Skip to main content
Back to blog

Panduan SEO Langkah 7: Kaamanan — Dasar Anu Disangka Google di 2026

·12 min read·by LANGR SEO

Panduan SEO Langkah 7: Kaamanan

Ieu mangrupikeun Langkah 7 ti Panduan SEO 13 Langkah. Kaamanan sanés ngan ukur nyéépkeun pamaké — éta langsung mangaruhan peringkat pencarian anjeun. Google parantos nganggo HTTPS salaku sinyal peringkat ti 2014, sareng ekspektasi ngan ukur nyugemakeun.

Kebanyakan pemilik situs mikirka kaamanan salaku biner: "Kami gaduh SSL, jadi kami aman." Nyatana, Google ngevaluasi belasan sinyal kaamanan. Situs anu gaduh header kaamanan anu lumayan, sertifikat anu sah, sareng henteu aya konten campuran langkung luhur peringkatna tibatan situs anu ngan ukur gaduh sertifikat SSL dasar — sadaya anu sanés sama.

Kabar hadé: kalolobaan perbaikan kaamanan mangrupikeun konfigurasi sakali waé. Setél janten hiji kali, sareng éta ngajaga peringkat anjeun sacara permanén.

Konfigurasi SSL

SSL (teknisna TLS) ngaénkripsi sambungan antara server anjeun sareng pangunjung. Saprak 2014, Google parantos sacara jelas ngabuktikeun HTTPS salaku sinyal peringkat. Dina 2026, henteu gaduh HTTPS sanés ngan ukur masalah peringkat — Chrome nandaan situs HTTP salaku "Tidak Aman" di bar alamat, ngancurkeun kapercayaan pamaké.

Syarat pikeun SSL anu bener:

| Syarat | Kunaon | Cara Marios | |--------|--------|-------------| | Sertifikat sah | Kadaluarsa = peringatan browser = pamaké kabur | Marios tanggal kadaluarsa | | Rangkaian lengkep | Rangkaian anu teu lengkep gagal di sababaraha alat | Uji SSL Labs | | TLS 1.2+ | Versi lami gaduh kerentanan anu dipikanyaho | Uji SSL Labs | | Tanpa SHA-1 | Deprecated, browser nolak | Detil sertifikat | | Cakupan SAN | www sareng non-www kedah kaanggo sadayana | Detil sertifikat | | Pembaruan otomatis | Ngahindarkeun bencana kadaluarsa | Konfigurasi Let's Encrypt / panyadia |

Skor SSL:

100% = Sertifikat sah + Rangkaian lengkep + TLS 1.3 + Cipher kuat + Pembaruan otomatis
  0% = Sertifikat kadaluarsa atanapi hilap

Kasalahan umum SSL:

  1. Sertifikat kadaluarsa tanpa pemanggihan — Setél monitoring (Langkah 6) sahenteuna 30 dinten sateuacan kadaluarsa
  2. Rangkaian sertifikat anu teu lengkep — Server kudu ngirim sertifikat antara, sanés ngan ukur daun
  3. Konten campuran — Halaman HTTPS muat sumber daya HTTP (gambar, skrip, stylesheet)
  4. Lingkaran pengalihan — HTTP → HTTPS → HTTP siklus anu disababkeun ku konfigurasi CDN/proxy anu salah
  5. Ketidaksesuaian non-www vs www — Sertifikat nutupan hiji tapi henteu anu sanés

Kemenangan gancang: Jalankeun domain anjeun liwat SSL Labs (ssllabs.com/ssltest). Naon anu di handap peringkat "A" ngagaduhan masalah anu tiasa ditangani. Kalolobaan panyadia hosting ngalereskeun ieu ku hiji klik.

Header Kaamanan

Header kaamanan nyaéta header réspon HTTP anu nginstruksikeun browser kumaha cara bersikap nalika muat situs anjeun. Aranjeunna nyegah kategori serangan anu lengkep — sareng parser Google mariksa éta.

Header kaamanan anu penting:

Kebijakan-Keuangan-Kontén (CSP)

CSP mangrupikeun header kaamanan anu paling kuat. Éta nyarios ka browser persis sumber daya mana (skrip, gaya, gambar, font) anu diijinkeun pikeun dimuat dina halaman anjeun.

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

Nu ka CSP nyegah:

  • Serangan cross-site scripting (XSS)
  • Serangan injeksi data
  • Clickjacking (ngaliwatan frame-ancestors)
  • Eksekusi skrip anu teu sah (cryptominers, ad injectors)

Strategi penempatan CSP:

  1. Mimitian ku Content-Security-Policy-Report-Only (ngalog pelanggaran tanpa nyangkal)
  2. Monitor laporan salami 1-2 minggu
  3. Whitelist sumber anu sah
  4. Pindah ka mode penegakan
  5. Tambah report-uri atanapi report-to pikeun logging pelanggaran anu teras-terasan

X-Frame-Options

Nyegah situs anjeun diselipkeun dina iframes di domain sanés (perlindungan clickjacking).

