Skip to main content
Back to blog

Mwongozo wa SEO Hatua ya 7: Usalama — Msingi Unaotarajiwa na Google mwaka 2026

·13 min read·by LANGR SEO

Mwongozo wa SEO Hatua ya 7: Usalama

Hii ni Hatua ya 7 ya Mwongozo wa SEO wa Hatua 13. Usalama sio tu kuhusu kulinda watumiaji — inapaswa kuwa na athari za moja kwa moja kwenye nafasi zako za utafutaji. Google imekuwa ikitumia HTTPS kama ishara ya uainishaji tangu mwaka 2014, na matarajio yameongezeka tu.

Wamiliki wengi wa tovuti wanafikiria usalama kama jambo la binary: "Tuna SSL, hivyo tuko salama." Katika ukweli, Google inakadiria ishara nyingi za usalama. Tovuti zenye vichwa vya usalama sahihi, vyeti halali, na hakuna maudhui mchanganyiko zinapata nafasi zaidi kuliko tovuti zenye cheti cha msingi cha SSL — ikiwa mambo mengine ni sawa.

Habari njema: marekebisho mengi ya usalama ni usanidi wa mara moja. Weka mara moja, na wanakilinda nafasi zako milele.

Usanidi wa SSL

SSL (kiufundi TLS) inachakata muunganisho kati ya seva yako na wageni. Tangu mwaka 2014, Google imethibitisha wazi HTTPS kama ishara ya uainishaji. Mwaka 2026, kutokuwa na HTTPS sio tu suala la nafasi — Chrome inakadiria tovuti za HTTP kama "Sio Salama" kwenye kipengele cha anwani, ikiharibu uaminifu wa mtumiaji.

Mahitaji ya SSL sahihi:

| Mahitaji | Kwanini | Jinsi ya Kuangalia | |------------------|----------------------------------|---------------------------| | Cheti halali | Kimeisha = onyo la kivinjari = watumiaji wanarudi nyuma | Angalia tarehe ya kumalizika | | Chain kamili | Mnyororo usio kamili unashindwa kwenye vifaa vingine | Jaribio la SSL Labs | | TLS 1.2+ | Matoleo ya zamani yana udhaifu unaojulikana | Jaribio la SSL Labs | | Hakuna SHA-1 | Imepigwa marufuku, vivinjari vinaikataa | Maelezo ya cheti | | Mcover ya SAN | www na isiyo-www lazima zote zifunikwe | Maelezo ya cheti | | Urenewal wa moja kwa moja | Inazuia majanga ya kumalizika | Let's Encrypt / usanidi wa mtoa huduma |

Alama za SSL:

100% = Cheti halali + Chain kamili + TLS 1.3 + Cipher imara + Urenewal wa moja kwa moja
  0% = Cheti kilichokamilika au kisichokuwepo

Makosa ya kawaida ya SSL:

  1. Cheti kinapomalizika bila taarifa — Weka usimamizi (Hatua 6) angalau siku 30 kabla ya kumalizika
  2. Mnyororo wa cheti usio kamili — Seva inahitaji kutuma vyeti vya kati, sio tu jani
  3. Maudhui mchanganyiko — Ukurasa wa HTTPS unachota rasilimali za HTTP (picha, scripts, mitindo)
  4. Mzunguko wa uhamasishaji — HTTP → HTTPS → HTTP zinasababishwa na CDN/proxy isiyotekelezwa
  5. Mismatched non-www vs www — Cheti kinafunika moja lakini sio nyingine

Ushindi wa haraka: Pitia kikoa chako kupitia SSL Labs (ssllabs.com/ssltest). Kila kitu kilichopo chini ya alama ya "A" kina masuala yanayoweza kuchukuliwa hatua. Watatoa huduma wengi wanaweza kusawazisha haya kwa kubonyeza moja.

