Дастури SEO Қадами 7: Амният — Ҳадди поён, ки Google дар 2026 интизор дорад
Дастури SEO Қадами 7: Амният
Ин Қадами 7 аз Дастури SEO бо 13 қадам мебошад. Амният на танҳо дар бораи муҳофизат кардани истифодабарандагон аст — ба манзили ҷустуҷӯи шумо таъсири мустақим мерасонад. Google аз соли 2014 HTTPS-ро ҳамчун сигнал барои рейтинги кофӣ истифода мекунад, ва интизориҳо танҳо баландтар шудаанд.
Аксари соҳибони сайт амниятро ҳамчун маҷмӯа мебинанд: "Мо SSL дороем, пас мо амн ҳастем." Вале воқеан, Google даҳчанд сигналҳои амниятиро арзёбӣ мекунад. Сайтҳои бо сарпӯши амниятии дуруст, шаҳодатномаҳои муниципалӣ ва м內容и омехта наметавонанд сайтҳои бо сертификати SSL асосӣ дошта бошанд — ҳама чиз як хел бошад.
Хабарҳои хуб: аксари ислоҳоти амният конфигуратсияҳои якдафъаина мебошанд. Яке гузошта шаванд, ва онҳо рейтингҳои шуморо доимӣ муҳофизат мекунанд.
Конфигуратсияи SSL
SSL (технически TLS) равиши дастгоҳро байни сервери шумо ва меҳмонон мустаҳкам мекунад. Аз соли 2014, Google HTTPS-ро ҳамчун сигнал барои рейтинги кофӣ тасдиқ кард. Дар 2026, доштани HTTPS на танҳо мушкили рейтинги аст — Chrome сайтҳои HTTP-ро ҳамчун "Наамн" дар уфуқи URL нишон медиҳад, ки боварии истифодабарандагонро нобуд мекунад.
Талабот барои SSL дуруст:
| Талабот | Чаро | Чӣ гуна таҳқиқ кардан | |-------------|-----|--------------| | Шаҳодатномаи дуруст | Сӯҳбат баромад = ҳушдор дар браузер = истеъмолкунандагон аз диапазон рафтан | Санҷиши санаи мӯҳлат | | Занҷири пурра | Занҷирҳои нопурра дар баъзе дастгоҳҳо хизмат намекунанд | Санҷиши SSL Labs | | TLS 1.2+ | Версияи куҳна камбудиҳои маълум аст | Санҷиши SSL Labs | | Не SHA-1 | Мановиат, браузерҳои онро рад мекунанд | Тафсилоти шаҳодатнома | | Парвандаи SAN | www ва non-www ҳарду бояд фаро гиранд | Тафсилоти шаҳодатнома | | Авто-навсозӣ | Монеъ мешавад аз фоҷиаи мӯҳлат | Let's Encrypt / конфигуратсия провайдер |
Санҷиши SSL:
100% = Шаҳодатномаи дуруст + Занҷири пурра + TLS 1.3 + Кодекси тавоно + Авто-навсозӣ
0% = Шаҳодатнома бо мӯҳлати тамом ё нест
Хатогиҳои умумии SSL:
- Шаҳодатнома беп қурҳи надаст — Мониторинг насб кунед (Қадами 6) дар мӯҳлат 30 рӯз пеш аз мӯҳлат
- Занҷири шаҳодатномаи нопурра — Сервер бояд шаҳодатномаҳои миёна фиристад, на танҳо барг нави
- Мунтахаб м內容 — Page HTTPS м contenido-ҳо HTTP (тасвирҳо, скриптҳо, стильҳо)
- Хатогии тақсимултасвири — HTTP → HTTPS → HTTP даврҳо бо конфигуратсияҳои хато дар CDN/proxy
- Муносибати non-www ва www — Шаҳодатнома яке маркази воқеи намуда, на дигар
Баҳри зуд: Доменатонро дар SSL Labs (ssllabs.com/ssltest) гусел кунед. Ҳар чизе, ки "A" рейтинг нест, мушкилоти анҷомӣ дорад. Аксарияти хидматрасонҳо инро бо як клик ислоҳ мекунанд.
Сарпӯши Амният
Сарпӯши амният HTTP ҷавобҳои сарпӯшҳо мебошанд, ки ба браузерҳо мӯъйасбехт мекунад, ки чӣ гуна дар замони бор кардани сайти шумо рафтор кунанд. Онҳо гурӯҳҳои пурраи ҳамлаҳоро пешгирӣ мекунанд — ва робитаҳои Google барои онҳо тафтиш мекунанд.
