Skip to main content
Back to blog

SEO ਗਾਈਡ ਕਦਮ 7: ਸੁਰੱਖਿਆ — 2026 ਵਿੱਚ ਗੂਗਲ ਦੀ ਉਮੀਦ

·14 min read·by LANGR SEO

SEO ਗਾਈਡ ਕਦਮ 7: ਸੁਰੱਖਿਆ

ਇਹ 13-ਕਦਮ SEO ਗਾਈਡ ਦਾ ਕਦਮ 7 ਹੈ। ਸੁਰੱਖਿਆ ਸਿਰਫ਼ ਵਰਤੋਂਕਾਰਾਂ ਦੀ ਪਾਰਸੀਆਂ ਕਰਨ ਬਾਰੇ ਨਹੀਂ ਹੈ — ਇਹ ਤੁਹਾਡੇ ਖੋਜ ਰੈਂਕਿੰਗ ਨੂੰ ਸਿੱਧਾ ਪ੍ਰਭਾਵਿਤ ਕਰਦੀ ਹੈ। ਗੂਗਲ 2014 ਤੋਂ HTTPS ਨੂੰ ਰੈਂਕਿੰਗ ਸਿਗ਩ਲ ਦੇ ਤੌਰ 'ਤੇ ਵਰਤ ਰਿਹਾ ਹੈ, ਅਤੇ ਉਮੀਦਾਂ ਸਿਰਫ ਵਧੀਆਂ ਹਨ।


ਅੱਧਿਕਤਰ ਜਾਲ ਪੇਜ਼ ਦੇ ਮਾਲਕ ਸੁਰੱਖਿਆ ਨੂੰ ਇੱਕ ਬਾਈਨਰੀ ਵਜੋਂ ਵਿਚਾਰਦੇ ਹਨ: "ਸਾਡੇ ਕੋਲ SSL ਹੈ, ਇਸ ਲਈ ਅਸੀਂ ਸੁਰੱਖਿਅਤ ਹਾਂ।" ਹਕੀਕਤ ਵਿੱਚ, ਗੂਗਲ ਸੁਰੱਖਿਆ ਸਿਗਨਲਾਂ ਦੇ ਸ਼ੋਧ ਕਰਦਾ ਹੈ। ਸਾਈਟਾਂ ਜਿਨ੍ਹਾਂ ਦੇ ਕੋਲ ਸਹੀ ਸੁਰੱਖਿਆ ਹੈੱਡਰ, ਵੈਧ ਸਰਟੀਫਿਕੇਟ ਅਤੇ ਮਿਕਸਡ ਸਮੱਗਰੀ ਨਹੀਂ ਹੈ, ਉਹ ਸਿਰਫ਼ ਬੇਸਿਕ SSL ਸਰਟੀਫਿਕੇਟ ਵਾਲੀਆਂ ਸਾਈਟਾਂ ਤੋਂ ਉੱਚੀਆਂ ਹਨ — ਜਦ ਸਾਰੀਆਂ ਹੋਰ ਚੀਜ਼ਾਂ ਇੱਕੋ ਜਿਹੀਆਂ ਹਨ।

ਚੰਗੀ ਗੱਲ: ਜਿਆਦਾਤਰ ਸੁਰੱਖਿਆ ਫਿਕਸੋ ਇੱਕ ਵਾਰ ਦੀ ਸੰਰਚਨਾ ਹਨ। ਇੱਕ ਕੋਈ ਵਾਰ ਸੈਟ ਕਰੋ, ਅਤੇ ਇਹ ਸਦੀਵੀ ਤੁਹਾਡੇ ਰੈਂਕਿੰਗ ਦੀ ਰੱਖਿਆ ਕਰਦੀ ਹੈ।

SSL ਸੰਰਚਨਾ

SSL (ਤਕਨੀਕੀ ਤੌਰ 'ਤੇ TLS) ਤੁਹਾਡੇ ਸਰਵਰ ਅਤੇ ਦੌਰਾਨ ਦੇ ਦਰਸ਼ਕਾਂ ਵਿਚਕਾਰ ਕਨੈਕਸ਼ਨ ਨੂੰ ਇਨਕ੍ਰਿਪਟ ਕਰਦਾ ਹੈ। 2014 ਤੋਂ, ਗੂਗਲ ਨੇ HTTPS ਨੂੰ ਸਥਿਰ ਰੈਂਕਿੰਗ ਸਿਗਨਲ ਵਜੋਂ ਪੱਧਰ 'ਤੇ ਪੁਸ਼ਟੀ ਕੀਤੀ ਹੈ। 2026 ਵਿਚ, HTTPS ਨਾ ਹੋਣਾ ਸਿਰਫ਼ ਇੱਕ ਰੈਂਕਿੰਗ ਸਮੱਸਿਆ ਨਹੀਂ ਹੈ — ਕਰੋਮ HTTP ਸਾਈਟਾਂ ਨੂੰ ਪਤਾ ਕਿਤਾਬ ਵਿਚ "Not Secure" ਦੇ ਤੌਰ 'ਤੇ ਦਰਸਾਉਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਵਰਤੋਂਕਾਰਾਂ ਦਾ ਭਰੋਸਾ ਖਤਮ ਹੁੰਦਾ ਹੈ।