Vichwa vya Usalama

Vichwa vya usalama ni vichwa vya jibu la HTTP vinavyowaambia vivinjari jinsi ya kujit behave wanapopakia tovuti yako. Vinaepusha makundi yote ya mashambulizi — na crawlers wa Google wanakagua vichwa hivi.

Vichwa vya usalama muhimu:

Sera ya Usalama wa Maudhui (CSP)

CSP ndio kichwa cha usalama chenye nguvu zaidi. Kinawambia vivinjari ni rasilimali gani (scripts, mitindo, picha, fonti) zinazoruhusiwa kupakia kwenye kurasa zako.

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

Ni nini CSP inazuia:

  • Mashambulizi ya kupenyeza tovuti (XSS)
  • Mashambulizi ya kuingiza data
  • Clickjacking (kupitia frame-ancestors)
  • Utendaji wa skripiti zisizoidhinishwa (cryptominers, ad injectors)

Mkakati wa uanzishaji wa CSP:

  1. Anza na Content-Security-Policy-Report-Only (inaandika ukiukaji bila kuzuia)
  2. Tazama ripoti kwa wiki 1-2
  3. Weka kwenye orodha za halali
  4. Badilisha kuwa njia ya kutekeleza
  5. Ongeza report-uri au report-to kwa kuandika ukiukaji unaoendelea

X-Frame-Options

Inazuia tovuti yako kuingizwa kwenye iframes kwenye maeneo mengine (kinga ya clickjacking).

X-Frame-Options: DENY

Au ikiwa unahitaji kuruhusu uundaji wa asili sawa:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

Inazuia vivinjari kuchunguza MIME-type (kubainisha faili kama aina tofauti kuliko zilizotangazwa).

X-Content-Type-Options: nosniff

Hii hulinda dhidi ya mashambulizi ambapo faili la .jpg lina JavaScript ya siri ambayo vivinjari vinaweza kutekeleza.

Referrer-Policy

Inasimamia kiasi gani cha habari ya rejea kinachotumwa wakati watumiaji wana bonyeza viungo kutoka tovuti yako.

Referrer-Policy: strict-origin-when-cross-origin

Hii inatuma URL kamili kwa maombi ya asali moja lakini asili tu (domain) kwa maombi ya uhamisho. In balancing mahitaji ya uchangishaji na faragha.

Permissions-Policy

Inasimamia ni vipengele vipi vya kivinjari (kamera, kipaza sauti, geolocation, nk.) vinaweza kutumika kwenye tovuti yako.

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

Kuzima vipengele usivyotumia kunazuia script za wahusika wengine kuzitumia vibaya.

Mfano wa utekelezaji wa kichwa (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

Utekelezaji wa kichwa (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Utekelezaji wa kichwa (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Ushindi wa haraka: Ongeza vichwa vyote 5 hapo juu kwenye usanidi wa seva yako. Hii inachukua dakik 5 na mara moja inaboresha msimamo wako wa usalama kwenye zana yoyote ya uchambuzi.

HSTS Preload

HTTP Strict Transport Security (HSTS) inawaambia vivinjari kila wakati watumie HTTPS kwa kikoa chako — hata kabla ya ombi la kwanza. Bila HSTS, ziara ya kwanza kwenye tovuti yako inaweza bado kutumia HTTP (iliyokumbwa na uvunjaji) kabla ya uhamasishaji wa HTTPS kutendeka.

Kichwa cha HSTS:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Maagizo matatu:

| Maagizo | Maana | |-----------------------|------------------------------------| | max-age=31536000 | Kumbuka hii kwa mwaka 1 (kwa sekunde) | | includeSubDomains | Inatumika pia kwenye subdomains zote | | preload | Omba kujumuishwa kwenye orodha za preload za kivinjari |

Orodha ya preload ya HSTS:

Ulinzi wa mwisho wa HSTS. Vivinjari vinakuja na orodha iliyoasisiwa ya kikoa ambao lazima kila wakati watumie HTTPS. Kuisilisha kikoa chako kwa hstspreload.org inamaanisha:

  • Wageni wa kwanza wanapata HTTPS mara moja (hakuna HTTP → HTTPS uhamasishaji)
  • Haiwezekani kwa washambuliaji kushusha muunganisho
  • Kudumu (magumu kuondoa mara tu umeripoti)

Mahitaji ya HSTS preload:

  1. Cheti halali cha HTTPS
  2. Uhamasishaji wote wa HTTP hadi HTTPS (pamoja na subdomains)
  3. Kichwa cha HSTS chenye max-age >= 31536000
  4. Kichwa cha HSTS kinajumuisha includeSubDomains
  5. Kichwa cha HSTS kinajumuisha preload
  6. Subdomains zote zinapaswa kuunga mkono HTTPS

Onyo: Weka tu kwa preload ikiwa SUBDOMAINS ZOTE zinaunga mkono HTTPS. Maagizo ya includeSubDomains yanamaanisha subdomain yoyote ya HTTP pekee itakuwa haipatikani.

Ushindi wa haraka: Ikiwa tayari una HTTPS kwenye subdomains zote, ongeza kichwa kamili cha HSTS na uwasilishe kwa hstspreload.org. Usindikaji unachukua wiki chache lakini ulinzi ni wa kudumu.

Skanning ya Udhaifu

Skanning ya udhaifu wa kiatomati hujua masuala ya usalama yanayojulikana kwenye stack yako kabla washambuliaji hawajatumia.

Nini skanning ya udhaifu inakagua:

  • Programu zilizokua: WordPress, plugins, maktaba za JavaScript zenye CVEs zenye kujulikana
  • Faili zilizo wazi: .env, .git, wp-config.php, hifadhidata za takwimu
  • Mvujo wa habari: Vichwa vya toleo la seva, hali ya debug, traces za stack
  • Akidi za kawaida: صفحات za usimamizi bila uthibitisho, nywila za kawaida
  • Bandari/huduma wazi: Huduma zisizo za lazima zilizo wazi kwa mtandao
  • Alama za sindano: Fomu zisizo na ulinzi wa CSRF, ingizo zisizothibitishwa

Udhaifu wa kawaida kwa jukwaa:

| Jukwaa | Udhaifu Kuu | Suluhisho | |-------------|----------------------|--------------------| | WordPress | Plugins zilizokua | Majaribio ya moja kwa moja + WAF | | Shopify | Ruhusu maombi ya wahusika wengine | Kagua orodha ya programu kila robo mwaka | | Next.js | Njia za API zilizo wazi | Auth middleware + ukomo wa kiwango | | Tovuti za kawaida | Usanidi wa CDN usio sahihi | Kagua sheria za cache | | K Sungura | Uingizaji wa SQL | Maswali ya parameterized |

Mara ya skanning:

  • Kila siku: Uchambuzi wa uso wa kiatomati (SSL, vichwa, faili zilizo wazi)
  • Kila wiki: Ukaguzi wa udhaifu wa utegemezi (npm audit, skanaji la plugin la WordPress)
  • Kila mwezi: Uchambuzi wa kina na mtihani ulioidhinishwa
  • Baada ya kila kupeleka: Ukaguzi wa tranquilization

Ushindi wa haraka: Fanya npm audit (Node.js) au kagua orodha ya plugin za CMS yako kwa vipengele vilivyokua. Fanya marekebisho ya masuala muhimu/yaliyo na kiwango cha juu mara moja.

Maudhui Mchanganyiko

Maudhui mchanganyiko hutokea wakati ukurasa wa HTTPS unachota rasilimali (picha, scripts, mitindo, iframes) kupitia HTTP. Hii inaharibu sehemu ya usimbuaji na inasababisha onyo la vivinjari.