Сарпӯши амниятии муҳими:
Сиёсати Амнияти М內容 (CSP)
CSP сарпӯши амнияти маъруфтарин аст. Вай ба браузерҳо дақиқ нишон медиҳад, ки кадом манбаъҳо (скриптҳо, стильҳо, тасвирҳо, шенсон) дар саҳифаҳои шумо иҷозат дода шудаанд.
Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';
Чи CSP пешгирӣ мекунад:
- Ҳамлаи скрипти байни сайтҳо (XSS)
- Ҳамлаи воридоти маълумот
- Clickjacking (бо
frame-ancestors) - Иҷрои скриптҳои ғайрійзод (криптоминерҳо, инъикоскунандагони реклама)
Стратегияи насби CSP:
- Бо
Content-Security-Policy-Report-Only(вазъиятҳоро бидуни монеа логг кунед) оғоз кунед - Логҳоро барои 1-2 ҳафта назорат кунед
- Манбаъҳои легитимаро дахолат кунед
- Ба режиме, ки амал мекунад гузаро
report-uriёreport-toбарои логг кардани вазъият доимӣ илова кунед
X-Frame-Options
Мо аз ҷойи сайти шумо дар iframe на биронид, ки музд кардани clickjacking.
X-Frame-Options: DENY
Или агар шумо ба иҷозат бар кардан бояд, ки рамзи ҳамзамон бошад:
X-Frame-Options: SAMEORIGIN
X-Content-Type-Options
Мо браузерҳоро аз sniffing MIME-type (файлҳоро ба типҳои дигар интерпрет кардан) пешгирӣ мекунад.
X-Content-Type-Options: nosniff
Ин як дона мешуд ва ҳамлаҳое, ки дар он файлҳои .jpg JavaScript пинҳон доранд, ки браузер ихтиёри инзон ва мустамлик мекунад пешгирӣ мекунад.
Referrer-Policy
Мо маълумотҳои referrer кадар мӯъясбехтро пешгирӣ мекунад, вақте истифодабарандагон клик мекунанд аз сайти шумо.
Referrer-Policy: strict-origin-when-cross-origin
Ин барои дархостҳои ҳамзамон тамоми URL таъмин мекунад, вале для мансабOEMи кросс-оригин фақат мансаф (домен) мефиристад. Зо мегардад заруроти таҳлилҳо бо хусусият.
Permissions-Policy
Мо суръатҳои браузерпурс, (камера, микрофон, геолокация ва ғайра) алоқаи сайти шумо гузаронем.
Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()
Набудани хусусиятҳои, ки шумо истифода мебаред, пешгӯи кардани он, ки скриптҳои сеюм онҳоро истифода мебаранд.
Намунаи амалӣ (Next.js):
// next.config.js
module.exports = {
async headers() {
return [{
source: '/(.*)',
headers: [
{ key: 'X-Content-Type-Options', value: 'nosniff' },
{ key: 'X-Frame-Options', value: 'SAMEORIGIN' },
{ key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
{ key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
{ key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
]
}]
}
}
Насби сарпӯши (Apache .htaccess):
Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Насби сарпӯши (Nginx):
add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
Баҳри зуд: Ба конфигуратсияи сервери худ 5 сарпӯши зангӯро илова кунед. Вон 5 дақиқа вақт мегирад ва дар ҳама калифҳои сканингони шумоҳо оддӣ бо амнияти шумо торафт беҳтар мекунад.
HSTS Preload
HTTP Strict Transport Security (HSTS) ба браузерҳо мегӯяд, ки ҳамеша барои домени шумо HTTPS истифода баранд — ҳатто пас аз аввалин талаб кардан. Бидуни HSTS, аввалин боздид ба сайти шумо марзҳои HTTP (кӣ ба ҷалб кардан) истифода хоҳад кард, пеш аз он ки сардор барои HTTPS шудааст.
