Skip to main content
Back to blog

SEO Gollanmasy 7: Howpsuzlyk — Google'nin 2026-da Gözleýän Esasy Dereje

·12 min read·by LANGR SEO

SEO Gollanmasy 7: Howpsuzlyk

Bu 13 ädimli SEO gollanmasynyň 7-nji ädimidir. Howpsuzlyk diňe bir ulanyjylaryň goragyny berjaý etmek bilen çäklenmeýär — bu axtarış netijeleriňize göni täsir edýär. Google 2014-nji ýyldan bäri HTTPS-i axtarış сигналы hökmünde ulanyp gelýär we garaşmalar diňe artýar.

Eger bolsa, köp sahypa eýeleri howpsuzlygy binary görnüşde düşünýärler: "Bizde SSL bar, şonuň üçin biz howpsuz." Aslynda, Google onlarça howpsuzlyk islegini bahalandyrýar. Degişli howpsuzlyk başlyklary, geçerli şahadatnamalary we kesişmiş mazmuny bolmadyk sahypalar diňe bir esasy SSL şahadatnamasy bolan sahypalardan has ýokary derejededir — beýleki ähli şertler deň bolsa.

Goşulan maglumat: köp howpsuzlyk düzedişleri bir gezeklik konfigurasiýalarydyr. Olary bir gezek düzüň we olar hiç wagt ranklaryňyzy gorar.

SSL Konfigurasiýasy

SSL (tehniki taýdan TLS) serveriňiz bilen ziyaretçileriň arasynda baglanyşygy şiferleýär. 2014-nji ýyldan Google HTTPS-i axtarış islegi hökmünde resmi taýdan tassyk etdi. 2026-njy ýylda HTTPS-iziň bolmazlygy diňe axtarış meselesi däl — Chrome HTTP sahypalarynyň adres çubuğynda "Howpsuz däl" diýen işareti görkezýär, ulanyjylaryň ynamyny ýok edýär.

Düzgünler üçin dogry SSL:

| Düzgün | Neden | Nhowa Barlaň | |-------------|-----|--------------| | Geçerli şahadatnama | Howpsuzlygyna Watan | Çişik wagtyny barlaň | | Dolyk beýleki | Aýgytly görnüşler käbir enjamlar boýunça başarjaňlyk görkezijisi | SSL Laboratoriýasy täsiri | | TLS 1.2+ | Eskiler bilen tanyş zaýalanmalar öňüni alýar | SSL Laboratoriýasy täsiri | | SHA-1 ýok | Beslenen, brauzerler ony ret edip biler | Şahadatnama maglumatlary | | SAN goragly | www we www däl ikisi-de gurugy bolmalydyr | Şahadatnama maglumatlary | | Awtomatik täzelenme | Çişik erbetliklerini öňüni alýar | Let's Encrypt / üpjün ediji konfigurasiýasy |

SSL baha berişi:

100% = Geçerli şahadatnama + Dolyk beýleki + TLS 1.3 + Gürrüňleşme + Awtomatik täzelenme
  0% = Çişen ýa-da ýok şahadatnama

Giň ýa-da düýpli SSL näsazlyklary:

  1. Şahadatnama hiç-hili habar bermekden geçip gidýär — Çişik wagtyndan iň az 30 gün öň gözegçilik meýilnamasyny döredin (Ädim 6)
  2. Nokatda gysga şahadatnama halkasy — Serwer döwri ýurt çapyr namasyndaky şahadatnamalary, diňe ýer gözleýän sahypany çykarmaz
  3. Kesişmiş mazmun — HTTPS sahypasy HTTP çeşmelerini (şekilleri, skriptleri, stil sahypalaryny) ýüklýär
  4. Redirect aýlanyşyklary — HTTP → HTTPS → HTTP aýlanyşlary düşündiriji CDN/ýardamçy sebäpli döredilýär
  5. Non-www we www arasyndaky ähli pozisiýalar — Bir şahadatnama biri bilen, ikinji biri bilen korrektirlenmeýär

Alaý özge hökmünde: Domeniňizi SSL Laboratoriýasyndaky (ssllabs.com/ssltest) geçirin. "A" bahasyndan aşakdaky zatlar işlemek üçin raadym edýär. Köp hosting üpjün edijileri şolary bir basyş bilen düzedýärler.

Howpsuzlyk Başlyklary

Howpsuzlyk başlyklary brauzerleri sahypaňyzy ýüklemegiň ýoly boýunça görkezmek üçin HTTP jogap başlyklarydyr. Olar ähli kategoriyalara garşy hüjümleri berjaý edýär — we Google tarapyndan gözlenýär.

