Skip to main content
Back to blog

Дастури SEO Қадами 7: Амният — Ҳадди поён, ки Google дар 2026 интизор дорад

·12 min read·by LANGR SEO

Дастури SEO Қадами 7: Амният

Ин Қадами 7 аз Дастури SEO бо 13 қадам мебошад. Амният на танҳо дар бораи муҳофизат кардани истифодабарандагон аст — ба манзили ҷустуҷӯи шумо таъсири мустақим мерасонад. Google аз соли 2014 HTTPS-ро ҳамчун сигнал барои рейтинги кофӣ истифода мекунад, ва интизориҳо танҳо баландтар шудаанд.


Аксари соҳибони сайт амниятро ҳамчун маҷмӯа мебинанд: "Мо SSL дороем, пас мо амн ҳастем." Вале воқеан, Google даҳчанд сигналҳои амниятиро арзёбӣ мекунад. Сайтҳои бо сарпӯши амниятии дуруст, шаҳодатномаҳои муниципалӣ ва м內容и омехта наметавонанд сайтҳои бо сертификати SSL асосӣ дошта бошанд — ҳама чиз як хел бошад.

Хабарҳои хуб: аксари ислоҳоти амният конфигуратсияҳои якдафъаина мебошанд. Яке гузошта шаванд, ва онҳо рейтингҳои шуморо доимӣ муҳофизат мекунанд.

Конфигуратсияи SSL

SSL (технически TLS) равиши дастгоҳро байни сервери шумо ва меҳмонон мустаҳкам мекунад. Аз соли 2014, Google HTTPS-ро ҳамчун сигнал барои рейтинги кофӣ тасдиқ кард. Дар 2026, доштани HTTPS на танҳо мушкили рейтинги аст — Chrome сайтҳои HTTP-ро ҳамчун "Наамн" дар уфуқи URL нишон медиҳад, ки боварии истифодабарандагонро нобуд мекунад.

Талабот барои SSL дуруст:

| Талабот | Чаро | Чӣ гуна таҳқиқ кардан | |-------------|-----|--------------| | Шаҳодатномаи дуруст | Сӯҳбат баромад = ҳушдор дар браузер = истеъмолкунандагон аз диапазон рафтан | Санҷиши санаи мӯҳлат | | Занҷири пурра | Занҷирҳои нопурра дар баъзе дастгоҳҳо хизмат намекунанд | Санҷиши SSL Labs | | TLS 1.2+ | Версияи куҳна камбудиҳои маълум аст | Санҷиши SSL Labs | | Не SHA-1 | Мановиат, браузерҳои онро рад мекунанд | Тафсилоти шаҳодатнома | | Парвандаи SAN | www ва non-www ҳарду бояд фаро гиранд | Тафсилоти шаҳодатнома | | Авто-навсозӣ | Монеъ мешавад аз фоҷиаи мӯҳлат | Let's Encrypt / конфигуратсия провайдер |

Санҷиши SSL:

100% = Шаҳодатномаи дуруст + Занҷири пурра + TLS 1.3 + Кодекси тавоно + Авто-навсозӣ
  0% = Шаҳодатнома бо мӯҳлати тамом ё нест

Хатогиҳои умумии SSL:

  1. Шаҳодатнома беп қурҳи надаст — Мониторинг насб кунед (Қадами 6) дар мӯҳлат 30 рӯз пеш аз мӯҳлат
  2. Занҷири шаҳодатномаи нопурра — Сервер бояд шаҳодатномаҳои миёна фиристад, на танҳо барг нави
  3. Мунтахаб м內容 — Page HTTPS м contenido-ҳо HTTP (тасвирҳо, скриптҳо, стильҳо)
  4. Хатогии тақсимултасвири — HTTP → HTTPS → HTTP даврҳо бо конфигуратсияҳои хато дар CDN/proxy
  5. Муносибати non-www ва www — Шаҳодатнома яке маркази воқеи намуда, на дигар

Баҳри зуд: Доменатонро дар SSL Labs (ssllabs.com/ssltest) гусел кунед. Ҳар чизе, ки "A" рейтинг нест, мушкилоти анҷомӣ дорад. Аксарияти хидматрасонҳо инро бо як клик ислоҳ мекунанд.