Сарпӯши HSTS:
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
Се дастур:
| Дастур | Маъно | |-----------|---------| | max-age=31536000 | Инро барои 1 сол (дар сонияҳо) ёдрас кунед | | includeSubDomains | Ба ҳамаи доменҳо низ дахл дорад | | preload | Дастуру дар рӯйхати preloaded доменҳо дар браузерҳоро мўхлес |
Рӯйхати HSTS preload:
Заҳмати охирини муҳофизат барои HSTS. Браузерҳо бо як рӯйхати дохилшударо, ки доменҳо ҳамеша HTTPS истифода мекунанд, мерасанд. Дастуреро, ки доменро ба hstspreload.org пешниҳод мекунад, таъмин мекунад:
- Воридкунандагони аввалӣ фавран HTTPS мегиранд (на HTTP → HTTPS)
- Ба филтрсозҳо бепарвоӣ равона нест
- Доимии (қарор додан душвор аст агар submitted)
Талабот барои HSTS preload:
- Шаҳодатномаи HTTPS дуруст
- Барои HTTPS ҳамаи HTTP-ҳоро ба HTTPS гузаред (шомили доменҳояш)
- Сарпӯши HSTS, ки
max-age>= 31536000 - Сарпӯши HSTS дохил мекунад
includeSubDomains - Сарпӯши HSTS дохил мекунад
preload - Ҳамаи доменҳо бояд HTTPS-ро дастгирӣ кунанд
Огоҳӣ: Фақат агар ҳамаҳои доменҳо HTTPS-ро дастгирӣ кунанд, он механизми includeSubDomains чизе нест, ки ягон домен HTTP-ро ғайри қобили иктишофӣ созад.
Баҳри зуд: Агар шумо аллакай HTTPS-ро дар ҳама доменҳо доред, сарпӯши HSTS пурра илова кунед ва ба hstspreload.org пешниҳод кунед. Фарз одата бо чанд ҳафта бо амнияти доимист.
Сканкунии Камбудиҳо
Сканкунии автоматикӣ камбудиҳои маълумиро дар мундариҷаи шумо пеш аз он ки ягон ҳамламон онҳоро истифода барад муайян мекунад.
Чӣ сканкунии камбудиҳо таҳқиқ мекунад:
- Насб гардидани кӯҳна: WordPress, плагинхо, китобхонаҳои JavaScript бо CVEs маълум
- Файлҳои кушод:
.env,.git,wp-config.php, дар сохтмонҳо - Рехтани маълумот: Сарфандаи версия, режиматон, қабат
- Шартҳои стандартӣ: Саҳифаҳои администратор бидуни аутентифирон, паролҳои стандартӣ
- Портҳо/хидматҳои кушод: Хидматҳое, ки бенаволӣ тавассути интернету кумаки ислоҳ шудаанд.
- Ҷойгоҳи инъикоси: Формҳо бидуни ҳифзи CSRF, вурудҳои шенашударо
Камбудиҳои умумӣ тавассути платформа:
| Платформа | Камбудии асосӣ | Хат | |----------|-------------------|-----| | WordPress | Плагинҳои кӯҳна | Навсозии автоматикӣ + WAF | | Shopify | Рӯҳсҳафияҳои барномасози шарик | Розии рӯйхати барно | | Next.js | Рӯйхатҳои API кушодча | Махфияти аутентифар + таззин | | Сайтҳои статикӣ | Конфигуратсияи CDN | Параметрҳои кэшро баррасӣ кардан | | Фардӣ | SQL инъикос | Параметризатсия |
Фазои скан:
- Рўзона: Сканкунии автоматикӣ (SSL, сарпӯшҳо, файлҳои кушод)
- Ҳафтагӣ: Сканкунии камбудиҳои вобаста (npm audit, сканери плагинҳои WordPress)
- Моҳинавӣ: Сканкунии амиқ бо маҳдудияти эҳсос
- Пас аз ҳар як бор: Санҷиши регрессионӣ
Баҳри зуд: npm audit (Node.js)-ро гузаронед ё рӯйхати плагин барои CMS-и худро интизор шавед. Мушкилоти критикӣ/баландро фавран ислоҳ кунед.
Мунтахаб М內容
Мунтахаби м內容 рӯй медиҳад вақте, ки м stránky HTTPS захираҳо (тасвирҳо, скриптҳо, стильҳо, iframe) рӯйхати HTTP-ро мебаранд. Ин шифрикунии воёзолро қисмӣ мешиканад ва хабари браузерҳоро амр мекунад.
Навъҳои м內容:
| Навъ | Севӣ | намуна | Равони браузер | |------|----------|---------|------------------| | Пора | Баланд | Скрипти HTTP, iframe, CSS | Блоки тариқи автоматикӣ | | Пасив | Миёна | Тасвир, видео, аудио HTTP | Бозӣ бо хабари эҳтимол |
Мунтахаби м内容е, ки браузерҳои муосир манъ мекунанд, пурра дар рафторҳои шумо шодоб нест. Мунтахаби пасив м contenido-ҳои зидди шабакаро бо хабари амниятӣ бор мекунад.