Esasy howpsuzlyk başlyklary:

Mazmun Howpsuzlyk Ýörelgesi (CSP)

CSP iň güýçli howpsuzlyk başlygydyr. Bu başlyk brauzerlere sahypaňyzda haýsyz çeşmeleriň (skript, stil, şekil, fonte) ýüklenerini kesgitleýär.

Mazmun Howpsuzlyk Ýörelgesi: default-src 'özüň'; script-src 'özüň' https://cdn.example.com; style-src 'özüň' 'howpsuz-isleýän'; img-src 'özüň' data: https:; font-src 'özüň' https://fonts.gstatic.com; connect-src 'özüň' https://api.example.com; frame-ancestors 'hiç hili';

CSP näme tarapyndan öňüni alýar:

  • Kesişler arasyndaky skript (XSS) hüjümleri
  • Maglumat goşma hüjümleri
  • Clickjacking ( 'frame-ancestors' arkaly)
  • Ýetimsiz skripti ýerine ýetirme (kryptominerler, reklam goşujylar)

CSP ýerleşdirmek strategisi:

  1. Mazmun Howpsuzlyk Ýörelgesi-Hasaplar ýalnız bilen başlaň (gynandyryşlary arkaýyn çäklemzikde ýazýar)
  2. Şahsy weýrançylary yzarlamak 1-2 hepde
  3. Dogry çeşmeleri ak saklaň
  4. Ýerlemek ýagdaýyna geçiň
  5. Yzarlamak üçin report-uri ýa-da report-to goşuň

X-Frame-Options

Sahypaňyzy başga domenlerde iframe içine girgizmekden öňüni alýar (clickjacking gorag).

X-Frame-Options: DENY

Eger bir origin garaşanda goýbermelisiňiz:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

Brauzerleriň MIME görnüşini süzgüçlemegi öňüni alýar (fayllary beýan edilenden başga görnüşde düşündirip biler).

X-Content-Type-Options: nosniff

Bu bir setir zäretiler bilen ýerine ýetirýän ýeri alada etmeýär, haýsy .jpg faýlynda gizlin JavaScript bolup bilýär.

Referrer-Policy

Ulanyjylaryň sahypaňyzdan baglanyşygy basyp geçende berilýän referrer maglumatlarynyň näderejede bolmalydygyna gözegçilik eder.

Referrer-Policy: howpsuz-orijin-öldür-öldür wagtynda

Bu, öz ara ýerini haýsy URL üçin doly URL-i berýär, ýöne diňe başlangyç (domain) üçin kesişýän talaplary berýär. Analitik ýagdaýlar bilen gizlinlik talaplaryny deňleşdirýär.

Mümkinlikler-Politikasy

Brauzer aýratynlyklary (kamra, mikrofon, ýer bilen baglanyşyk, ş.m.) sahypaňyz üstünde işlemeli.

Mümkinlikler-Politikasy: kamra=(), mikrofon=(), ýer bilen baglanyşyk=(), töleg=()

Ulanylmadyk aýratynlyklary öçürmek, üçünji tarap skriptleriniň olardan peýdalanmagyny öňüni alýar.

Başlyk amala aşyrmak mysaly (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'howpsuz-orijin-öldür-öldür wagtynda' },
        { key: 'Mümkinlikler-Politikasy', value: 'kamra=(), mikrofon=(), ýer bilen baglanyşyk=()' },
        { key: 'Gaty-Gowy-Göçürilme-Howpsuzlygy', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

Başlyk amala aşyrmak (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "howpsuz-orijin-öldür-öldür wagtynda"
Header always set Mümkinlikler-Politikasy "kamra=(), mikrofon=(), ýer bilen baglanyşyk=()"
Header always set Gaty-Gowy-Göçürilme-Howpsuzlygy "max-age=31536000; includeSubDomains; preload"

Başlyk amala aşyrmak (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "howpsuz-orijin-öldür-öldür wagtynda" always;
add_header Mümkinlikler-Politikasy "kamra=(), mikrofon=(), ýer bilen baglanyşyk=()" always;
add_header Gaty-Gowy-Göçürilme-Howpsuzlygy "max-age=31536000; includeSubDomains; preload" always;

Alaý özge hökmünde: 5 sany başlygy server konfigurasiýaňyza goşuň. Bu 5 minut alýar we hiç bir gaty taktika waýkylan betakyk ýagdaýda gözleg arkaly islege üpjün edýär.