Сарпӯши Амният

Сарпӯши амният HTTP ҷавобҳои сарпӯшҳо мебошанд, ки ба браузерҳо мӯъйасбехт мекунад, ки чӣ гуна дар замони бор кардани сайти шумо рафтор кунанд. Онҳо гурӯҳҳои пурраи ҳамлаҳоро пешгирӣ мекунанд — ва робитаҳои Google барои онҳо тафтиш мекунанд.

Сарпӯши амниятии муҳими:

Сиёсати Амнияти М內容 (CSP)

CSP сарпӯши амнияти маъруфтарин аст. Вай ба браузерҳо дақиқ нишон медиҳад, ки кадом манбаъҳо (скриптҳо, стильҳо, тасвирҳо, шенсон) дар саҳифаҳои шумо иҷозат дода шудаанд.

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

Чи CSP пешгирӣ мекунад:

  • Ҳамлаи скрипти байни сайтҳо (XSS)
  • Ҳамлаи воридоти маълумот
  • Clickjacking (бо frame-ancestors)
  • Иҷрои скриптҳои ғайрійзод (криптоминерҳо, инъикоскунандагони реклама)

Стратегияи насби CSP:

  1. Бо Content-Security-Policy-Report-Only (вазъиятҳоро бидуни монеа логг кунед) оғоз кунед
  2. Логҳоро барои 1-2 ҳафта назорат кунед
  3. Манбаъҳои легитимаро дахолат кунед
  4. Ба режиме, ки амал мекунад гузаро
  5. report-uri ё report-to барои логг кардани вазъият доимӣ илова кунед

X-Frame-Options

Мо аз ҷойи сайти шумо дар iframe на биронид, ки музд кардани clickjacking.

X-Frame-Options: DENY

Или агар шумо ба иҷозат бар кардан бояд, ки рамзи ҳамзамон бошад:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

Мо браузерҳоро аз sniffing MIME-type (файлҳоро ба типҳои дигар интерпрет кардан) пешгирӣ мекунад.

X-Content-Type-Options: nosniff

Ин як дона мешуд ва ҳамлаҳое, ки дар он файлҳои .jpg JavaScript пинҳон доранд, ки браузер ихтиёри инзон ва мустамлик мекунад пешгирӣ мекунад.

Referrer-Policy

Мо маълумотҳои referrer кадар мӯъясбехтро пешгирӣ мекунад, вақте истифодабарандагон клик мекунанд аз сайти шумо.

Referrer-Policy: strict-origin-when-cross-origin

Ин барои дархостҳои ҳамзамон тамоми URL таъмин мекунад, вале для мансабOEMи кросс-оригин фақат мансаф (домен) мефиристад. Зо мегардад заруроти таҳлилҳо бо хусусият.

Permissions-Policy

Мо суръатҳои браузерпурс, (камера, микрофон, геолокация ва ғайра) алоқаи сайти шумо гузаронем.

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

Набудани хусусиятҳои, ки шумо истифода мебаред, пешгӯи кардани он, ки скриптҳои сеюм онҳоро истифода мебаранд.

Намунаи амалӣ (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

Насби сарпӯши (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Насби сарпӯши (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Баҳри зуд: Ба конфигуратсияи сервери худ 5 сарпӯши зангӯро илова кунед. Вон 5 дақиқа вақт мегирад ва дар ҳама калифҳои сканингони шумоҳо оддӣ бо амнияти шумо торафт беҳтар мекунад.

HSTS Preload

HTTP Strict Transport Security (HSTS) ба браузерҳо мегӯяд, ки ҳамеша барои домени шумо HTTPS истифода баранд — ҳатто пас аз аввалин талаб кардан. Бидуни HSTS, аввалин боздид ба сайти шумо марзҳои HTTP (кӣ ба ҷалб кардан) истифода хоҳад кард, пеш аз он ки сардор барои HTTPS шудааст.

