Skip to main content
Back to blog

SEO رہنما اقدام 7: سیکیورٹی — بنیادی لائن جو گوگل 2026 میں توقع کرتا ہے

·15 min read·by LANGR SEO

SEO رہنما اقدام 7: سیکیورٹی

یہ 13 مرحلوں کی SEO رہنما کا اقدام 7 ہے۔ سیکیورٹی صرف صارفین کا تحفظ کرنے کے بارے میں نہیں ہے — یہ آپ کی سرچ رینکنگ پر براہ راست اثر انداز ہوتی ہے۔ گوگل نے 2014 سے HTTPS کو رینکنگ سگنل کے طور پر استعمال کیا ہے، اور توقعات صرف بڑھ گئی ہیں۔

زیادہ تر سائٹ کے مالکان سیکیورٹی کو دو طرفہ سمجھتے ہیں: "ہمارے پاس SSL ہے، لہذا ہم محفوظ ہیں۔" حقیقت میں، گوگل درجنوں سیکیورٹی سگنلز کا معائنہ کرتا ہے۔ ایسے سائٹس جن میں صحیح سیکیورٹی ہیڈرز، درست سرٹیفکیٹ اور کوئی ملا جلا مواد نہیں ہوتا، وہ صرف بنیادی SSL سرٹیفکیٹ رکھنے والی سائٹس سے زیادہ رینک حاصل کرتے ہیں — تمام دیگر چیزیں برابر ہونے کی صورت میں۔

اچھی خبر: زیادہ تر سیکیورٹی کی اصلاحات ایک بار کی کنفیگریشن ہیں۔ انہیں ایک بار سیٹ کریں، اور یہ مستقل آپ کی رینکنگ کی حفاظت کرتی ہیں۔

SSL کنفیگریشن

SSL (تکنیکی لحاظ سے TLS) آپ کے سرور اور وزیٹرز کے درمیان کنکشن کو خفیہ کرتا ہے۔ 2014 سے، گوگل نے HTTPS کو ایک رینکنگ سگنل کے طور پر واضح طور پر تسلیم کیا ہے۔ 2026 میں، HTTPS کا نہ ہونا صرف ایک رینکنگ مسئلہ نہیں ہے — کروم HTTP سائٹس کو ایڈریس بار میں "غیر محفوظ" کے طور پر نشان زد کرتا ہے، جس سے صارف کا اعتماد ختم ہوتا ہے۔

صحیح SSL کے لیے ضرورتیں:

| ضرورت | وجہ | چیک کرنے کا طریقہ | |-------|-----|-------------------| | درست سرٹیفکیٹ | ختم ہوا = براؤزر کا انتباہ = چھوڑے گئے صارفین | ختم ہونے کی تاریخ چیک کریں | | پورا چین | نامکمل زنجیریں بعض آلات پر ناکام ہوتی ہیں | SSL Labs ٹیسٹ | | TLS 1.2+ | پرانے ورژن میں معروف کمزوریاں ہیں | SSL Labs ٹیسٹ | | کوئی SHA-1 نہیں | Deprecated، براؤزر اسے مسترد کرتے ہیں | سرٹیفکیٹ کی تفصیلات | | SAN کوریج | www اور non-www دونوں کو شامل کیا جانا چاہیے | سرٹیفکیٹ کی تفصیلات | | خودکار تجدید | ختم ہونے کے سانحات سے بچاتا ہے | Let's Encrypt / فراہم کنندہ کی کنفیگریشن |

SSL اسکورنگ:

100% = درست سرٹیفکیٹ + مکمل زنجیر + TLS 1.3 + مضبوط سائفر + خودکار تجدید
  0% = ختم شدہ یا غائب سرٹیفکیٹ

عام SSL غلطیاں:

  1. سرٹیفکیٹ بغیر اطلاع کے ختم ہونا — کم از کم 30 دن قبل مانیٹرنگ (اقدام 6) سیٹ کریں
  2. نامکمل سرٹیفکیٹ چین — سرور کو درمیانی سرٹیفکیٹ بھیجنا چاہیے، صرف پتے نہیں
  3. مکسڈ مواد — HTTPS صفحہ HTTP وسائل (تصاویر، اسکرپٹس، طرزیں) لوڈ کرتا ہے
  4. ری ڈائریکٹ لوپس — HTTP → HTTPS → HTTP کے چکر غلط تشکیل دیے ہوئے CDN/proxy کی وجہ سے
  5. غیر-www بمقابلہ www عدم مطابقت — سرٹیفکیٹ ایک کو تو ڈھانپتا ہے، لیکن دوسرے کو نہیں

جلدی جیت: اپنے ڈومین کو SSL Labs (ssllabs.com/ssltest) پر چلائیں۔ "A" کی درجہ بندی سے نیچے کوئی چیز عمل درآمد کے قابل مسائل ہے۔ زیادہ تر ہوسٹنگ فراہم کنندے ایک کلک کے ساتھ ان کو حل کرتے ہیں۔

سیکیورٹی ہیڈرز

سیکیورٹی ہیڈرز HTTP جواب کے سرخوشی ہیں جو براؤزرز کو ہدایت دیتے ہیں کہ آپ کی سائٹ لوڈ کرتے وقت کیسے برتاؤ کریں۔ یہ پوری قسم کے حملوں کو روک دیتے ہیں — اور گوگل کے کرالر ان کی جانچ کرتے ہیں۔

اہم سیکیورٹی ہیڈرز:

مواد کی سیکیورٹی پالیسی (CSP)