Пояи м內容ро пайдо кунед:
- Chrome DevTools → Console-ро кушоед
- "Mixed Content" хабари бозрасии тадорук кунед
- Гарчанде, бо сканер (Screaming Frog, LANGR) санҷиш кунед
Сарчашмаи умумии м內容:
- URL-ҳои hardcoded
http://дар м contenido (постҳои блог, тасвирҳои маҳсулот) - Витажҳои сеюми хидмати HTTP-и вебсайт бор кардани захираҳо
- Мундариҷа, ки тасвирҳои кӯдаки трансферифта ва чархаи шабакаро мувофиқат мекунанд.
- CSS
background-imageҳоро bo HTTP URL - Танзимҳо бо HTTP бор мешаванд.
Ислоҳи м内容:
<!-- Бад -->
<img src="http://example.com/image.jpg" />
<!-- Хуб -->
<img src="https://example.com/image.jpg" />
<!-- Беҳтарин (нақши протокол, барои протоколи саҳифа мутобиқ мешавад) -->
<img src="//example.com/image.jpg" />
Ислоҳ дар базоҳ (WordPress):
UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');
Баҳри зуд: Саҳифаи асосии худро дар Chrome кушоед, кнопкаи F12-ро пахш кунед, таби Console-ро барои хабари м contenido бо хабари вижда тафтиш кунед. Харочарои дар нофосила ҳатман пешгирӣ кунед, онҳон дар пеши Google мафозат мешаванд.
Хатарҳои скриптҳои сеюм
Ҳар як скрипт, ки шумо идора мекунед, тамсили амният (ва сифат) мешавад. Скриптҳои сеюм метавонанд:
- Дастрас бошанд (ҳамлаи таъминоти занҷир)
- Истифодаи истифодабаранд без раъй (вайатори GDPR)
- Сайти шуморо сусти (блокир кардан, қадоми шабкашӣ)
- Функсионалиятро шикаст (навсозии версияҳо, маҳдудияти)
- М contenido-ҳои наметаксим (скриптҳои реклама, ки муфлис нашуд)
Скриптҳои сеюмро аудит кунед:
| Скрипт | Лозим? | Севӣ | Алтернатива | |--------|-----------|------------|-------------| | Google Analytics | Одатан ҳа | Паст | Tracking на сервер | | Витажҳо барои шеносо | Баъзан | Миёна | Ҳалли худ-санҷишии | | Дасти шахсии иҷтимоӣ | Ба камин | Миёна | Линкҳои статикӣ | | San ۓB-testing | Баъзан | Баланд | Вариант дар сервер | | Sitemap retargeting | Қарор ҳосил | Баланд | Маълумотҳо дар аввал | | CDNs fonts | Фоиданок | Паст | Font-ҳоро дар сервер |
Хатари худро коҳиш диҳед:
- Интернети Субпайванӣ (SRI): Тасдиқи ҳаштсодан бо хатардеро, ки скриптҳоро, ки тамошо сохт мешаванд, пешгирӣ мекунад
<script src="https://cdn.example.com/lib.js"
integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
crossorigin="anonymous"></script>
- MPSP м content: танҳо скриптҳоро ба доменҳои маълум иҷозат медиҳад
- iframes бо sandboxed: ҳаслати витажи сеюм
- Аудитҳоро мунтазим: Ба ҳар чормоҳои ҳамаи манбаҳо назар кунед
- Мониторинг: Озод огоҳӣ гузошта, барои интихобҳои нав пайдошавӣ
Баҳри зуд: Ҳар як тегро дар HTML, ки аз домени хориҷӣ бор кунад, гузаронед. Ҳар пателие, ки шумо намедонед ё дигар лозим нест, хориҷ кунед. Ҳар ихчоъро ба танҳо амният ва суръати саҳифа беҳтар мекунад.
Ташхиси малвей ва Google Safe Browsing
Google рӯйхати тасвирро бо м contenido.xaml ислиҳ ва м contenido. Кунони ин ҷо бояд барои SEO катастрофихо бошад - Google инсонҳоро пешакӣ огоҳ намуда, як таҳрири пурра пешкаш мекунад, ки пешгирӣ намоиши offshore-on-мунтабаи байналмилалӣ.