ਸਹੀ SSL ਲਈ ਲੋੜਾਂ:

| ਲੋੜ | ਕਿਉਂ | ਕੀਮਤ ਚੈੱਕ ਕਰਨ ਦਾ ਤਰੀਕਾ | |------|-------|-------------------------| | ਵੈਧ ਸਰਟੀਫਿਕੇਟ | ਮਿਆਦ ਪੁੱਗਿਆ = ਬਰਾਊਜ਼ਰ ਚਿੰਤਾ = Bounce ਹੋਣ ਵਾਲੇ ਯੂਜ਼ਰ | ਮੁਕੰਮਲ ਮਿਤੀ ਦੇਖੋ | | ਪੂਰੀ ਚੇਨ | ਅਧੂਰੇ ਚੇਨਾਂ ਕੁਝ ਡਿਵਾਇਸਾਂ 'ਤੇ ਫੇਲ੍ਹ | SSL Labs ਟੈਸਟ | | TLS 1.2+ | ਪੁਰਾਣੀਆਂ ਵਰਜਨ Wesen ਜਨਤਕ ਰੂਪ ਵਿੱਚ ਮਿਲਾਬੇਂ ਹਨ | SSL Labs ਟੈਸਟ | | ਕੋਈ SHA-1 ਨਹੀਂ | ਵਿੱਥਰੇਡ, ਬਰਾਉਜ਼ਰ ਇਸ ਨੂੰ ਰੱਦ ਕਰਦੇ ਹਨ | ਸਰਟੀਫਿਕੇਟ ਵਿਵਰਣ | | SAN ਕਵਰੇਜ | www ਅਤੇ non-www ਦੋਹਾਂ ਨੂੰ ਕਵਰ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ | ਸਰਟੀਫਿਕੇਟ ਵਿਵਰਣ | | ਆਟੋ-ਨਵੀਨੀकरण | ਮਿਆਦ ਪੁੱਗਣ ਵਾਲੇ ਆਫ਼ਤਾਂ ਤੋਂ ਬਚਾਅ | Let's Encrypt / ਪ੍ਰਦਾਤਾ ਕੰਫਿਗ |

SSL ਸਕੋਰਿੰਗ:

100% = Valid cert + Full chain + TLS 1.3 + Strong cipher + Auto-renew
  0% = Expired or missing certificate

ਆਮ SSL ਗਲਤੀਆਂ:

  1. ਸਰਟੀਫਿਕੇਟ ਬਿਨਾਂ ਸੂਚਨਾ ਦੇ ਮਿਆਦ ਪੂਰੀ ਹੋ ਜਾਂਦੀ ਹੈ — ਸੂਚੀਨ ਨਿਗਰਾਨੀ ਸੈਟ ਕਰੋ (ਕਦਮ 6) ਮਿਆਦ ਪੂਰੀ ਹੋਣ ਤੋਂ ਘੱਟੋ-ਘੱਟ 30 ਦਿਨ ਪਹਿਲਾਂ
  2. ਅਧੂਰੀ ਸਰਟੀਫਿਕੇਟ ਚੇਨ — ਸਰਵਰ ਨੂੰ ਦਰਮਿਆਨੀ ਸਰਟੀਫਿਕੇਟ ਭੇਜਣੇ ਪੈਣਗੇ, ਸਿਰਫ਼ ਪੱਤੀਆਂ ਨਹੀਂ
  3. ਮਿਕਸਡ ਸਮੱਗਰੀ — HTTPS ਪੰਨਾ HTTP ਸੰਸਾਧਨਾਂ (ਤਸਵੀਰਾਂ, ਸਕ੍ਰਿਪਟਾਂ, ਸਟਾਈਲਸ਼ੀਟਾਂ) ਨੂੰ ਲੋਡ ਕਰਦਾ ਹੈ
  4. ਰੇਡਾਇਰੈਕਟ ਲੂਪ — HTTP → HTTPS → HTTP ਚੱਕਰ ਜਿਨ੍ਹਾਂ ਨੂੰ ਗਲਤ CDN/proxy ਨੇ ਬਣਾਇਆ ਹੈ
  5. Non-www vs www ਅਸਦ — ਸਰਟੀਫਿਕੇਟ ਇੱਕ ਨੂੰ ਕਵਰ ਕਰਦਾ ਹੈ ਪਰ ਦੂਜੇ ਨੂੰ ਨਹੀਂ

ਤੁਰੰਤ ਹਾਸਲ: ਆਪਣੇ ਡੋਮੇਨ ਨੂੰ SSL Labs (ssllabs.com/ssltest) ਤੋਂ ਚਲਾਓ। "A" ਰੇਟਿੰਗ ਦੇ ਹੇਠਾਂ ਜੇ ਕੋਈ ਚੀਜ਼ ਬਣੀ ਹੈ, ਉਸ ਵਿੱਚ ਕਾਰਵਾਈ ਕਰਨ ਯੋਗ ਸਮੱਸਿਆਏਂ ਹਨ। ਜਿਆਦਾਤਰ ਹੋਸਟਿੰਗ ਪ੍ਰਦਾਤਾ ਇਨ੍ਹਾਂ ਨੂੰ ਇਕ ਕਲਿਕ ਨਾਲ ਠੀਕ ਕਰਦੇ ਹਨ।

