Skip to main content
Back to blog

د SEO لارښود ګام ۷: امنیت — د ۲۰۲۶ لپاره بنسټیزې تمه چې ګوګل لري

·14 min read·by LANGR SEO

د SEO لارښود ګام ۷: امنیت

دا د ۱۳-ګامه SEO لارښود ګام ۷ دی. امنیت صرف د کاروونکو ساتنې په اړه نه دی — دا مستقیم ستاسو د پلټنې درجې باندې تاثیر لري. ګوګل له ۲۰۱۴ راهیسې HTTPS د درجې علامت په توګه کاروي، او غوښتنې یوازې زیاتې شوي دي.

ډیر سایټ مالکین امنیت د یوې دوه طرفه حالت په توګه فکر کوي: "زموږ سره SSL دی، نو موږ خوندي یو." په حقیقت کې، ګوګل د امنیت مختلف او ډیر شمیر علامتونه ارزوي. هغه ویب سایټونه چې مناسب امنیتي سرلیکونه، معتبر تصدیقونه، او هیڅ مخلوط محتوی نه لري، په یوازې یوه بنسټیز SSL تصدیق سره سایټونو باندې برلاسی لري - ټول نور مساوي وي.

ښه خبر: د امنیت څو اصلاحات یواځې یو ځل ترتیب لري. یو ځل یې تنظیم کړئ، او دا ستاسو د درجې ساتنه پر مخ تللې.

د SSL ترتیب

SSL (تخنیکي TLS) ستاسو د سرور او لیدونکو تر منځ اړیکه کوډ کوي. له ۲۰۱۴ راهیسې، ګوګل د HTTPS د درجې علامت په توګه واضح تایید کړی دی. په ۲۰۲۶ کې، HTTPS نه درلودل یوازې د درجې مسئله نه ده — کروم د HTTP سایټونه په پته بار کې د "خوندي نه دی" په توګه نښه کوي، چې د کاروونکو باور له منځه وړي.

د مناسب SSL لپاره غوښتنې:

| غوښتنه | ولې | څنګه یې په ګوته کړو | |--------|-----|----------------| | معتبر تصدیق | ختم شوی = د براوزر خبرتیا = کاروونکو تېرېدو | د ختمیدو نېټه وګورئ | | بشپړ ځنځیر | نیمګړي ځنځیرونه په ځینو وسایلو کې ناکام کیږي | د SSL Labs آزموینه | | TLS 1.2+ | زړې نسخې پیژني زیانونه لري | د SSL Labs آزموینه | | هیڅ SHA-1 | د قابلیت لرونکی، براوزرونه ردوي | د تصدیق جزيیات | | SAN پوښښ | www او غیر-www دواړه باید پوښل شي | د تصدیق جزيیات | | اتوماتیک تجدید | د ختمیدو پیښو مخه نیسي | Let's Encrypt / د چمتو کونکي ترتیب |

د SSL نمره:

100% = معتبر تصدیق + بشپړ ځنځیر + TLS 1.3 + ځواکمن رمزنگاری + اتوماتیک تجدید
  0% = ختم شوی یا ورک شوی تصدیق

خوندي صادری SSL خطاګانې:

  1. تصدیق د اطلاع پرته ختمیږي — د پای ته رسیدو له مخې لږ تر لږه ۳۰ ورځې مخکې څارنې ترتیب کړئ (ګام ۶)
  2. نیمګړی تصدیق ځنځیر — سرور باید منځنۍ تصدیقونه واستوي، یوازې د پاڼې نه
  3. مخلوط محتوی — د HTTPS پاڼه د HTTP سرچینې بار کوي (انځورونه، سکرېپټونه، سټایل شیټونه)
  4. ریډایرکټ دورې — HTTP → HTTPS → HTTP دورې چې د ناسم تنظیم شوي CDN/پروکسي له امله رامنځته شوي
  5. غیر-www او www اختلاف — تصدیق یوه برخه پوښي، مګر بله نه

سریع بریا: خپل ډومین د SSL Labs (ssllabs.com/ssltest) له لارې چل کړئ. د "A" درجې لاندې هرڅه د عمل وړ مسلو لري. ډیری هاستینګ چمتو کونکي دا د یوې کلي سره حل کوي.

