Skip to main content
Back to blog

Udhëzuesi SEO Hapi 7: Siguria — Standardi që Google Pritet në 2026

·14 min read·by LANGR SEO

Udhëzuesi SEO Hapi 7: Siguria

Ky është Hapi 7 i Udhëzuesit SEO me 13 Hapa. Siguria nuk është vetëm për mbrojtjen e përdoruesve — ajo ndikon drejtpërdrejt në renditjen tuaj në kërkesa. Google e ka përdorur HTTPS si një sinjal renditjeje që nga viti 2014, dhe pritshmëritë janë rritur vetëm.

Shumica e pronarëve të faqeve e mendojnë sigurinë si diçka binarike: "Kemi SSL, kështu që jemi të sigurt." Në realitet, Google vlerëson dhjetëra sinjale sigurie. Faqet me njëjtsit e duhura të sigurisë, certifikata të vlefshme dhe pa përmbajtje të përziera renditen më lart se faqet me një certifikatë bazike SSL — duke pasur të gjitha të tjerat të njëjta.

Lajmi i mirë: shumica e rregullimeve të sigurisë janë konfigurime të njëhershme. T'i vendosni ato një herë, dhe ato mbrojnë renditjet tuaja përherë.

Konfigurimi SSL

SSL (teknikisht TLS) enkripton lidhjen midis serverit tuaj dhe vizitorëve. Që nga viti 2014, Google e ka konfirmuar qartë HTTPS si një sinjal renditjeje. Në vitin 2026, moskëshillimi i HTTPS nuk është vetëm një çështje renditjeje — Chrome i shenjon faqet HTTP si "Të Pasigurta" në shiritin e adresës, duke shkatërruar besimin e përdoruesve.

Kërkesat për një SSL të duhur:

| Kërkesa | Pse | Si të Kontrolloni | |---------|-----|-------------------| | Certifikatë e vlefshme | E skaduar = paralajmërim në shfletues = përdorues të ikur | Kontrolloni datën e skadencës | | Zinxhiri i plotë | Zinxhirët e paplotë dështojnë në disa pajisje | Testi i SSL Labs | | TLS 1.2+ | Versionet më të vjetra kanë dobësi të njohura | Testi i SSL Labs | | Pa SHA-1 | E përcaktuar, shfletuesit e refuzojnë | Detajet e certifikatës | | Mbulimi SAN | www dhe non-www duhet të mbulohen të dy | Detajet e certifikatës | | Auto-riparimi | Parandalon katastrofat e skadencës | Konfigurimi i Let's Encrypt / ofruesit |

Pikët e vlerësimit të SSL:

100% = Certifikatë e vlefshme + Zinxhir i plotë + TLS 1.3 + Cipher i fortë + Auto-renew
  0% = Certifikatë e skaduar ose e munguar

Gabimet e zakonshme të SSL:

  1. Certifikata skadon pa njoftim — Vendosni monitorimin (Hapi 6) të paktën 30 ditë para skadencës
  2. Zinxhiri i certifikatës është i paplotë — Serveri duhet të dërgojë certifikata промежншые, jo vetëm llojin
  3. Përmbajtje e përzier — Faqja HTTPS ngarkon burime HTTP (imazhe, skripte, stilizime)
  4. Ciklet e ridrejtimeve — Ciklet HTTP → HTTPS → HTTP të shkaktuara nga CDN/proksi të konfiguruar keq
  5. Mismatimi non-www vs www — Certifikata mbulon një, por jo tjetrin

Fitore e shpejtë: Vlerësoni domainin tuaj përmes SSL Labs (ssllabs.com/ssltest). Çdo gjë poshtë një vlerësimi "A" ka probleme që mund të veprohen. Shumica e ofruesve të hostimit i rregullojnë këto me një klikim.

Njëjtsit e Sigurisë

Njëjtsit e sigurisë janë mëndje të përgjigjeve HTTP që udhëzojnë shfletuesit se si të sillen kur ngarkojnë faqen tuaj. Ato parandalojnë kategori të tëra sulmesh — dhe crawlers e Google kontrollojnë për to.

Njëjtsit esenciale të sigurisë:

Politika e Sigurisë së Përmbajtjes (CSP)

CSP është një nga më të fuqishmet në siguri. Ajo i thotë shfletuesve saktësisht se cilat burime (skripte, stile, imazhe, fonte) lejohet të ngarkohet në faqet tuaja.

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

Çfarë parandalon CSP:

  • Sulmet e scriptingut ndërrues (XSS)
  • Sulmet e injeksionit të të dhënave
  • Clickjacking (nëpërmjet frame-ancestors)
  • Ekzekutimi i skripteve të paautorizuara (kryptominerë, injektorë reklamash)

Strategjia e implementimit të CSP:

  1. Filloni me Content-Security-Policy-Report-Only (raporton shkeljet pa bllokuar)
  2. Monitoroni raportet për 1-2 javë
  3. Rregulloni burime legjitime
  4. Kaloni në modalitetin e forcimit
  5. Shtoni report-uri ose report-to për regjistrimin e vazhdueshëm të shkeljeve

X-Frame-Options

Parandalon që faqja juaj të përfshihet në iframes në domain të tjera (mbrojtje nga clickjacking).