Чӣ гуна сайтҳоро нишон медиҳанд:
- Сайти компратсионӣ, ки малвейро тавсиб мекунад (WordPress powder, ва ғайра)
- Скриптҳое, ки м contenido назди моро дар ҷавоб ҷо оварда
- Саҳифаҳои фишинг, ки дар домени шумо м contenido
- М contenido-и генератораи корбар, ки м conteúdo-ро пайравӣ мекунад
- Хунуккунии файлҳо, ки хатарнок нишон дода шудааст
Ташхиси статуси Safe Browsing:
https://transparencyreport.google.com/safe-browsing/search?url=yourdomain.com
Или в Google Search Console: бахш масъалаҳои амният.
Пешгири:
- Ҳамаи барномаҳоро навсозӣ кунед (CMS, плагинҳо, китобхонаҳо)
- Паролҳои администраторро бо ниҳоят, фармоишгари 2FA боқарор кунед
- Назорат кардани сарангизӣ (ғайри иҷозаткори |_|)
- Скан кардани м contenidos-и баҳси корбар
- Плагинҳои/темҳоро, ки қуттӣ намешаванд, жидед
- Истифодабарандагонро ҳарангоми навсозии мунтазими администратории муддати тӯлонӣ намоиш медод
Агар шумо нишон дода шуд:
- Малвей/мамлакатҳои фишингро шифо нашонед
- Ҳама барномаҳоро навсозӣ кунед ва ҳамаи паролҳоро иваз кунед
- Саҳифае, ки дар Google Search Console шенаконӣ гузаред
- Шенконӣ одатан 1-3 рӯз мегирад
- Имрӯзҳоро назорат кунед (камтар эҳтимол дорад)
Баҳри зуд: Сайти худро дар transparencyreport.google.com санҷед. Агар тозаги бошад, бехарос кардани CMS ва ҳамаи плагинҳоро бепоэнадо.
Рӯйхати SEO амалии Амният
- [ ] Шаҳодатномаи SSL дуруст бо авто-навсозӣ
- [ ] HTTP → HTTPS-ро дар ҳамаи саҳифаҳо гузаред (301, на 302)
- [ ] Сарпӯши HSTS бо max-age >= 31536000
- [ ] Сарпӯши Сиёсати Амнияти М內容
- [ ] X-Content-Type-Options: nosniff
- [ ] X-Frame-Options: DENY ё SAMEORIGIN
- [ ] Referrer-Policy: strict-origin-when-cross-origin
- [ ] Permissions-Policy, ки хусусиятҳоро хомӯш мекунад
- [ ] Мунтахаби м內容 нест (қайдоӣ HTTP захираҳо дар саҳифаҳои HTTPS)
- [ ] Файлҳои ҳассос на аз нав технологӣ сӯхта мешаванд (.env, .git, конфигӯҳо)
- [ ] Сервер версияро бардошт ё умумӣ
- [ ] Ҳамаи барнома/плагинҳо навсозишударо
- [ ] Мавзӯи Google Safe Browsing: тоза
- [ ] Скриптҳои сеюм аудит карда шудаанд ва коҳиш дода шудааст
- [ ] SRI хастҳои дар скриптҳои муҳимми шенота.
Хатогиҳои умумии амният (аз рӯи таъсири SEO)
- Шаҳодатномаи SSL ба охир расида — Фаврии кунҷи рейтинг + ҳушдории браузер
- Мунтахаби м內容 — Довехориз то намод, муҳри қисмии беназир нобуд кардааст
- HSTS нест — Пояи панҷгаш, сигналеро, ки такя нест, нест карда
- CSP нест — Ҳар скрипт иҷозат медиҳем, ки ниҳоят иҷро шавад (XSS)
- Файлҳои ҳассос нест —
.envбо калидҳои API,.gitбо манбаъ - Шаблонҳои CMS/плагинҳо ҳастанд — Эҳтимолан хатарнок, бо коритон
- Сарпоши амният нест — Сигнал медиҳад, ки шумо амниятро не аянда наметавонед
- Скриптҳои сеюм, ки хато вақт баланд — Сулҳҳои амният, ки шумо наметавонед контрол кунед.
Чӣ бо манзили ҳисоботи абеда?
Қадами 8: Намояи AI — Технологияи чопирон дар SEO дар соли 2026. Чӣ тавр барои Google AI Overview, иқрори ChatGPT, истинодҳои Perplexity ва Gemini оптимизатсион кардан — канали кашф машҳур, ки дар он рақибон ҳатто тамом накардаанд.
*Дастури мазкур як қисми силсилаи 13 қадамии LANGR мебошад. Зудия кардан нагаред, ки вебсайт чӣ гуна аст дар ҳамаи 13 фан. بارування)