امنیتي سرلیکونه

امنیتي سرلیکونه د HTTP ځواب سرلیکونه دي چې براوزر ته وایي چې څنګه د خپل سایټ بار کولو پر وخت عمل وکړي. دوی د بریدونو ټولې ډلې مخه نیسي — او د ګوګل کرالر د دې لپاره یې چیک کوي.

بنسټیز امنیتي سرلیکونه:

د محتوی امنیتي پالیسي (CSP)

CSP ترټولو ځواکمن امنیتي سرلیک دی. دا براوزر ته وایي چې دقیقا کومې سرچینې (سکرېپټونه، سټایلونه، انځورونه، فونتونه) ستاسې په پاڼو بار کولو ته اجازه لري.

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

CSP څه مخنیوی کوي:

  • د کراس-سایټ سکرپټینګ (XSS) بریدونه
  • د معلوماتو داخلولو بریدونه
  • د کلیک جکنگ (د frame-ancestors له لارې)
  • د اجازه نه لرونکي سکرپټ اجرا کول (کریپټو ماینر، اعلان داخلونکي)

د CSP د پلي کولو ستراتيژي:

  1. د Content-Security-Policy-Report-Only سره پیل کړئ (سرغړونه مستندوي پرته له دې چې بلاک شي)
  2. د ۱-۲ اونیو لپاره راپورونه څارئ
  3. مشروع سرچینې سپین لیست ته اضافه کړئ
  4. د تطبیق حالت ته لاړ شئ
  5. د دوامداره سرغړونه له مخې رپوټ کولو لپاره report-uri یا report-to اضافه کړئ

X-Frame-Options

ستاسې سایټ د نورو ډومینونو په iframe کې د ځای پر ځای کیدو څخه مخنیوی کوي (د کلیک جکنگ ساتنه).

X-Frame-Options: DENY

یا که تاسو ورته اساس د فریم کولو اجازه ورکړئ:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

براوزرونه مخنیوی کوي له MIME-type sniffing (فایلونه داسې تفسیر کوي چې له خوا یې اعلان شوی دی).

X-Content-Type-Options: nosniff

دا یوه کرښه هغه بریدونه مخه نیسي چېرته چې یو .jpg فایل پټ جاوا سکرپټ لري چې براوزر یې ممکنه اجرایوي کړي.

Referrer-Policy

کنټرول کوي چې کاروونکو ته د لینکونو د کلیک کولو پر وخت څومره معلومات فرستونکي ته واستول کیږي.

Referrer-Policy: strict-origin-when-cross-origin

دا د ورته اساس غوښتنو لپاره بشپړه URL ولېږي مګر یوازې د سرچینې (ډومین) لپاره د کراس-سایټ غوښتنو لپاره. د تحلیلي اړتیاوې د محرمیت سره متوازن کوي.

Permissions-Policy

کنټرول کوي چې کوم براوزر ځانګړنې (کمره، مایکروفون، جغرافیایي موقعیت، او نور) کولی شي په ستاسې سایټ کې وکارول شي.

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

د هغو ځانګړنو غیرفعال کول چې تاسو یې نه کاروئ دریمه ډله سکرپټونو ته له بیا استفادې مخنیوی کوي.

د سرلیک پلي کولو مثال (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

د سرلیک پلي کول (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

د سرلیک پلي کول (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

سریع بریا: پورته ۵ سرلیکونه ستاسو د سرور ترتیب ته اضافه کړئ. دا پنځه دقیقې نیسي او په هر سکین وسیله کې سمدستي ستاسو د امنیت وضعیت ته وده ورکوي.

HSTS Preload

HTTP Strict Transport Security (HSTS) براوزر ته وایي چې د خپل ډومین لپاره تل HTTPS وکاروي — حتی مخکې له دې چې لومړی غوښتنه وکړي. پرته له HSTS، ستاسو سایټ ته لومړی لیدنه ممکنه ده چې لا هم HTTP وکاروي (د نیولو سره زیانمنونکی) مخکې له دې چې HTTPS ته لاړ شي.