X-Frame-Options: DENY

Ose nëse duhet të lejoni ngarkimin e të njëjtës origjinë:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

Parandalon shfletuesit nga MIME-type sniffing (interpretimi i skedarëve si lloje të ndryshme nga ato të shpallura).

X-Content-Type-Options: nosniff

Ky një-line parandalon sulmet ku një skedar .jpg përmban JavaScript të fshehur që shfletuesi mund ta ekzekutojë.

Referrer-Policy

Kontrollon sa shumë informacion referent dërgohet kur përdoruesit klikojnë lidhjet nga faqja juaj.

Referrer-Policy: strict-origin-when-cross-origin

Kjo dërgon URL-në e plotë për kërkesat e të njëjtës origjinë, por vetëm origjinën (domainin) për kërkesat ndërruese. Balancimi i nevojave të analizave me privatësinë.

Permissions-Policy

Kontrollon cilat veçori të shfletuesit (kamera, mikrofon, gjeolokacion, etj.) mund të përdoren në faqen tuaj.

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

Çaktivizimi i veçorive që nuk përdorni parandalon skenarët e palëve të treta nga shfrytëzimi i tyre.

Shembulli i implementimit të njëjtsve (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

Implementimi i njëjtsve (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Implementimi i njëjtsve (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Fitore e shpejtë: Shtoni të gjitha 5 njëjtsit e mësipërm në konfigurimin e serverit tuaj. Kjo merr 5 minuta dhe menjëhershëm përmirëson pozicionin tuaj të sigurisë në çdo mjet skanimi.

HSTS Preload

HTTP Strict Transport Security (HSTS) i thotë shfletuesve të përdorin gjithmonë HTTPS për domainin tuaj — edhe para kërkesës së parë. Pa HSTS, vizita e parë në faqen tuaj mund të përdorë ende HTTP (e ndjeshme ndaj interceptimit) para se të ndodhte ridrejtimi në HTTPS.

HSTS header:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Tre direktivat:

| Direktiva | Kuptimi | |-----------|---------| | max-age=31536000 | Kujtoni këtë për 1 vit (në sekonda) | | includeSubDomains | Zbatoni për të gjitha nën-domainet gjithashtu | | preload | Kërkoni përfshirjen në listat e preload-it të shfletuesve |

Lista e preload HSTS:

Mbrojtja përfundimtare HSTS. Shfletuesit vijnë me një listë të integruar të domain-eve që duhet të përdorin gjithmonë HTTPS. Dërgimi i domainit tuaj në hstspreload.org do të thotë:

  • Vizitorët e parë marrin HTTPS menjëherë (pa ridrejtim HTTP → HTTPS)
  • E pamundur për sulmuesit të zvogëlojnë lidhjet
  • Përhershëm (e vështirë për t'u hequr pasi dërgohet)

Kërkesat për HSTS preload:

  1. Certifikatë HTTPS e vlefshme
  2. Ridrejtoni të gjitha HTTP në HTTPS (duke përfshirë nën-domainet)
  3. HSTS header me max-age >= 31536000
  4. HSTS header përfshin includeSubDomains
  5. HSTS header përfshin preload
  6. Të gjitha nën-domainet duhet të mbështesin HTTPS

Kujdes: Dërgoni në preload vetëm nëse TË GJITHA nën-domainet tuaja mbështesin HTTPS. Drejtiva includeSubDomains do të thotë që çdo nën-domain vetëm HTTP do të bëhet i paarritshëm.

Fitore e shpejtë: Nëse keni tashmë HTTPS në të gjitha nën-domainet, shtoni headerin e plotë HSTS dhe dërgoni në hstspreload.org. Procesimi merr disa javë, por mbrojtja është përhershme.

Skanimi i Dobësive

Skanimi automatizuar i dobësive identifikon probleme të njohura të sigurisë në stakun tuaj përpara se sulmuesit t'i përdorin ato.

Çfarë kontrollon skanimi i dobësive:

  • Software të vjetruar: WordPress, plugins, librari JavaScript me CVE të njohura
  • Skedarë të ekspozuar: .env, .git, wp-config.php, dump-e të databazës
  • Shkarkimi i informacionit: Headerët e versionit të serverit, moda e debugimit, gjurmët e stackut
  • Kredenciale të parazgjedhura: Façat e administratës pa autentifikim, fjalëkalime të parazgjedhura
  • Porta/ Shërbime të hapura: Shërbime të panevojshme të ekspozuara në internet
  • Pikat e injeksionit: Forma pa mbrojtje CSRF, inpute të pavlerësuara

Vulnerabilitetet e zakonshme sipas platformës:

| Platforma | Dobësia Kryesore | Rregullimi | |-----------|-------------------|------------| | WordPress | Plugins të vjetruar | Auto-update + WAF | | Shopify | Lejet e aplikacioneve të palëve të treta | Auditoni listën e aplikacioneve çdo tremujor | | Next.js | Rrugët e API të ekspozuara | Auth middleware + kufizimi i normës | | Faqet Statike | Konfigurimi i gabuar i CDN | Rishikoni rregullat e caches | | Personalizuara | Injeksioni SQL | Kërkesa parametrike |