HSTS Ön Ýükleme

HTTP Howpsuz Göçürilme Howpsuzlygy (HSTS) brauzerlere doly HTTPS denemek üçin sahypalaryňyzy dolandyrmak üçin diýilinýär — ilkinji talapdan öňem. HSTS bolmasa, sahypaňyza ilkinji sapar HTTP-de utlarmak mümkinçiligi bar (aragatnaşyk girmegi huni bolup galýar) öňki HTTPS-y göçürmäge geçýärler.

HSTS başlygy:

Gaty-Gowy-Göçürilme-Howpsuzlygy: max-age=31536000; includeSubDomains; preload

Üç görkezme:

| Gorky | Manasy | |-----------|---------| | max-age=31536000 | Bunu 1 ýyl ýadyňda sakla (sekund bilen) | | includeSubDomains | Hemmelerde hem işleli gyzyklanmalary | | preload | Brauzer ön ýükleme sanawlaryna goşulmagy talap et |

HSTS Ön Ýükleme sanawy:

HSTS goragynyň iň soňky däldigidir. Brauzerler HTTPS-de işleýişi talap edýän domenleri doly düzülen sanaw bilen üpjün edýär. Domeniňizi hstspreload.org gurama görkezmek:

  • Ilkinji wagtda gelen ýaşaýjylar HTTPS-ni derrew alýarlar (HTTP → HTTPS redirect ýok)
  • Wejibdir, zaýalanmalar bilen baglanyşykda bolýar
  • Hemişelik (bir gezek ýerlenenden bir ýeňillik almak kyn)

HSTS öndergisi üçin talaplar:

  1. Geçerli HTTPS şahadatnamasy
  2. Hemma HTTP-lary HTTPS-e göçürmek (şeýle hem çacynlar)
  3. HSTS başlygy bilen max-age >= 31536000
  4. HSTS başlygy includeSubDomains bilen bolup biler
  5. HSTS başlygy preload bilen bolup biler
  6. Hemme çacynlar HTTPS-y goldamalydyr

Duşary: Ykjam HTTPS-y goldan bolsaňyz, doly HSTS başlygyny goşuň we hstspreload.org-e ýüz tutuň. İşleme edýän wagty birneme aý alýar, ýöne gorag hemişelikdir.

Petlenmeleri Gözden Geçirmek

Automaýa petlenmeleri gözden geçirmek, weşegiň özüňizden ýaggy bilen saklamak üçin döredilen howpsuzlyk meselelerini kesgitleýär.

Petlenmeleri gözden geçirmek näme:

  • Gysga programmaly: WordPress, plugins, maglumat gözlemeleri bilen tanalýan CVEller
  • Eşitlenen faýllar: .env, .git, wp-config.php, maglumat goşma
  • Maglumat derbasalygy: Serwere berjaý edilen boýunça meýilnamalar, aýrilma meýilnamasy, deňeme zigzaglary
  • Başgaryş berjaý etmeler: Administratori sahypasyna auth ýok, alama parol
  • Açyk portlar/ hyzmatlar: Zerur hyzmatlar internetde açyk
  • Goşmaça ýerde: CSRF goraglary bolmadyk görnüşleriniň arzy berjaý edilişi

Platforma boýunça umumy howpsuzlyk:

| Platforma | Iň esasy petlenme | Düzediş | |----------|-------------------|-----| | WordPress | Gysga pluginler | Awtomatik täzeleniş + WAF | | Shopify | Üçünji tarap programmalarynyň mümkinçilikleri | Tamsyz döwrebaplygyň her çaknyşlar | | Next.js | Araga API ýol berýär | Auth middleware + meýilnama çäklendirme | | Statik sahypalar | CDN gurluşyk düzgüniniň ýalgyzlygy | Cache düzgünlerini gözden geçiriň | | Özwüşgüç | SQL goşma | Parametrleşdirilen soraglar |

Gözden geçirme üznüksüzligi:

  • Günde: Awtomaýa düzme gözden geçirmek (SSL, başlyklar, weşelere)
  • Hepdelik: Gözden geçirilýän ýeňillik barlagy (npm audit, WordPress plugin skaneri)
  • Aýda: Awtomaýa,Labýra barlagy bilen gürrüňleşme
  • Her dumpdan soňky: Ešregel bölümleriniň gözden geçirilmegi

Alaý özge hökmünde: npm audit (Node.js) ýa-da CMS pluginleriňiz kategoriýalardaky öňki öňküleri gözden geçiriň. Gysga jaýdaky meselelere degip geçiň.