HSTS سرلیک:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

دری لارښوونې:

| لارښوونه | معنی | |-----------|---------| | max-age=31536000 | د دې یادښت ۱ کال لپاره (په ثانیو کې) | | includeSubDomains | په ټولو فرعي ډومینونو باندې هم پلي کیږي | | preload | په براوزر Preload لیستونو کې شاملیدو غوښتنه |

HSTS preload لیست:

تر ټولو غوره HSTS خوندیتوب. براوزرونه د ډومینونو د یوې جوړې لست سره راځي چې باید تل HTTPS وکاروي. د خپل ډومین د hstspreload.org ته سپارلو معنی ده:

  • لومړي وخت لیدلونکي سمدستي HTTPS ترلاسه کوي (هیڅ HTTP → HTTPS ریډایرکشن نشته)
  • د بریدګرو لپاره د اړیکو د کمولو امکان شتون نلري
  • دایمي (یو ځل سپارل شوی سخت دی)

د HSTS preload لپاره غوښتنې:

  1. معتبر HTTPS تصدیق
  2. ټول HTTP د HTTPS ته ریډایرکشن (شامل فرعي ډومینونه)
  3. د HSTS سرلیک چې max-age >= 31536000 لري
  4. د HSTS سرلیک چې includeSubDomains لري
  5. د HSTS سرلیک چې preload لري
  6. ټول فرعي ډومینونه باید HTTPS ملاتړ وکړي

خبرتیا: یواځې دوی ته سپارښتنه وکړئ که ټول فرعي ډومینونه HTTPS ملاتړ وکړي. د includeSubDomains لارښوونې معنا لري چې هر HTTP-یوازې فرعي ډومین ناکام شي.

سریع بریا: که تاسو په ټولو فرعي ډومینونو کې لا هم HTTPS لرئ، بشپړ HSTS سرلیک اضافه کړئ او hstspreload.org ته یې وسپارئ. پروسس کولو کې څو اونۍ نیسي مګر خوندیتوب دا دایمي دی.

د زیانمنونکو سکینینګ

خودکار زیانمنونکي سکینینګ ستاسو د پلټنې کې پیژندل شوي امنیتي ستونزې پیژني مخکې له دې چې بریدګر ترې استفاده وکړي.

د زیانمنونکو سکینینګ څه چیک کوي:

  • زړې سافټویر: WordPress، پلگ انونه، د جاوا سکرپټ کتابتونونه چې پیژندل شوي CVEs لري
  • مخفی فایلونه: .env، .git، wp-config.php، د ډیټابیس ډمپونه
  • د معلوماتو لیکوال: د سرور نسخه سرلیکونه، د ډیبوګ حالت، د سټیک لارې
  • دواړه جدي تذکیرات: د اداری پاڼې چې بغیر له هویت درستې صفحې
  • خالي بندرونه/خدمات: غیر ضروري خدمات چې د انټرنیټ پرمخ شوي
  • د داخلیدو ځایونه: د CSRF مخنیوي پرته فورمونه، غیر تأیید شوي داخلو معلومات

د پلیټ فارم له مخې د عام زیانمنونکو د درجې:

| پلیټ فارم | سر قوي زیانمنونکی | حل | |-----------|------------------|-----| | WordPress | زړې پلگ انونه | اتومات کړنې + WAF | | Shopify | دریمې ډلې غوښتنلیک اجازه | د غوښتنلیک لیست څیړنه فصلانه | | Next.js | د API لارو پرانستل | د تصدیق منځګرتوب + د نرخ محدودیت | | ثابت سایټونه | د CDN ناسم تنظیم | د کاسې قواعدو بیاکتنه | | ځانګړی | SQL داخلول | پارامتر شوی غوښتنې |

د سکین کولو تکرار:

  • ورځنی: خودکار سطح سکین (SSL، سرلیکونه، مخفی فایلونه)
  • اونیز: د انحصار زیانمنونکي چک (npm audit، د WordPress پلگ ان سکینر)
  • میاشتنی: د تایید شوی سکین سره ژور سکین
  • د هرې استقرار وروسته: د ریګریشن چک

سریع بریا: npm audit (Node.js) چل کړئ یا خپل CMS پلگ ان لیست چیک کړئ د زړې اجزاو لپاره. د عاجل غوښتنې شدیدې/ لوړ موضوعات ژر حل کړئ.

مخلوط محتوی

مخلوط محتوی هغه وخت رامنځته کیږي کله چې یوه HTTPS پاڼه د HTTP له لارې سرچینې (انځورونه، سکرېپټونه، سټایل شیټونه، iframe) بار کړي. دا ټوله کوډي پروسه کمزوری کوي او د براوزر خبرداریونه تریګ کوي.