Frekuenca e skanimit:

  • Ditor: Skanim automatik sipërfaqësor (SSL, njëjtsit, skedarë të ekspozuar)
  • Javor: Kontrolli i dobësive të varësisë (npm audit, skaneri i plugins të WordPress)
  • Mundor: Skanim të thelluar me teste të autentifikuara
  • Pas çdo implementimi: Kontrolli i regresionit

Fitore e shpejtë: Ekzekutoni npm audit (Node.js) ose kontrolloni listën e plugins të CMS tuaj për komponentë të vjetruar. Rregulloni problemet kritike/të shkallës së lartë menjëherë.

Përmbajtja e Përzier

Përmbajtja e përzier ndodh kur një faqe HTTPS ngarkon burime (imazhe, skripte, stilizime, iframe) përmes HTTP. Kjo pjesërisht thyhet enkriptimin dhe aktivizon paralajmërime në shfletues.

Llojet e përmbajtjes së përzier:

| Lloji | Rëndësia | Shembulli | Sjellja e Shfletuesit | |-------|----------|-----------|-----------------------| | Aktiv | E Lartë | Skripti HTTP, iframe, CSS | Bllokohet si rregull | | Pasiv | Mesatar | Imazhi HTTP, video, audio | Ngarkohet me paralajmërim |

Përmbajtja e përzier aktive bllokohet nga shfletuesit modernë — kjo do të thotë që skriptet dhe stilizimet tuaja thjesht nuk do të ngarkohen. Përmbajtja e përzier pasive ngarkohet, por tregon paralajmërime sigurie.

Gjetja e përmbajtjes së përzier:

  1. Hapni Chrome DevTools → Konsol
  2. Kërkoni paralajmërimet "Përmbajtje e Përzier"
  3. Alternativisht, skanoni me një crawleri (Screaming Frog, LANGR)

Burimet e zakonshme të përmbajtjes së përzier:

  • URL-të http:// të hardcoduar në përmbajtje (postime në blog, përshkrime produktesh)
  • Widgets të palëve të treta që ngarkojnë burime HTTP
  • Përmbajtje të përfshirë (embeds të vjetra të YouTube, widgets të mediave sociale)
  • CSS background-image me URL të HTTP
  • Fonte të ngarkuara përmes HTTP

Rregullimi i përmbajtjes së përzier:

<!-- Keq -->
<img src="http://example.com/image.jpg" />

<!-- Mirë -->
<img src="https://example.com/image.jpg" />

<!-- Më e Mira (relative me protokollin, adaptohet në protokollin e faqes) -->
<img src="//example.com/image.jpg" />

Rregullimi i Bazës së të Dhënave (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

Fitore e shpejtë: Hapni faqen tuaj kryesore në Chrome, shtypni F12, kontrolloni skedën e Konsolës për paralajmërimet e përmbajtjes së përzier. Rregulloni çdo që shfaqet — këto janë të dukshme direkt për Google.

Rreziqet e Skripteve të Palëve të Treta

Çdo skript të jashtëm që ngarkoni është një potencial për rrezik (dhe performancë). Skripte të palëve të treta mund të:

  • Komprometohen (sulmet në zinxhirin e furnizimit)
  • Ndjekin përdoruesit tuaj pa leje (shkelje e GDPR)
  • Ngadalësojnë faqen tuaj (bllokimi i shfaqjes, latenca e rrjetit)
  • Shkatërrojnë funksionalitetin (përditësime versioni, ndërprerje)
  • Injektojnë përmbajtje të padëshiruar (skripte reklamash të lëna mënjanë)

Auditoni skripte të palëve të treta:

| Skripti | Nevojitet? | Niveli i Rrezikut | Alternative | |---------|-----------|-------------------|-------------| | Google Analytics | Shpesh, po | I Ulët | Ndjekje në anën e serverit | | Widgets të bisedës | Ndoshta | Mesatar | Zgjidhje të hostuara vet | | Butona për ndarjen sociale | Rrallë | Mesatar | Lidhje statike për ndarjen | | Testimi A/B | Ndonjëherë | I Lartë | Testimi në anën e serverit | | Pikselët e rimekës | Vendim biznesi | I Lartë | Të dhëna të parë-parti | | Fontet e CDN | Të përshtatshme | I Ulët | Fontet e hostuara vet |

Mitigimi i rrezikut për skripte të domosdoshme të palëve të treta:

  1. Integriteti i Subresource (SRI): Verifikimi i hash-it parandalon ngarkimin e skripteve të manipuluara
<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>
  1. Kufizimet CSP: Lejoni vetëm skripte nga domain të njohura
  2. Iframes të izoluar: Izoloni widgets e palëve të treta
  3. Auditime të rregullta: Rishikoni çdo tremujor të gjitha burimet eksternë
  4. Monitorimi: Alarm mbi domainet e reja të jashtme që shfaqen në faqet tuaja

Fitore e shpejtë: Listoni çdo