X-Frame-Options: DENY

Atau upami anjeun kedah ngidinan framing asal nu sami:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

Nyegah browser tina sniffing MIME-type (ngartikeun file salaku jinis anu béda ti anu dinyatakan).

X-Content-Type-Options: nosniff

Ieu hiji lini nyegah serangan dimana file .jpg ngandung JavaScript anu disumputkeun anu tiasa dilaksanakeun ku browser.

Kebijakan-Referer

Ngontrol sabaraha seueur informasi referrer anu dikirim nalika pamaké ngeklik tautan ti situs anjeun.

Referrer-Policy: strict-origin-when-cross-origin

Ieu ngirim URL lengkep pikeun pamundut asal nu sami tapi ngan ukur asal (domain) pikeun pamundut lintas asal. Nggabungkeun kabutuhan analitik sareng privasi.

Kebijakan-Izin

Ngontrol fitur browser mana (kamera, mikropon, geolokasi, jne.) anu tiasa dianggo dina situs anjeun.

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

Nonaktipkeun fitur anu anjeun henteu anggo nyegah skrip pihak katilu tina nyalahgunakeunana.

Contoh implementasi header (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

Implementasi header (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Implementasi header (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Kemenangan gancang: Tambah kabeh 5 header di luhur ka konfigurasi server anjeun. Ieu nyandak 5 menit sareng langsung ningkatkeun sikap kaamanan anjeun di alat scan naon waé.

HSTS Preload

HTTP Strict Transport Security (HSTS) nyarios ka browser pikeun salawasna nganggo HTTPS pikeun domain anjeun — bahkan saencanna pamundut pertam. Tanpa HSTS, kunjungan pertama ka situs anjeun tiasa masih nganggo HTTP (rentan pikeun intersepsi) sateuacan pengalihan ka HTTPS.

Header HSTS:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Tilu direktif:

| Direktif | Hartosna | |----------|----------| | max-age=31536000 | Émut ieu salami 1 taun (dina detik) | | includeSubDomains | Taliti ogé pikeun kabeh subdomain | | preload | Nyuhunkeun inklusi dina daptar preload browser |

Daptar preload HSTS:

Perlindungan HSTS anu pang luhur. Browser nganggo daptar domain anu disadiakeun anu kedah salawasna nganggo HTTPS. Nyuhunkeun domain anjeun ka hstspreload.org hartosna:

  • Pangunjung pertama langsung nampi HTTPS (tanpa pengalihan HTTP → HTTPS)
  • Teu mungkin pikeun penyerang ngirangan sambungan
  • Permanén (susah dihapus sakali disayogikeun)

Syarat pikeun preload HSTS:

  1. Sertifikat HTTPS anu sah
  2. Redirect sadaya HTTP ka HTTPS (kalebet subdomain)
  3. Header HSTS sareng max-age >= 31536000
  4. Header HSTS kalebet includeSubDomains
  5. Header HSTS kalebet preload
  6. Sadaya subdomain kedah dukungan HTTPS

Peringatan: Ngan submit ka preload upami SAKABEH subdomain anjeun dukungan HTTPS. Direktif includeSubDomains hartosna subdomain ngan HTTP mana waé bakal janten teu tiasa diakses.

Kemenangan gancang: Lamun anjeun parantos gaduh HTTPS di sadaya subdomain, tambahkeun header HSTS lengkep sareng submit ka hstspreload.org. Prosésna nyandak sababaraha minggu tapi perlindunganana permanén.

Scanning Kerentanan

Scanning kerentanan otomatis ngaidentifikasi masalah kaamanan anu dipikanyaho dina tumpukan anjeun sateuacan penyerang ngamangpaatkeunana.

Nu marios scanning kerentanan:

  • Perangkat lunak teu diénggalan: WordPress, plugin, perpustakaan JavaScript kalayan CVE anu dipikanyaho
  • Berkas anu katingali: .env, .git, wp-config.php, dump database
  • Kebocoran informasi: Header versi server, mode debug, jejak tumpukan
  • Kredensial standar: Halaman administrasi tanpa otentikasi, kecap akses standar
  • Port/layanan terbuka: Layanan anu teu perlu anu katingali di internet
  • Titik injeksi: Formulir tanpa perlindungan CSRF, input anu teu diverifikasi

