

Гүйцэтгэх аюулгүй байдлын хуудас:

Агуулгын Аюулгүй Байдлын Бодлого (CSP)

CSP бол хамгийн хүчтэй аюулгүй байдлын хуудас. Энэ нь браузеруудын таны хуудсанд ачааллах зөвшөөрөгдсөн нөөцүүдийг (скрипт, стиль, зураг, фонтууд) яг таг заадаг.

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

CSP-ийн хамгаалдаг зүйлүүд:

  • Хязгаарлагдмал сайтууд руу скриптүүдийн халдлага (XSS)
  • Мэдээлэл тариалах халдлага
  • Clickjacking (frame-ancestors-аар)
  • Зөвшөөрөлгүй скрипт гүйцэтгэл (криптомайн, зарын тариалагчид)

CSP үйлдвэрлэлийн стратеги:

  1. Content-Security-Policy-Report-Only-оос эхлэх (зөрчилтэй мэдээллийг блоклохгүй)
  2. 1-2 долоо хоногийн турш тайлагналуудыг хянах
  3. Жинхэнэ эх үүсвэрүүдийг whitelist хийх
  4. Хүчирхэгжүүлэх горимд шилжих
  5. Зөрчилдөөн мэдээлэх report-uri эсвэл report-to нэмэх

X-Frame-Options

Бусад домайнд iframe-д таны сайтыг оруулах боломжгүй болгодог (clickjacking-ийн хамгаалалт).

X-Frame-Options: DENY

Эсвэл ижил-origin framing-г зөвшөөрөх шаардлагатай бол:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

Браузерууд MIME-ний төрлийг шинжлэх (документуудыг үндсэн төрлөөс өөр болж ойлгох) зөвшөөрдөггүй.

X-Content-Type-Options: nosniff

Энэ нэг мөр нь .jpg файлд хуурамч JavaScript агуулаад браузерийг гүйцэтгэх нь зогсоодог.

Referrer-Policy

Хэрэглэгчид таны сайтаас холбоос дарсан үед ямар хэмжээний referrer мэдээлэл илгээгдэхийг хянадаг.

Referrer-Policy: strict-origin-when-cross-origin

Энэ нь ижил-origin хүсэлтүүдэд бүрэн URL илгээдэг, харин cross-origin хүсэлтүүдэд зөвхөн эх (домен) илгээдэг. Аналитик хэрэгцээг нууцлалтай тэнцвэржүүлдэг.

Permissions-Policy

Таны сайтад ашиглагдах браузерийн ямар функцууд (камера, микрофон, геолокаци, гэх мэт) хамаарна.

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

Танд шаардлагагүй функцуудыг унтрааснаар гуравдагч талын скриптүүдийг ашиглахыг зогсооно.

Хуудас хэрэгжүүлэлтийн жишээ (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

Хуудас хэрэгжүүлэлт (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Хуудас хэрэгжүүлэлт (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Туршилт: Дээрх 5 хуудас дахин серверын тохиргоонд нэмээрэй. Энэ нь 5 минутын дотор хийгдэж, таны аюулгүй байдлын хэмжээг ямар ч сканерууд дээр даруй сайжруулна.

HSTS Preload

HTTP Strict Transport Security (HSTS) нь браузеруудыг таны домэйнд үргэлж HTTPS ашиглахыг заадаг — анхны хүсэлтээс өмнө ч гэсэн. HSTS байхгүй бол таны сайтыг анх удаа зочилсноор HTTP ашиглах боломжтой (татан авахад эмзэг) болно.

HSTS хуудас:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Гурван заавар:

| Заавар | Утга | |-----------|---------| | max-age=31536000 | Энэ хугацааг 1 жил (секундээр) санах | | includeSubDomains | Бүх дэд домайнд ч мөн адил хэрэглэх | | preload | Браузерийн preload жагсаалтуудад оруулалтыг хүсэх |

HSTS preload жагсаалт:

HSTS-ийн хамгийн өндөр хамгаалалт. Браузерууд үргэлж HTTPS ашиглах ёстой домайнуудын дотроос байгаль үүсгэж өгдөг жагсаалттай. Таны домэйн hstspreload.org-д илгээж, дараах үр дүнгүүдийг авчирна:

  • Анх удаа зочилсон хүмүүст удахгүй HTTPS мэдэгдэх (HTTP → HTTPS дахин чиглүүлэхгүй)
  • Халдлагад холбож болохгүй
  • Мөнх (нэгэнт хүлээн зөвшөөрбөл хасагдахад бэрх)

HSTS preload-ийн шаардлага:

  1. Хүчинтэй HTTPS сертификат
  2. Бүх HTTP-г HTTPS рүү дахин чиглүүлэх (дэд домайнууд ч мөн)
  3. max-age >= 31536000-тай HSTS хуудас
  4. includeSubDomains,-ыг агуулсан HSTS хуудас
  5. preload-ыг агуулсан HSTS хуудас
  6. Бүх дэд домайнууд HTTPS-д дэмжигдсэн байх ёстой

Анхаарал: Таны дэд домайнууд бүгд HTTPS дэмждэг байдалтайгаар preload-д хэзээ ч хүгээрлэхийг хүсэхгүй. includeSubDomains бүхий заавар нь ямар ч HTTP-сайн дэд домайныг хаягдал гэдэг.

Туршилт: Хэрвээ таны бүх дэд домайнууд HTTPS-тай бол, HSTS хуудас бүрэн дүүрэн оруулах болоод hstspreload.org-д хасагдсан. Устгах явц хэдэн долоо хоног шаардагдана, гэвч хамгаалалт нь удаан хугацаагаар үргэлжилнэ.

Эмзэг байдлыг шалгах

Автоматжуулсан эмзэг байдлыг шалгах нь таны дотоод мэдлэгт халдлагын талаар мэдэгдлүүдийг тодорхойлодог.

Эмзэг байдлыг шалгах нь:

  • Хуучирсан програм хангамж: WordPress, плагин, JavaScript модулиуд
  • Ил тод файлууд: .env, .git, wp-config.php, өгөгдлийн сантай урьдчилж хандсан
  • Мэдээллийн алдагдал: Серверийн хувилбарын хуудасны анхаарлаа, алдааны горим, ходуулсан хуудас
  • Дадлагатай нууц үгс: Цахим админ хуудсуудаас эрхэмжгүй
  • Нээлттэй портууд/үйлчилгээ: Зар сурталчилгаа аваххи зургад зураг үүсгэснээр
  • Тарилгын цэгүүд: CSRF хамгаалалтгүй хэлбэрүүд, үнэлэгдээгүй оруултууд

Платформийн дагуу нийтлэг эмзэг байдлууд:

| Платформ | Топ эмзэг байдал | Засвар | |----------|-------------------|-----| | WordPress | Хуучирсан плагинууд | Автомат шинэчилж + WAF | | Shopify | Гуравдагч талын аппуудын эрхүүд | Апп жагсаалтаа улирал тутам шалгах | | Next.js | Илтгэлийн API маршрут | Auth middleware + rate limiting | | Статик сайтууд | CDN тохиргоо муутай | Кэшийн дүрэм харах | | Custom | SQL-ийн тарилга | Параметрчлалын асуулт |

Шалгах давтамж:

  • Өдөрт: Автоматжуулсан дэвсгэр шалгах (SSL, аюулгүй байдлын хуудас, ил тод файлууд)
  • Долоо хоног бүр: Хамааралтай эмзэг байдлыг шалгах (npm audit, WordPress плагин шалгагч)
  • Сар бүр: Баталгаажсан тесттэй гүн зэргээр шалгаж
  • Бүгдийг нэг удаа үйлдэж: Дахин зөвшөөрөх шалгах

Туршилт: npm audit (Node.js) хэрэгсэл ашиглах эсвэл таны CMS плагин жагсаалтыг хуучирсан компонентиудын төлөө шалгах. Хурдтай, өндөр аюултай асуудлуудаа борлуулна уу.

Холимог Агуулга

Холимог агуулга нь HTTPS хуудас HTTP замаар нөөцүүдийг (зураг, скрипт, стиль, iframe) ачааллах үед үүснэ. Энэ нь криптографиудыг хэсэгчлэн зогсоож, браузеруудын анхааруулгуудыг илрүүлнэ.