ਸੁਰੱਖਿਆ ਹੈੱਡਰ

ਸੁਰੱਖਿਆ ਹੈੱਡਰ HTTP ਪ੍ਰਤਿਕ੍ਰਿਆ ਹੈੱਡਰ ਹਨ ਜੋ ਬਰਾਉਜ਼ਰਾਂ ਨੂੰ ਤੁਹਾਡੀ ਸਾਈਟ ਲੋਡ ਕਰਨ ਵੇਲੇ ਕਿਵੇਂ ਵਤੀਰਣਾ ਕਰਨਾ ਹੈ ਇਹ ਦੱਸਦੇ ਹਨ। ਇਹ ਸਥਾਈ ਮੁੜ ਸੂੱਚੀਆਂ ਦੀ ਕਿਸਮਾਂ ਨੂੰ ਬਚਾਉਂਦੇ ਹਨ — ਅਤੇ ਗੂਗਲ ਦੇ ਕ੍ਰਾਲਰ ਉਨ੍ਹਾਂ ਦੀ ਜਾਂਚ ਕਰਦੇ ਹਨ।

ਅਰਸਿਕ ਸੁਰੱਖਿਆ ਹੈੱਡਰ:

###.Content-Security-Policy (CSP)

CSP ਸਭ ਤੋਂ ਸੰਖੇਪ ਸੁਰੱਖਿਆ ਹੈੱਡਰ ਹੈ। ਇਹ ਬਰਾਉਜ਼ਰਾਂ ਨੂੰ ਸਹੀ ਸਾਧਨ (ਸਕ੍ਰਿਪਟਾਂ, ਸਟਾਈਲ, ਤਸਵੀਰਾਂ, ਫੋੰਟ) ਕਿਨ੍ਹਾ ਲੋਡ ਹੋਣੀ ਚਾਹੀਦੀ ਹੈ ਇਹ ਬਰਕਰਾਰ ਦੱਸਦਾ ਹੈ।

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

CSP ਕਿਹੜੀਆਂ ਚੀਜ਼ਾਂ ਨੂੰ ਰੋਕੇਗਾ:

  • Cross-site scripting (XSS) ਹਮਲੇ
  • ਡੇਟਾ ਇੰਜੈਕਸ਼ਨ ਹਮਲੇ
  • Clickjacking (ਦੁਆਰਾ frame-ancestors)
  • ਅਣੁਮਤ ਸਕ੍ਰਿਪਟ ਤੋਂ ਪ੍ਰਣਾਲੀ ਚਾਲੂ ਹੋਣਾ (ਕ੍ਰਿਪਟੋਮੀਨਰ, ਵਿਗਿਆਪਨ ਇੰਜੈਕਟਰ)

CSP ਦੇ ਪ੍ਰਵੇਸ਼ਟ੍ਰੰਟੀ ਸਟਰੈਟਜੀ:

  1. Content-Security-Policy-Report-Only ਨਾਲ ਸ਼ੁਰੂਆਤ ਕਰੋ (ਬਲਾਕ ਕਰਨ ਦੇ ਬਿਨਾਂ ਉਲੰਘਨ ਨੂੰ ਲਾਗਬੁੱਕ ਕਰਦਾ ਹੈ)
  2. 1-2 ਹਫ਼ਤਿਆਂ ਲਈ ਰਿਪੋਰਟਾਂ ਦੀ ਨਿਗਰਾਨੀ ਕਰੋ
  3. ਪੇਸ਼ੇਵਰ ਸਰੋਤਾਂ ਨੂੰ ਵ੍ਹਾਈਟਲਿਸਟ ਕਰੋ
  4. ਦੇਖ-ਰੇਖ ਕਰਨ ਵਾਲੇ ਮੋਡ 'ਤੇ ਸਵਿੱਚ ਕਰੋ
  5. ਲਗਾਤਾਰ ਉਲੰਘਨ ਲਾਗਬੁੱਕ ਕਰਨ ਲਈ report-uri ਜਾਂ report-to ਸ਼ਾਮਲ ਕਰੋ

X-Frame-Options

ਜੋ ਕਿ ਤੁਹਾਡੇ ਸਾਈਟ ਨੂੰ ਹੋਰ ਡੋਮੇਨਾਂ 'ਤੇ iframes ਵਿੱਚ ਨਿਸ਼ਾਨ ਬੰਨਣ ਤੋਂ ਰੋਕਦਾ ਹੈ (clickjacking ਸੁਰੱਖਿਆ)।

X-Frame-Options: DENY

ਜਾਂ ਜੇ ਤੁਹਾਨੂੰ ਸਮਾਨ-ਉਰਜਨ ਫ੍ਰੇਮਿੰਗ ਦੀ ਆਗਿਆ ਦੇਣੀ ਹੈ:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

ਬਰਾਉਜ਼ਰਾਂ ਨੂੰ MIME-ਕਿਸਮ ਦੀ ਸੁਗੰਧ ਪ੍ਰਾਪਤ ਕਰਨ ਤੋਂ ਰੋਕਦਾ ਹੈ (ਫਾਈਲਾਂ ਨੂੰ ਉਨ੍ਹਾਂ ਦੀ ਘੋਸ਼ਣਾ ਕੀਤੀ ਹੋਣ ਦੇ ਸਥਾਨਾਂ ਤੇ ਵੱਖਰੇ ਕਿਸਮਾਂ ਵਜੋਂ ਵੱਖਰਾ ਕਰਨਾ)।

X-Content-Type-Options: nosniff

ਇਹ ਇੱਕ-ਲਾਈਨ ਦੇ ਰੂਪ ਵਿੱਚ ਹਮਲੇਆਂ ਨੂੰ ਰੋਕਦਾ ਹੈ ਜਿੱਥੇ ਇੱਕ .jpg ਫਾਈਲ ਵਿੱਚ ਲੁਕੀਆ ਹੋਇਆ ਜਾਵਾਸਕ੍ਰਿਪਟ ਹੁੰਦਾ ਹੈ ਜਿਸ ਨੂੰ ਬਰਾਉਜ਼ਰ ਚਾਲੂ ਕਰ ਸਕਦਾ ਹੈ।