Сарпӯши HSTS:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Се дастур:

| Дастур | Маъно | |-----------|---------| | max-age=31536000 | Инро барои 1 сол (дар сонияҳо) ёдрас кунед | | includeSubDomains | Ба ҳамаи доменҳо низ дахл дорад | | preload | Дастуру дар рӯйхати preloaded доменҳо дар браузерҳоро мўхлес |

Рӯйхати HSTS preload:

Заҳмати охирини муҳофизат барои HSTS. Браузерҳо бо як рӯйхати дохилшударо, ки доменҳо ҳамеша HTTPS истифода мекунанд, мерасанд. Дастуреро, ки доменро ба hstspreload.org пешниҳод мекунад, таъмин мекунад:

  • Воридкунандагони аввалӣ фавран HTTPS мегиранд (на HTTP → HTTPS)
  • Ба филтрсозҳо бепарвоӣ равона нест
  • Доимии (қарор додан душвор аст агар submitted)

Талабот барои HSTS preload:

  1. Шаҳодатномаи HTTPS дуруст
  2. Барои HTTPS ҳамаи HTTP-ҳоро ба HTTPS гузаред (шомили доменҳояш)
  3. Сарпӯши HSTS, ки max-age >= 31536000
  4. Сарпӯши HSTS дохил мекунад includeSubDomains
  5. Сарпӯши HSTS дохил мекунад preload
  6. Ҳамаи доменҳо бояд HTTPS-ро дастгирӣ кунанд

Огоҳӣ: Фақат агар ҳамаҳои доменҳо HTTPS-ро дастгирӣ кунанд, он механизми includeSubDomains чизе нест, ки ягон домен HTTP-ро ғайри қобили иктишофӣ созад.

Баҳри зуд: Агар шумо аллакай HTTPS-ро дар ҳама доменҳо доред, сарпӯши HSTS пурра илова кунед ва ба hstspreload.org пешниҳод кунед. Фарз одата бо чанд ҳафта бо амнияти доимист.

Сканкунии Камбудиҳо

Сканкунии автоматикӣ камбудиҳои маълумиро дар мундариҷаи шумо пеш аз он ки ягон ҳамламон онҳоро истифода барад муайян мекунад.

Чӣ сканкунии камбудиҳо таҳқиқ мекунад:

  • Насб гардидани кӯҳна: WordPress, плагинхо, китобхонаҳои JavaScript бо CVEs маълум
  • Файлҳои кушод: .env, .git, wp-config.php, дар сохтмонҳо
  • Рехтани маълумот: Сарфандаи версия, режиматон, қабат
  • Шартҳои стандартӣ: Саҳифаҳои администратор бидуни аутентифирон, паролҳои стандартӣ
  • Портҳо/хидматҳои кушод: Хидматҳое, ки бенаволӣ тавассути интернету кумаки ислоҳ шудаанд.
  • Ҷойгоҳи инъикоси: Формҳо бидуни ҳифзи CSRF, вурудҳои шенашударо

Камбудиҳои умумӣ тавассути платформа:

| Платформа | Камбудии асосӣ | Хат | |----------|-------------------|-----| | WordPress | Плагинҳои кӯҳна | Навсозии автоматикӣ + WAF | | Shopify | Рӯҳсҳафияҳои барномасози шарик | Розии рӯйхати барно | | Next.js | Рӯйхатҳои API кушодча | Махфияти аутентифар + таззин | | Сайтҳои статикӣ | Конфигуратсияи CDN | Параметрҳои кэшро баррасӣ кардан | | Фардӣ | SQL инъикос | Параметризатсия |

Фазои скан:

  • Рўзона: Сканкунии автоматикӣ (SSL, сарпӯшҳо, файлҳои кушод)
  • Ҳафтагӣ: Сканкунии камбудиҳои вобаста (npm audit, сканери плагинҳои WordPress)
  • Моҳинавӣ: Сканкунии амиқ бо маҳдудияти эҳсос
  • Пас аз ҳар як бор: Санҷиши регрессионӣ

Баҳри зуд: npm audit (Node.js)-ро гузаронед ё рӯйхати плагин барои CMS-и худро интизор шавед. Мушкилоти критикӣ/баландро фавран ислоҳ кунед.

Мунтахаб М內容

Мунтахаби м內容 рӯй медиҳад вақте, ки м stránky HTTPS захираҳо (тасвирҳо, скриптҳо, стильҳо, iframe) рӯйхати HTTP-ро мебаранд. Ин шифрикунии воёзолро қисмӣ мешиканад ва хабари браузерҳоро амр мекунад.