Kesişmiş Mazmun

Kesişmiş mazmun HTTPS sahypasy HTTP-den çeşmeleri (şekilleri, skriptleri, stil sahypalary, iframe) ýüklendigi wagty bolup geçýär. Bu ýalogy şifrleme ýetimesiniň bir hissesi we brauzer hökmünde ýaşyly duýdurmak netijledigi hökmünde ýüze çykýar.

Kesişmiş mazmun görnüşleri:

| görnüş | Şiddet | Mysal | Brauzer hereketi | |------|----------|---------|------------------| | Işjeň | ýokary | HTTP skript, iframe, CSS | Adaty taýdan ýok edilýär | | Geçişe garşy | Orta | HTTP şekil, wideo, ses | Duýdurma bilen ulanyş |

Işjeň kesişmiş mazmun wagtlaýyn brauzerlerden gaýdyş bolýar — bu demekdir, skriptleriň we stilleriňiziň diňe ýüklener. Geçişe garşy kesişmiş mazmun göçürilýär, ýöne howpsuzlygyň duýdurmalar bilen ýükleneýär.

Kesişmiş mazmuny tapmak:

  1. Chrome DevTools-a açyň → Konsol
  2. "Kesişmiş Mazmun" duýduryşlaryna göz ýetiriň
  3. Şu ýere girýän ýer scanner bilen gözden geçirin (Screaming Frog, LANGR)

Kesişmiş mazmunyň umumy çeşmeleri:

  • Mazmunda http:// URL-leri (blog posiyonalary, önümi düşündirişler)
  • Üçünji tarap widget-laryň HTTP resurslaryny çekiň
  • Eşlenýän mazmun (YouTube köne eşyalar, sosial media widget-lar)
  • CSS background-image bilen HTTP URL-lere üşünde
  • FontlarHTTP bilen ýüklendi

Kesişmiş mazmun berjaý edeni:

<!-- Erbet -->
<img src="http://example.com/image.jpg" />

<!-- Gözel -->
<img src="https://example.com/image.jpg" />

<!-- En gowy (protokol bilen baglanyşykda, sahypa protokoly bilen dolandyrylýar) -->
<img src="//example.com/image.jpg" />

Database berjaý etmek (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

Alaý özge hökmünde: Chrome-da sahypaňyzy açyň, F12 basyň, Konsol tab bazasyna kesişmiş mazmun duýduryşlary üçin barlaň. Görnüşde bolup geçende düzediň — olar Google-a göni görner.

Üçünji Tarap Skriptiň Tehlikesi

Iň az diňe bir dışardan yüklenýän skript ähtimal howpsuzlygy (we işjeňligi) kaldırar. Üçünji tarap skripti:

  • Pes gysga bolýar (belli meýilnamalar bilen)
  • Ulanyjylaryň aydyrylmaz görkezilmek (GDPR bilen ikitaplama)
  • Sahypaňyzy peseltmek (hasap-çäklendirme, aralyk wagty)
  • Funksionaly boýutmak (něýçe täze surat)
  • Islenilmeýän mazmuny goşmak (reklaň skriptleri üzüpdür)

Üçünji tarap skripti berjaý etmeleri:

| Skript | Zerur? | Tehlike derejesi | Alternatiw | |--------|-----------|------------|-------------| | Google Analytics | Köplenç görnüşde | Ýokary | Server tarapy ýüklendirmek | | Chat widget-lar | Bile bilersiňiz | Orta | Özüň baş gyrma ýurtlaýyn çözümler | | Sosial paýlaşmak düwmeleri | Töýetme | Orta | Statis paýlaşmak baglanyşyklary | | A/B synaglary | Käwagt | Ýokary | Server çyzgyleme | | Retargeting göterijileri | Biznes çözgüdi | Ýokary | Birinji tarap maglumat | | Font CDN-lar | Lodys | Ýokary | Özüňiz öz font ähli meýilnamalar |

Zarba şertleri üçin zerur däl üçlezi:

  1. Subresource Howpsuzlygy (SRI): Hash tehlikesi howpsuz skriptleriň ýüklenişini ýok edip biler
<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>
  1. CSP çäklendirmeleri: Diňe bileli skriptleri goýberip biler
  2. Sandwich edilen iframe: Üçünji tarap widgetlarynda göwnüm kem ýüklere dörediler
  3. Düýpli gözden geçirme: Her dört aýda daşary resurslaryň gözden geçirilmesi prosesi
  4. Gözegçilik: Sahypaňyzy görmäge täze dışardan domen gelýänligi baradaky maglumat gazanmaga mümkinçilik berýär

Alaý özge hökmünde: Eşikleriňiziň