Referrer-Policy

ਕੰਟਰੋਲ ਕਰਦਾ ਹੈ ਕਿ ਵਰਤੋਂਕਾਰ ਜਦੋਂ ਤੁਹਾਡੀ ਸਾਈਟ ਤੋਂ ਲਿੰਕਾਂ ਤੇ ਕਲਿੱਕ ਕਰਦੇ ਹਨ ਤਾਂ ਰਿਫਰਕ ਜਾਣਕਾਰੀ ਕਿੰਨੀ ਭੇਜੀ ਜਾਂਦੀ ਹੈ।

Referrer-Policy: strict-origin-when-cross-origin

ਇਹ ਸਮਾਨ-ਉਰਜਨ ਦੀਆਂ ਬੇਨਤੀ ਸਮੇਤ ਪੂਰੀ URL ਭੇਜਦਾ ਹੈ ਪਰ ਅਲੱਗ-ਉਰਜਨ ਦੀਆਂ ਬੇਨਤੀਆਂ ਲਈ ਕੇਵਲ ਉਡੀਕੜ (ਡੋਮੇਨ) ਭੇਜਦਾ ਹੈ। ਵਿਸ਼ਲੇਸ਼ਣ ਦੀਆਂ ਲੋੜਾਂ ਨੂੰ ਨਿੱਜਤਾ ਨਾਲ ਸੰਤੁਲਿਤ ਕਰਦਾ ਹੈ।

Permissions-Policy

ਕੰਟਰੋਲ ਕਰਦਾ ਹੈ ਕਿ ਖ਼ਬਰਦਾਰੀ ਵਾਲੇ ਬਰਾਉਜ਼ਰ ਫੀਚਰ (ਕੈਮਰਾ, ਮਾਈਕਰੋਫੋਨ, ਭੂਗੋਲਿਕਤਾ, ਆਦਿ) ਤੁਹਾਡੀ ਸਾਈਟ 'ਤੇ ਕਿਵੇਂ ਵਰਤਿਆ ਜਾ ਸਕਦਾ ਹੈ।

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

ਫੀਚਰਾਂ ਨੂੰ ਬੰਦ ਕਰਨਾ ਜੋ ਤੁਸੀਂ ਵਰਤਦੇ ਨਹੀਂ ਨੂੰ ਕਈ ਤਿਰਿਸ਼ਰਾਂ ਨੂੰ ਬਦਗੜਨ ਤੋਂ ਬਚਾਉਂਦਾ ਹੈ।

ਹੈੱਡਰ ਨੂੰ ਲਾਗੂ ਕਰਨ ਦੇ ਉਦਾਹਰਨ (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

ਹੈੱਡਰ ਲਾਗੂ ਕਰਨ ਦੀ ਪ੍ਰਕਿਰਿਆ (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

ਹੈੱਡਰ ਲਾਗੂ ਕਰਨ ਦੀ ਪ੍ਰਕਿਰਿਆ (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

ਤੁਰੰਤ ਫਾਇਦਾ: ਉਪਰੋਕਤ 5 ਹੈੱਡਰਾਂ ਨੂੰ ਆਪਣੇ ਸਰਵਰ ਵਿਵਰਣ ਵਿੱਚ ਸ਼ਾਮਲ ਕਰੋ। ਇਹ 5 ਮਿੰਟ ਲੈਂਦਾ ਹੈ ਅਤੇ ਕਿਸੇ ਵੀ ਸਕੈਨ ਟੂਲ ਵਿੱਚ ਤੁਹਾਡੀ ਸੁਰੱਖਿਆ ਦੀ ਚਿੱਤੇ ਨੂੰ ਤੁਰੰਤ ਸੁਧਾਰ ਵੀਦਾ ਹੈ।

HSTS ਪੂರ್ವ ਲੋਡ

HTTP Strict Transport Security (HSTS) ਬਰਾਉਜ਼ਰਾਂ ਨੂੰ ਯਾਦ ਦਵਾਉਂਦਾ ਹੈ ਕਿ ਉਸ ਦੀ ਡੋਮੇਨ ਲਈ ਹਮੇਸ਼ਾ HTTPS ਵਰਤਣਾ ਹੈ - ਪਹਿਲੇ ਬੇਨਤੀ ਤੋਂ ਪਹਿਲਾਂ। HSTS ਦੇ ਬਿਨਾਂ, ਤੁਹਾਡੇ ਸਾਈਟ ਦਾ ਪਹਿਲਾ ਦੌਰਾ HTTP ਦਾ ਪ੍ਰਯੋਗ ਕਰ ਸਕਦਾ ਹੈ (ਦਖਲ ਕਰਨ ਦੀ ਖਤਰੇ ਦੇਖਦੇ) ਜਦੋਂ HTTPS ਵੱਲ ਬਦਲਾਅ ਨਹੀਂ ਹੋਇਆ ਹੋਇਆ ਹੈ।

HSTS ਹੈੱਡਰ:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

ਤੀਨ ਨਿਰਦੇਸ਼:

| ਨਿਰਦੇਸ਼ | ਅਰਥ | |---------|------| | max-age=31536000 | ਇਸ ਨੂੰ 1 ਸਾਲ ਲਈ ਯਾਦ ਰੱਖੋ (ਸਕਿੰਟ 'ਚ) | | includeSubDomains | ਇਹ ਸਮੂਹ ਖੁਫੀਆ ਖਤਰਿਆਂ ਨੂੰ ਵੀ ਲਾਗੂ ਕਰਦਾ ਹੈ | | preload | ਬਰਾਊਜ਼ਰ ਪੂਰਵ-ਲੋਡ ਸੂਚੀਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਕਰਨ ਦੀ ਬੇਨਤੀ |