Kerentanan umum ku platform:

| Platform | Kerentanan Utama | Perbaikan | |----------|-------------------|-----------| | WordPress | Plugin anu teu diénggalan | Pembaruan otomatis + WAF | | Shopify | Izin aplikasi pihak katilu | Audit daptar aplikasi tilu bulanan | | Next.js | Jalur API anu katingali | Middleware Auth + pembatasan laju | | Situs statis | Konfigurasi CDN anu salah | Tinjau aturan cache | | Kustom | Injeksi SQL | Pertanyaan parameterized |

Frekuensi scanning:

  • Sakali dinten: Scan permukaan otomatis (SSL, header, berkas anu katingali)
  • Sakali minggu: Pamariksaan kerentanan ketergantungan (npm audit, pemindai plugin WordPress)
  • Sakali bulan: Scan jero kalayan nguji otentikasi
  • Sanggeus unggal déploy: Pamariksaan regresi

Kemenangan gancang: Jalankeun npm audit (Node.js) atanapi pariksa daptar plugin CMS anjeun pikeun komponén anu teu diénggalan. Perbaiki masalah kritis/tinggi sacara langsung.

Konten Campuran

Konten campuran lumangsung nalika halaman HTTPS muat sumber daya (gambar, skrip, stylesheet, iframes) liwat HTTP. Ieu sacara parsial ngabobol enkripsi sareng nyababkeun peringatan browser.

Tipe konten campuran:

| Tipe | Tingkat Keparahan | Conto | Perilaku Browser | |------|-------------------|-------|------------------| | Aktif | Tinggi | Skrip HTTP, iframe, CSS | Diblokir sacara standar | | Pasif | Sedang | Gambar HTTP, vidéo, audio | Dimuat kalayan peringatan |

Konten campuran aktif diblokir ku browser modern — hartosna skrip sareng gaya anjeun teu bakal dimuat. Konten campuran pasif dimuat tapi nembongkeun peringatan kaamanan.

Milarian konten campuran:

  1. Buka Chrome DevTools → Konsol
  2. Tingali peringatan "Konten Campuran"
  3. Atawa, scan nganggo crawler (Screaming Frog, LANGR)

Sumber konten campuran anu umum:

  • URL http:// anu dikerasa dina kontén (artikel blog, deskripsi produk)
  • Widget pihak katilu anu muat sumber daya HTTP
  • Konten lebet (embed YouTube heubeul, widget média sosial)
  • CSS background-image sareng URL HTTP
  • Font anu dimuat liwat HTTP

Ngabéréskeun konten campuran:

<!-- Buruk -->
<img src="http://example.com/image.jpg" />

<!-- Hadé -->
<img src="https://example.com/image.jpg" />

<!-- Pangalusna (protokol-relatif, adaptasi kana protokol halaman) -->
<img src="//example.com/image.jpg" />

Perbaikan Database (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

Kemenangan gancang: Buka halaman utama anjeun di Chrome, pencét F12, periksa tab Konsol pikeun peringatan konten campuran. Perbaiki naon waé anu muncul — ieu langsung katingali ku Google.

Risiko Skrip Pihak Ketiga

Sakabéh skrip eksternal anu anjeun muat mangrupikeun potensi kaamanan (sareng kinerja) liabilitas. Skrip pihak katilu tiasa:

  • Kompromi (serangan ranté pasokan)
  • Ngacak pangguna anjeun tanpa idin (pelanggaran GDPR)
  • Ngaleutikan situs anjeun (render-blocking, latén jaringan)
  • Ngabobol fungsionalitas (pembaruan vérsi, gangguan)
  • Nyuntik eusi anu teu dihoyongkeun (skrip iklan anu salah)

Audit skrip pihak katilu anjeun:

| Skrip | Perlu? | Tingkat Risiko | Alternatif | |-------|--------|----------------|------------| | Google Analytics | Sering yes | Low | Pelacakan sisi server | | Widget obrolan | Mungkin | Sedang | Solusi mandiri | | Tombol share sosial | Jarang | Sedang | Tautan share statis | | Uji A/B | Kadang-kadang | Tinggi | Uji sisi server | | Pixel retargeting | Kaputusan bisnis | Tinggi | Data pihak pertama | | Font CDNs | Merenah | Low | Font mandiri |

Mitigasi risiko pikeun skrip pihak ketiga anu penting:

  1. Integritas Sumber Daya (SRI): Verifikasi hash nyegah skrip anu dirobah pikeun dimuat
<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>
  1. Larangan CSP: Ngan ukur ngidinan skrip ti domain anu dipikawanoh
  2. iframe anu disandbox: Ngisolasi widget pihak ketiga
  3. Audit rutin: Tinjau sadaya sumber eksternal tilu bulanan
  4. Monitoring: Ngawartosan domain eksternal anyar anu muncul dina halaman anjeun

Kemenangan gancang: Daptar tiap tag