Холимог агуулгын төрөл:

| Төрөл | Хэрэглэсэн | Жишээ | Браузерийн үйлдэл | |------|----------|---------|------------------| | Идэвхитэй | Өндөр | HTTP скрипт, iframe, CSS | Анхныхаар зогсоосон | | Пассив | Дунд | HTTP зураг, видео, аудио | Анхааруулгатай ачаална |

Идэвхитэй холимог агуулгыг орчин үеийн браузерууд зогсоодог — таны скриптүүд ба стиль ачаалагдахгүй. Пассив холимог агуулга ачааллагддаг ч аюулгүй байдалтай холбоотой анхааруулга гарна.

Холимог агуулгыг олоход:

  1. Chrome DevTools → Консолийг нээгээрэй
  2. "Холимог Агуулга" анхааруулгуудыг хянах
  3. Альтернатив арга: сканерыг ашиглах (Screaming Frog, LANGR)

Холимог агуулгад нийтлэг эх үүсвэрүүд:

  • Агуулгад хардкодлогдсон http:// URL-ууд (блог пост, бүтээгдэхүүний тайлбар)
  • Гуравдагч талын widgits HTTP нөөцийг ачаалж
  • Эрдэм шинжилгээнүүд (YouTube хуучин эмбэд, нийгмийн медиа widgits)
  • CSS background-image HTTP URL-уудтай
  • HTTP замаар ачаалж буй фонтууд

Холимог агуулгыг засах:

<!-- Муу -->
<img src="http://example.com/image.jpg" />

<!-- Сайн -->
<img src="https://example.com/image.jpg" />

<!-- Дээд (протоколын хувьсагч, хуудас протоколд тохирон) -->
<img src="//example.com/image.jpg" />

Мэдээллийн сантай засах (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

Туршилт: Chrome-д таны эх хуудас нээгээд F12 дээр дарж, Консолийн табт холимог агуулгын анхааруулгуудыг шалгана уу. Гарч ирсэн аливаа зүйлийг засах — эдгээр нь Google-д шууд харагддаг.

Гуравдагч Талын Скриптүүдийн Аюулууд

Таны ачаалах гадны бие даасан скрипт бүр нь аюулгүй байдал (мөн гүйцэтгэл) үүсгэгч байж болох юм. Гуравдагч талын скриптүүд:

  • Хүндрэлтэй болох (бараг хангамжийн халдлага)
  • Таны хэрэглэгчдийг зөвшөөрөлгүйгээр хянах (GDPR зөрчил)
  • Таны сайтын гүйцэтгэлийг удаашруулах (зарах блоклох, сүлжээний удаан)
  • Функциональ байдлыг алдагдуулах (версийн шинэчлэлт, алдаанууд)
  • Хүсээгүй агуулга гаргах (зарах скриптүүд)

Гуравдагч талын скриптүүдийн аудит:

| Скрипт | Шаардлагатай юу? | Аюулгүй байдал | Альтернатив | |--------|-----------|------------|-------------| | Google Analytics | Байнга заавал | Бага | Серверийн зунгах | | Чат widgits | Магадгүй | Дунд | Өөртөө хүлээн авах шийдлүүд | | Нийгмийн хуваалцах товчлуурууд | Ховор | Дунд | Статик хуваалцах холбоос | | A/B тест | Заримдаа | Өндөр | Серверийн зунгах | | Босго хязгаа тодруулах | Байгууллагын шийдэл | Өндөр | Нэгдсэн дата | | Фонт CDN | Тооцоотой | Бага | Өөрийн фонтуудаа хүлээн авах |

Аюулыг бууруулахын тулд шаардлагатай гуравдагч талын скриптүүд:

  1. Подресурсын Интегритет (SRI): Урьдчилан баталгаажуулах хождлосон скриптүүдийг ачаалахгүй байх
    2. <script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>
  1. CSP хязгаарлалтууд: Зөвхөн мэдэгдсэн домайнуудаас скриптүүдийг зөвшөөрөх
  2. Sandboxed iframe: Гуравдагч талын widgitsийг тусгаарлах
  3. Торгоны аудит: Гадны нөөцийг улирал бүр хянах
  4. Хяналт: Хуудаснаа шинэ гадны домайныг анхааруулах

Туршилт: Танай HTML-д ачаалж буй