HSTS ਪੂਰਵ-ਲੋਡ ਸੂੱਛੀ:

HSTS ਦੀ ਆਖਰੀ ਸੁਰੱਖਿਆ। ਬਰਾਉਜ਼ਰ ਇੱਕ ਐਸਾ ਮੁਤਰੂੰਕ ਸੂਚੀ ਦੇ ਨਾਲ ਭੇਜੇ ਜਾਂਦੇ ਹਨ, ਜੋ ਹਮੇਸ਼ਾ HTTPS ਵਰਤਣਾ ਚਾਹੀਦਾ ਹੈ। hstspreload.org 'ਤੇ ਆਪਣੀ ਡੋਮੇਨ ਭੇਜਣਾ ਮਤਲਬ ਹੈ:

  • ਪਹਿਲੀ ਵਾਰੀ ਦੌਰੇ ਵਾਲੇ ਝਟ ਹੋਣ ਵਾਲੇ HTTPS ਤੁਰੰਤ ਮਿਲਦਾ ਹੈ (HTTP → HTTPS ਰਿਡਾਇਰੈਕਟ ਨਹੀਂ)
  • ਹਮਲਾਂ ਵਾਲਿਆਂ ਲਈ ਕੁਨੈਕਸ਼ਨ ਨੂੰ ਥੱਲੇ ਜਾਣਾ ਅਸੰਭਵ
  • ਅਤੀਤ (ਇਕ ਵਾਰ ਬਣਾਇਆ ਜਾਂਦਾ ਹੈ, ਮੁੜ ਰੱਦ ਕਰਨਾ ਮੁਸ਼ਕਲ)

HSTS ਪੂਰਵ-ਲੋਡ ਦੇ ਲਾਇਕ:

  1. ਵੈਧ HTTPS ਸਰਟੀਫਿਕੇਟ
  2. ਸਾਰੇ HTTP ਨੂੰ HTTPS 'ਤੇ ਰਿਡਾਇਰੈਕਟ ਕਰਨਾ (ਸਮੂਹ ਉਪਡੋਮੇਨਾਂ ਸਮੇਤ)
  3. HSTS ਹੈੱਡਰ ਜੋ max-age >= 31536000 ਕੁ਷ਟੀ
  4. HSTS ਹੈੱਡਰ ਵਿੱਚ includeSubDomains ਸ਼ਾਮਲ ਹੈ
  5. HSTS ਹੈੱਡਰ 'ਚ preload ਸ਼ਾਮਲ ਹੈ
  6. ਸਾਰੇ ਉਪਡੋਮੇਨਾਂ ਨੂੰ HTTPS ਦਾ ਸਹਾਰਾ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ

ਚੇਤਾਵਨੀ: ਸਿਰਫ਼ preload 'ਤੇ ਉਹਨਾਂ ਉਪਡੋਮੇਨਾਂ ਨੂੰ ਭੇਜਣਾ ਜੋ HTTPS ਨੂੰ ਸਹਾਰਾ ਦਿੰਦੇ ਹਨ। includeSubDomains ਨਿਰਦੇਸ਼ ਦਾ ਮਤਲਬ ਹੈ ਕਿ ਕੋਈ ਵੀ HTTP-ਕੇਵੱਲ ਉਪਡੋਮੇਨ ਪ੍ਰਾਪਤ ਨਹੀਂ ਹੋ ਸਕੇਗਾ।

ਤੁਰੰਤ ਹਾਸਲ: ਜੇ ਤੁਹਾਡੇ ਸਾਰੇ ਉਪਡੋਮੇਨਾਂ 'ਤੇ HTTPS ਹੈ, ਤਾਂ ਪੂਰਾ HSTS ਹੈੱਡਰ ਸ਼ਾਮਲ ਕਰੋ ਅਤੇ hstspreload.org 'ਤੇ ਭੇਜੋ। ਪ੍ਰਕਿਰਿਆ ਕੁਝ ਹਫ਼ਤਿਆਂ ਦਾ ਸਮਾਂ ਲੈਂਦੀ ਹੈ ਪਰ ਸੁਰੱਖਿਆ ਸਦਾ ਲਈ ਹੈ।

ਖਤਰਿਆਂ ਦੀ ਸਕੈਨਿੰਗ

ਆਟੋਮੈਟਿਕ ਖਤਰਿਆਂ ਦੀ ਸਕੈਨਿੰਗ ਤੁਹਾਡੇ ਸਟੈਕ ਵਿੱਚ ਜਾਣੇ ਖਤਰਿਆਂ ਦੀ ਪਛਾਣ ਕਰਦੀ ਹੈ ਜਿਸ ਤੋਂ ਪਹਿਲਾਂ ਕਿ ਹਮਲਾਵਰ ਉਹਨਾਂ ਨੂੰ ਵਰਤੇ।

ਖਤਰਿਆਂ ਦੀ ਸਕੈਨਿੰਗ ਕੀ ਦੇਖਦੀ ਹੈ:

  • ਪੁਰਾਣਾ ਸਾਫਟਵੇਅਰ: WordPress, ਪਲੱਗਇਨ, ਜਾਵਾਸਕ੍ਰਿਪਟ ਲਾਇਬ੍ਰੇਰੀਆਂ ਨਾਲ ਜਾਣੇ CVEs
  • ਅਗਵਾਈ ਕੀਤੇ ਫਾਈਲਾਂ: .env, .git, wp-config.php, ਡੇਟਾਬੇਸ ਡੰਪ
  • ਜਾਣਕਾਰੀ ਦੀ ਰੀੜ੍ਹੀ: ਸਰਵਰ ਵਰਜਨ ਹੈੱਡਰ, ਡਿਬੱਗ ਮੋਡ, ਸਟੈਕ ਟਰੇਸ
  • ਡਿਫਾਲਟ ਸTERYਡਿਟਲਿਕਸ: ਬਿਨਾਂ ਅਧਿਕਾਰ ਦੇ ਪਰਬੰਧ ਕੇ ਪੰਨੇ, ਡਿਫਾਲਟ ਪਾਸਵਰਡ
  • ਖੁਲੇ ਪੋਰਟ/ਸੇਵਾਵਾਂ: ਅਨੇਕ ਸੇਵਾਵਾਂ ਜੋ ਇੰਟਰਨੇਟ ਤੇ ਖੁਲੀਆਂ ਹੁੰਦੀਆਂ ਹਨ
  • ਇੰਜੈਕਸ਼ਨ ਪੁਆਇੰਟ: CSRF ਸੁਰੱਖਿਆ ਦੇ ਬਿਨਾ ਫਾਰਮ, ਬਿਨਾ ਪਰਵਾਨਗੀ ਦੇ ਇਨਪੁਟ

ਪਲੇਟਫਾਰਮ ਦੁਆਰਾ ਆਮ ਖਤਰਿਆਂ:

| ਪਲੇਟਫਾਰਮ | ਟੌਪ ਖਤਰਾ | ਫਿਕਸ | |------------|------------|-----| | WordPress | ਪੁਰਾਣੀਆਂ ਪਲੱਗਿੰਸ | ਆਟੋ-ਅਪਡੇਟ + WAF | | Shopify | ਤੀਜੀ-ਪਾਰਟੀ ਐਪ ਪਰਮਿਸ਼ਨ | ਤਿਮਾਹੀਆਂ ਐਪ ਸੂਚੀ ਦੀ ਜਾਂਚ ਕਰੋ | | Next.js | ਖੁਲੀ API ਰੂਟ | Auth ਮਿਡਲਵੇਅਰ + ਦਰਜੇ ਸੀਮਿਤ | | ਸਥਿਰ ਸਾਈਟ | CDN ਗਲਤ ਸੰਰਚਨਾ | ਕੈਸ਼ ਨਿਯਮ ਦੀ ਸਮੀਖਿਆ ਕਰੋ | | ਕਸਟਮ | SQL ਇੰਜੈਕਸ਼ਨ | ਪੈਰਾਮੇਟਰ ਡਾਟੰਨ ਸਵਾਲ |

ਸਕੈਨਿੰਗ ਦੀ ਸਕੀਂਟ:

  • ਰੋਜ਼ਾਨਾ: ਆਟੋਮੈਟਿਕ ਸਰਫੇਸ ਸਕੈਨ (SSL, ਹੈੱਡਰ, ਖੁਲੀਆਂ ਫਾਈਲਾਂ)
  • ਹਫਤੀ: ਡਿਪੈਂਡੇਸੀ ਖਤਰੇ ਦੀ ਜਾਂਚ (npm audit, WordPress ਪਲੱਗਇਨ ਸਕੈਨਰ)
  • ਮਾਂਹਵਾਰੀ: ਗਹਿਰਾਈ ਸਕੈਨ ਜੋ ਅਧਿਕਾਰਿਤ ਟੈਸਟਿੰਗ ਨਾਲ ਕੀਤਾ ਜਾਂਦਾ ਹੈ
  • ਹਰ ਡੀਪਲੌਏ ਤੋਂ ਬਾਅਦ: ਮੁੜ-ਪੜਚੋਲ

ਤੁਰੰਤ ਫਾਇਦਾ: npm audit (Node.js) ਚਲਾਓ ਜਾਂ ਪੁਰਾਣੀ ਸਮੱਗਰੀ ਲਈ ਆਪਣੇ CMS ਪਲੱਗਿਨ ਸੂਚੀ ਦੀ ਜਾਂਚ ਕਰੋ। ਨਾਜ਼ੂਕਤਾ/ਉੱਚ ਗੰਭੀਰਤਾ ਦੇ ਮੁੱਦਿਆਂ ਨੂੰ ਤੁਰੰਤ ਠੀਕ ਕਰੋ।

ਮਿਕਸਡ ਸਮੱਗਰੀ

ਮਿਕਸਡ ਸਮੱਗਰੀ ਉਸ ਵੇਲੇ ਹੁੰਦੀ ਹੈ ਜਦੋਂ ਇਕ HTTPS ਪੰਨਾ ਸਰੋਤ (ਤਸਵੀਰਾਂ, ਸਕ੍ਰਿਪਟਾਂ, ਸਟਾਈਲਸ਼ੀਟਾਂ, iframes) HTTP ਵਿੱਚ ਲੋਡ ਹੁੰਦਾ ਹੈ। ਇਹ ਇਨਕ੍ਰਿਪਸ਼ਨ ਨੂੰ ਇੱਕ ਪਾਸੇ ਭੰਗ ਕਰ ਦਿੰਦਾ ਹੈ ਅਤੇ ਬਰਾਉਜ਼ਰ ਚਿੰਤਾਵਾਂ ਨੂੰ ਚਾਲੂ ਕਰ ਦਿੰਦਾ ਹੈ।