Навъҳои м內容:

| Навъ | Севӣ | намуна | Равони браузер | |------|----------|---------|------------------| | Пора | Баланд | Скрипти HTTP, iframe, CSS | Блоки тариқи автоматикӣ | | Пасив | Миёна | Тасвир, видео, аудио HTTP | Бозӣ бо хабари эҳтимол |

Мунтахаби м内容е, ки браузерҳои муосир манъ мекунанд, пурра дар рафторҳои шумо шодоб нест. Мунтахаби пасив м contenido-ҳои зидди шабакаро бо хабари амниятӣ бор мекунад.

Пояи м內容ро пайдо кунед:

  1. Chrome DevTools → Console-ро кушоед
  2. "Mixed Content" хабари бозрасии тадорук кунед
  3. Гарчанде, бо сканер (Screaming Frog, LANGR) санҷиш кунед

Сарчашмаи умумии м內容:

  • URL-ҳои hardcoded http:// дар м contenido (постҳои блог, тасвирҳои маҳсулот)
  • Витажҳои сеюми хидмати HTTP-и вебсайт бор кардани захираҳо
  • Мундариҷа, ки тасвирҳои кӯдаки трансферифта ва чархаи шабакаро мувофиқат мекунанд.
  • CSS background-imageҳоро bo HTTP URL
  • Танзимҳо бо HTTP бор мешаванд.

Ислоҳи м内容:

<!-- Бад -->
<img src="http://example.com/image.jpg" />

<!-- Хуб -->
<img src="https://example.com/image.jpg" />

<!-- Беҳтарин (нақши протокол, барои протоколи саҳифа мутобиқ мешавад) -->
<img src="//example.com/image.jpg" />

Ислоҳ дар базоҳ (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

Баҳри зуд: Саҳифаи асосии худро дар Chrome кушоед, кнопкаи F12-ро пахш кунед, таби Console-ро барои хабари м contenido бо хабари вижда тафтиш кунед. Харочарои дар нофосила ҳатман пешгирӣ кунед, онҳон дар пеши Google мафозат мешаванд.

Хатарҳои скриптҳои сеюм

Ҳар як скрипт, ки шумо идора мекунед, тамсили амният (ва сифат) мешавад. Скриптҳои сеюм метавонанд:

  • Дастрас бошанд (ҳамлаи таъминоти занҷир)
  • Истифодаи истифодабаранд без раъй (вайатори GDPR)
  • Сайти шуморо сусти (блокир кардан, қадоми шабкашӣ)
  • Функсионалиятро шикаст (навсозии версияҳо, маҳдудияти)
  • М contenido-ҳои наметаксим (скриптҳои реклама, ки муфлис нашуд)

Скриптҳои сеюмро аудит кунед:

| Скрипт | Лозим? | Севӣ | Алтернатива | |--------|-----------|------------|-------------| | Google Analytics | Одатан ҳа | Паст | Tracking на сервер | | Витажҳо барои шеносо | Баъзан | Миёна | Ҳалли худ-санҷишии | | Дасти шахсии иҷтимоӣ | Ба камин | Миёна | Линкҳои статикӣ | | San ۓB-testing | Баъзан | Баланд | Вариант дар сервер | | Sitemap retargeting | Қарор ҳосил | Баланд | Маълумотҳо дар аввал | | CDNs fonts | Фоиданок | Паст | Font-ҳоро дар сервер |

Хатари худро коҳиш диҳед:

  1. Интернети Субпайванӣ (SRI): Тасдиқи ҳаштсодан бо хатардеро, ки скриптҳоро, ки тамошо сохт мешаванд, пешгирӣ мекунад
<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>
  1. MPSP м content: танҳо скриптҳоро ба доменҳои маълум иҷозат медиҳад
  2. iframes бо sandboxed: ҳаслати витажи сеюм
  3. Аудитҳоро мунтазим: Ба ҳар чормоҳои ҳамаи манбаҳо назар кунед
  4. Мониторинг: Озод огоҳӣ гузошта, барои интихобҳои нав пайдошавӣ

Баҳри зуд: Ҳар як