مخلوط محتوی ډولونه:

| ډول | شدت | مثال | د براوزر چلند | |------|----------|---------|------------------| | فعال | لوړ | HTTP سکرېپټ، iframe، CSS | په ډیفالټ او بلاک شوی | | غیرفعال | متوسط | HTTP انځور، ویډیو، غږ | خبرداري سره بار شوی |

فعال مخلوط محتوی د عصري براوزرونو لخوا بلاک کیږي — دا معنا لري چې سکرېپټونه او سټایلونه به یوازې بار نشي. غیرفعال مخلوط محتوی بار کیږي مګر د امنیتي خبرداری سره.

مخلوط محتوی موندل:

  1. Chrome DevTools پرانیزئ → کنسول
  2. د "مخلوط محتوی" خبرداریو ته وګورئ
  3. یا بدی بریدګر (Screaming Frog، LANGR) سره سکین کړئ

د مخلوط محتوی عام سرچېنې:

  • په محتوا کې سخت شوی http:// URLs (بلاگ پوسټونه، د محصول توضیحات)
  • دریمې ډلې ویجټونه چې د HTTP سرچینې بار کوي
  • د محتوا لرونکي (د YOUTUBE زوړ شاملول، د ټولنیزې رسنیو ویجټونه)
  • د CSS background-image د HTTP URLs سره
  • فونتونه د HTTP له لارې بار کوي

مخلوط محتوی حل کول:

<!-- بد -->
<img src="http://example.com/image.jpg" />

<!-- ښه -->
<img src="https://example.com/image.jpg" />

<!-- ښه (پروتوکول - رابطه، د پاڼې پروتوکول سره سمون کوي) -->
<img src="//example.com/image.jpg" />

د ډیټابیس حل (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

سریع بریا: خپل هوم پیج په Chrome کې پرانیزئ، F12 ټک کړئ، د مخلوط محتوی خبرداریو لپاره د کنسول ټب چیک کړئ. هر څه چې ښکاره شي حل کړئ — دا د ګوګل لخوا مستقیم لیدل کیږي.

د درېیمې ډلې سکرپټ خطرونه

هر خارجي سکرېپټ چې تاسو یې بار کوئ د امنیت (او فعالیت) خطر ترکیب دی. د درېیمې ډلې سکرپټونه ممکن:

  • زیانمن شي (د سپلایي زنځیر بریدونه)
  • ستاسو کاروونکي پرته له رضایت څخه تعقیب کړي (د GDPR سرغړونه)
  • ستاسو سایټ کمزوری کړي (د رینډر بلاکینګ، د شبکې خنډونه)
  • فعالیت مات کړي (د نسخو تازه کول، بندښتونه)
  • نا غوښتل شوې محتوا داخل کړي (د اعلان سکرېپټونه که ناسم)

د درېیمې ډلې سکرپټونه وګورئ:

| سکرېپټ | د اړتیا ده؟ | د خطر کچه | بدیل | |--------|-----------|------------|-------------| | د ګوګل انالیټیک | اکثرا هو | ټیټه | د سرور له خوا تعقیب | | د خبرو اترو ویجټونه | کېدای شي | متوسط | ځان-میزبان حلونه | | د ټولنیزې شراکت تڼۍ | ایستل، | متوسط | ثابت شریک لینکونه | | د A/B آزموینې | کله کله | عالي | د سرور له لارې ازموینه | | د ریګ ردیف تودونې | د سوداګرۍ پریکړه | عالي | د لومړي ګړي معلومات | | د فونټ CDNs | مناسب | ټیټه | د فونټونه ځان میزبان کړئ |

د لازمي درېیمې ډلې سکرپټونو لپاره د خطر مخنیوی:

  1. د Subresource Integrity (SRI): د هاش تایید کول مخنیوی کوي چې سکرپټونه د بار کولو پر مهال ترمیم شي 
<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>
  1. د CSP محدودیتونه: یواځې له معلومو ډومینونو څخه سکرپټ ته اجازه ورکړئ
  2. سندباکس شوي iframe: د درېیمې ډلې ویجټونه محدود کړئ
  3. منظم څارنه: د ټولو خارجي سرچینو فصلانه بیاکتنه
  4. مراقبت: د نوې خارجي ډومینونو د څرګندیدو پر وخت خبرداری ورکوي

سریع بریا: ستاسو HTML کې د هر