Aina za maudhui mchanganyiko:

| Aina | Ukali | Mfano | Tabia ya Kivinjari | |--------|--------|-------------------|----------------------------| | Haikamilika | Kiwango Kikubwa | Script ya HTTP, iframe, CSS | Inakataa kwa kawaida | | Haikamilika | Kiwango Cha Kati | Picha za HTTP, video, sauti | Inapakia kwa onyo |

Maudhui mchanganyiko haiwezi kupakuliwa na vivinjari vya kisasa — maana yake skripti na mitindo yako haitapakia. Maudhui mchanganyiko yanauza lakini yanaonyesha onyo la usalama.

Kutafuta maudhui mchanganyiko:

  1. Fungua Chrome DevTools → Console
  2. Angalia kwa onyo za "Maudhui Mchanganyiko"
  3. Vinginevyo, scan na crawler (Screaming Frog, LANGR)

Vyanzo vya kawaida vya maudhui mchanganyiko:

  • URLs za http:// zilizofichwa ndani ya maudhui (machapisho ya blog, maelezo ya bidhaa)
  • Vidude vya wahusika wengine vinavyopakia rasilimali za HTTP
  • Maudhui yaliyowekwa (mbolea zilizovuja za YouTube, vidude vya mitandao ya kijamii)
  • CSS background-image yenye URLs za HTTP
  • Fonti zinazopakiwa kupitia HTTP

Kukarabati maudhui mchanganyiko:

<!-- Mbaya -->
<img src="http://example.com/image.jpg" />

<!-- Nzuri -->
<img src="https://example.com/image.jpg" />

<!-- Bora (inasawazisha kwa itifaki, inadapt kwa itifaki ya ukurasa) -->
<img src="//example.com/image.jpg" />

Kurekebisha database (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

Ushindi wa haraka: Fungua ukurasa wako wa nyumbani kwenye Chrome, bonyeza F12, angalia tab ya Console kwa onyo za maudhui mchanganyiko. Fanya marekebisho yoyote yaliyoonekana — haya yanaonekana moja kwa moja kwa Google.

Hatari za Skripti za Wahusika Wengine

Kila skripti ya nje unayopakia ni hatari ya kiusalama (na utendaji). Skripti za wahusika wengine zinaweza:

  • Kuandikwa (shambulio la mnyororo)
  • Kufuatilia watumiaji wako bila idhini (uvunjaji wa GDPR)
  • Kuchelewesha tovuti yako (kuzuia mchakato, ucheleweshaji wa mtandao)
  • Kuvunja kazi (sasisho za toleo, kuharibika)
  • Kuingiza maudhui yasiyohitajika (skripti za matangazo zilizokatika)

Kagua skripti zako za wahusika wengine:

| Skripti | Inahitajika? | Kiwango cha Hatari | Mbadala | |---------------------|--------------|--------------------|-----------------------| | Google Analytics | Mara nyingi ndiyo | Kiwango Chini | Ufuatiliaji wa upande wa seva | | Vidudu vya mawasiliano | Huenda | Kiwango cha Kati | Suluhisho zilizowekwa | | Vitufe vya kushiriki mitandao | Mara chache | Kiwango cha Kati | Viungo vya kushiriki vya static | | Upimaji wa A/B | Wakati mwingine | Kiwango Cha Juu | Upimaji wa upande wa seva | | Pikseli za kurudi | Uamuzi wa biashara | Kiwango Cha Juu | Takwimu za chama cha kwanza | | Fonti za CDN | Rahisi | Kiwango Chini | Fonti zilizowekwa za upande wa seva |

Kupunguza hatari kwa skripti muhimu za wahusika wengine:

  1. Uhakikisho wa Subresource Integrity (SRI): Uthibitishaji wa hash unazuia skripti zilizopasuliwa kutumika
<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>
  1. Vikomo vya CSP: Ruhusu tu skripti kutoka maeneo yanayojulikana
  2. Iframes za sandboxed: Punguza vidude vya wahusika wengine
  3. Makaribisho ya kawaida: Kagua mara kwa mara rasilimali zote za nje
  4. Monitor: Tangaza kwenye maeneo mapya ya nje yanayoonekana kwenye kurasa zako

Ushindi wa haraka: Orodhesha kila tag ya