ਮਿਕਸ ਡ ਸਮੱਗਰੀ ਦੇ ਕਿਸਮਾਂ:

| ਕਿਸਮ | ਗੰਭੀਰਤਾ | ਉਦਾਹਰਨ | ਬਰਾਊਜ਼ਰ ਵਰਤੋਂ | |------|-----------|---------|-----------------| | ਐਕਟਿਵ | ਉੱਚ | HTTP ਸਕ੍ਰਿਪਟ, iframe, CSS | ਡਿਫਾਲਟ ਵਿੱਚ ਰੋਕਿਆ ਗਿਆ | | ਪਾਸਿਵ | ਦਰਮਿਆਨੀ | HTTP ਤਸਵੀਰ, ਵੀਡੀਓ, ਆਡੀਓ | ਚਿੰਤਾ ਨਾਲ ਲੋਡ ਕੀਤਾ ਗਿਆ |

ਐਕਟਿਵ ਮਿਕਸਡ ਸਮੱਗਰੀ ਆਧੁਨਿਕ ਬਰਾਉਜ਼ਰਾਂ ਦੁਆਰਾ ਰੋਕੀ ਜਾਂਦੀ ਹੈ — ਜਿਸਦਾ ਮਤਲਬ ਹੈ ਕਿ ਤੁਹਾਡੇ ਸਕ੍ਰਿਪਟ ਅਤੇ ਫੈਸਲੇ ਸਿਰਫ਼ ਲੋਡ ਨਹੀਂ ਹੋ ਸਕਦੇ। ਪਾਸਿਵ ਮਿਕਸਡ ਸਮੱਗਰੀ ਲੋਡ ਹੁੰਦੀ ਹੈ ਪਰ ਸੁਰੱਖਿਆ ਚਿੰਤਾਵਾਂ ਦਿਖਾਉਂਦੀ ਹੈ।

ਮਿਕਸਡ ਸਮੱਗਰੀ ਲੱਭਣਾ:

  1. Chrome DevTools ਖੋਲ੍ਹੋ → ਕਨਸੋਲ
  2. "Mixed Content" ਚਿੰਤਾਵਾਂ ਦੇਖੋ
  3. ਇਸ ਤੋਂ ਬਦਲਕੇ, ਕ੍ਰਾਲਰ ਨਾਲ ਸਕੈਨ ਕਰੋ (Screaming Frog, LANGR)

ਆਮ ਮਿਕਸਡ ਸਮੱਗਰੀ ਸ੍ਰੋਤ:

  • ਮਾਹਰਾਂ ਵਿੱਚ http:// URLs ਜੋ ਸਮੱਗਰੀ ਵਿੱਚ ਹਨ (ਬਲੌਗ ਪੋਸਟਾਂ, ਉਤਪਾਦ ਵਰਣਨ)
  • ਤੀਜੀ-ਪਾਰਟੀ ਵਿਜਿਟ ਜੋ HTTP ਲੋਡਿੰਗ ਰਹਿਤ ਹਨ
  • ਐਮਬੈੱਡ ਸਮੱਗਰੀ (ਯੂ-ਟਿੂਬ ਪੁਰਾਣੇ ਐਮਬੈੱਡ, ਸੋਸ਼ਲ ਮੀਡੀਆ ਵਿਜਿਟ)
  • CSS background-image HTTP URLs ਨਾਲ
  • ਫੋੰਤ HTTP ਰਾਹੀਂ ਲੋਡ ਕੀਤਾ ਗਿਆ

ਮਿਕਸਡ ਸਮੱਗਰੀ ਨੂੰ ਠੀਕ ਕਰਨ:

<!-- ਬੁਰਾ -->
<img src="http://example.com/image.jpg" />

<!-- ਚੰਗਾ -->
<img src="https://example.com/image.jpg" />

<!-- ਸਭ ਤੋਂ ਵਧੀਆ (ਪ੍ਰਟੋਕੋਲ-ਸਦਸੀਕ, ਪੰਨੇ ਦੇ ਪ੍ਰਟੋਕੋਲ ਨੂੰ ਅਦਾਪਟ ਕਰਦਾ ਹੈ) -->
<img src="//example.com/image.jpg" />

ਡੇਟਾਬੇਸ ਫਿਕਸ (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

ਤੁਰੰਤ ਹਾਸਲ: ਆਪਣੇ ਮੁਖ ਪੰਨੇ ਨੂੰ ਚਰਮਹਾਲੇ ਵਿੱਚ ਖੋਲੋ, F12 ਦਬਾਓ, ਅਤੇ ਸੁਰੱਖਿਆ ਚਿੰਤਾਵਾਂ ਲਈ ਕਨਸੋਲ ਟੈਬ ਦੇਖੋ। ਜਿਹੜੀਆਂ ਜੋ ਵਾਪਰਦੀਆਂ ਹਨ ਉਹਨਾਂ ਨੂੰ ਠੀਕ ਕਰੋ - ਇਹ ਸਿੱਧਾ ਗੂਗਲ ਨੂੰ ਦਰਸਾਏਂਗਾ।

ਤੀਜੀ-ਪਾਰਟੀ ਸਕ੍ਰਿਪਟ ਖਤਰਿਆਂ

ਜੋ ਕੁੱ ਅਨ੍ਯ ਬਾਹਰੀ ਸਕ੍ਰਿਪਟ ਹੋਰ ਗਤੀਵਿਧੀਆਂ ਦਾ ਪੋਟੇਂਸ਼ੀਅਲ ਖ਼ਤਰਾ ਹੁੰਦੇ ਹਨ। ਤੀਜੀ-ਪਾਰਟੀ ਸਕ੍ਰਿਪਟ:

  • Comprised (ਸਪਲਾਈ ਚੇਨ ਹਮਲੇ)
  • ਤੁਹਾਡੇ ਵਰਤੋਂਕਾਰਾਂ ਨੂੰ ਬਿਨਾਂ ਸਹਿਮਤੀ ਦੇ ਟਰੈਕ ਕਰਨਾ (GDPR ਉਲੰਘਣਾ)
  • ਤੁਹਾਡੀ ਸਾਈਟ ਨੂੰ ਮੰਦ ਕਰਨਾ (ਰੈਂਡਰ-ਰੋਕਣ, ਨੈੱਟਵਰਕ ਦੇਰੀ)
  • ਫੰਕਸ਼ਨਾਲਿਟੀ ਨੂੰ ਖ਼ਤਮ ਕਰਨਾ (ਵਰਜਨ ਅੱਪਡੇਟ, ਆਉਟੇਜ)
  • ਚਾਹੁੰਦੇ ਕਾਂਟੈਂਟ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨਾ (ਵਿਗਿਆਪਨ ਸਕ੍ਰਿਪਟਾਂ ਜੋ ਗਲਤ ਹਨ)

ਆਪਣੇ ਤੀਜੀ-ਪਾਰਟੀ ਸਕ੍ਰਿਪਟਾਂ ਦੀ ਜਾਂਚ ਕਰੋ:

| ਸਕ੍ਰਿਪਟ | ਜਰੂਰੀ? | ਖ਼ਤਰਾ ਦਰਜਾ | ਵਿਕਲਪ | |--------|---------|--------------|---------| | Google Analytics | ਅਕਸਰ ਹਾਂ | ਨੀਚ | ਸਰਵਰ-ਪਾਸਾਂ ਦੀ ਟਰੈਕਿੰਗ | | ਚੈਟ ਵਿਜਿਟ | ਸ਼ਾਇਦ | ਦਰਮਿਆਨੀ | ਸਵੈ-ਹੋਸਟ ਕੀਤੇ ਹੱਲ | | ਸੋਸ਼ਲ ਸ਼ੇਅਰ ਬਟਨ | ਬਹੁਤ ਵਾਰੀ | ਦਰਮਿਆਨੀ | ਸਟੈਟਿਕ ਸ਼ੇਅਰ ਲਿੰਕ | | A/B ਟੈਸਟਿੰਗ | ਕੁਝ ਸਮੇਂ | ਉੱਚ | ਸਰਵਰ-ਪਾਸਾਂ ਦੀ ਟੈਸਟਿੰਗ | | ਰੀਟਾਰਗੇਟਿੰਗ ਪਿਕਸਲ | ਵਪਾਰ ਦੇ ਨਿਰਣਾ | ਉੱਚ | ਪਹਿਲੀ ਪਾਰਟੀ ਡੇਟਾ | | ਫੋਂਟ CDNs | ਸੁਵਿਧਾਪੂਰਨ | ਨੀਚ | ਫੋਂਟ ਖੁਦ-ਹੋਸਟ ਕਰੋ |

ਖ਼ਤਰਾ ਮੁਠਿਆਤ ਕਰਨ ਲਈ ਜਰੂਰੀ ਤੀਜੀ-ਪਾਰਟੀ ਸਕ੍ਰਿਪਟਾਂ:

  1. Subresource Integrity (SRI): ਹੈਸ਼ ਪ੍ਰਮਾਣੀਕਰਨ ਦੇ ਰੂਪ ਵਿੱਚ ਨਾਡੇ ਇਹ ਚੈਕ ਕਰਦਾ ਹੈ ਕਿ ਕੋਈ ਪਾਗਲ ਸਕ੍ਰਿਪਟ ਲੋਡ ਨਾਹ ਹੋਵੇ
<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>
  1. CSP ਦੀ ਪੈਰਵੀ: ਸਿਰਫ਼ ਜਾਣੇ ਜਾਨੀਏ ਵਾਲੇ ਡੋਮੇਨ ਤੋਂ ਹੀ ਸਕ੍ਰਿਪਟਾਂ ਦੀ ਆਗਿਆ ਦੇਓ
  2. ਸੈਂਡਬਾਕਸ਼ਿੰਗ ਵਿਚ ਫਰਕ: ਤੀਜੀ-ਪਾਰਟੀ ਵਿਜਿਟਾਂ ਨੂੰ ਇਆਰੀ ਦਰਿੰਦਗੀ ਦਿੰਦਾ ਹੈ
  3. ਨਿਯਮਤ ਜਾਂਚ: ਸਾਲਾਨਾ ਸਮੀਖਿਆ ਕਰਨ ਤੋਂ ਬਾਅਦ
  4. ਨਿਗਰਾਨੀ: ਆਪਣੇ ਪੰਨਿਆਂ ਵਿੱਚ ਨਵੀਂ ਬਾਹਰੀ ਡੋਮੇਨਾਂ ਦੇ ਅਗਲਾ ਕਰਨ 'ਤੇ ਸੂਚਿਤ ਕਰੋ

ਤੁਰੰਤ ਹਾਸਲ: ਆਪਣੇ HTML ਵਿੱਚ ਹਰ