CSP سب سے طاقتور سیکیورٹی ہیڈر ہے۔ یہ براؤزرز کو بتاتا ہے کہ آپ کے صفحات پر کون سے وسائل (اسکرپٹس، طرزیں، تصاویر، خطوط) لوڈ کرنے کی اجازت ہے۔

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

CSP کیا روکتا ہے:

  • کراس سائٹ اسکرپٹنگ (XSS) حملے
  • ڈیٹا کی شمولیت کے حملے
  • کلک جیکنگ (شکل کے frame-ancestors کے ذریعے)
  • غیر مجاز اسکرپٹ کی عملداری (کریپٹومائنرز، اشتہاری شامل کرنے والے)

CSP نفاذ کی حکمت عملی:

  1. Content-Security-Policy-Report-Only کے ساتھ شروع کریں (بغیر روکنے کے خلاف ورزیوں کا لاگنگ)
  2. 1-2 ہفتوں کے لیے رپورٹوں کی نگرانی کریں
  3. جائز ذرائع کو وائٹ لسٹ کریں
  4. نافذ کرنے کے موڈ میں سوئچ کریں
  5. جاری خلاف ورزی کی لاگنگ کے لیے report-uri یا report-to شامل کریں

X-Frame-Options

آپ کی سائٹ کو دوسرے ڈومینز پر iframes میں ایمبیڈ ہونے سے روکتا ہے (کلک جیکنگ کی حفاظت)۔

X-Frame-Options: DENY

یا اگر آپ کو ایک ہی ماخذ فریم کی اجازت دینے کی ضرورت ہو:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

براؤزرز کو MIME قسم کو چھیڑنے سے روکتا ہے (فائلز کو ان کی معین قسم سے مختلف قسم کے طور پر تشریح کرنا)۔

X-Content-Type-Options: nosniff

یہ ایک لائن کا اسکرپٹ ایسے حملوں کو روکتا ہے جہاں ایک .jpg فائل میں پوشیدہ جاوا اسکرپٹ ہو جو براؤزر چلا سکتا ہے۔

حوالہ پالیسی

کنٹرول کرتا ہے کہ کتنی حوالہ معلومات بھیجی جا رہی ہے جب صارفین آپ کی سائٹ سے لنک پر کلک کرتے ہیں۔

Referrer-Policy: strict-origin-when-cross-origin

یہ اسی ماخذ کی درخواستوں کے لیے مکمل URL بھیجتا ہے لیکن کراس ماخذ کی درخواستوں کے لیے صرف ماخذ (ڈومین) بھیجتا ہے۔ تجزیاتی ضروریات کو رازداری کے ساتھ متوازن کرتا ہے۔

اجازت پالیسی

کنٹرول کرتا ہے کہ آپ کی سائٹ پر کون سے براؤزر کی خصوصیات (کیمرہ، مائکروفون، جغرافیائی معلومات وغیرہ) استعمال کی جاسکتی ہیں۔

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

آپ کی استعمال نہ ہونے والی خصوصیات کو غیر فعال کرنے سے تیسرے فریق کے اسکرپٹس کے غلط استعمال کو روکتا ہے۔

ہیڈر عمل درآمد کی مثال (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

ہیڈر عمل درآمد (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

ہیڈر عمل درآمد (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

جلدی جیت: اوپر دیے گئے تمام 5 ہیڈرز کو اپنی سرور کنفیگریشن میں شامل کریں۔ یہ 5 منٹ لیتا ہے اور کسی بھی اسکین ٹول میں فوری طور پر آپ کی سیکیورٹی کی حالت کو بہتر بناتا ہے۔

HSTS پری لوڈ

HTTP Strict Transport Security (HSTS) براؤزرز کو بتاتا ہے کہ ہمیشہ اپنے ڈومین کے لیے HTTPS استعمال کریں — یہاں تک کہ پہلے درخواست سے پہلے بھی۔ HSTS کے بغیر، آپ کی سائٹ پر پہلا دورہ ممکنہ طور پر HTTP استعمال کر سکتا ہے (جو انٹرسیپٹ ہونے کے لیے خطرہ ہے) قبل اس کے کہ HTTPS کی طرف ری ڈائریکٹ ہو۔

HSTS ہیڈر:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

تین ہدایت:

| ہدایت | معنی | |-------|------| | max-age=31536000 | اسے 1 سال کے لیے (سیکنڈز میں) یاد رکھیں | | includeSubDomains | اسے تمام ذیلی ڈومینز پر بھی لاگو کریں | | preload | براؤزر کی پری لوڈ فہرستوں میں شمولیت کی درخواست کریں |

HSTS پری لوڈ فہرست:

نسبتاً HSTS کی حفاظت۔ براؤزرز کے پاس ایک بلٹ ان فہرست ہوتی ہے جس میں ایسے ڈومین شامل ہیں جو ہمیشہ HTTPS استعمال کرنا ضروری ہیں۔ اپنے ڈومین کو hstspreload.org پر جمع کروانا کا مطلب ہے:

  • پہلی بار وزیٹر کو فوری طور پر HTTPS ملتا ہے (کوئی HTTP → HTTPS ری ڈائریکٹ نہیں)
  • حملہ آوروں کے لیے کنکشنز کو کمزور کرنا ناممکن
  • مستقل (ایک بار جمع کروانے کے بعد ہٹانا مشکل)

HSTS پری لوڈ کے لیے تقاضے:

  1. درست HTTPS سرٹیفکیٹ
  2. تمام HTTP کو HTTPS کی طرف ری ڈائریکٹ کریں (ذیلی ڈومینز سمیت)
  3. HSTS ہیڈر کے ساتھ max-age >= 31536000
  4. HSTS ہیڈر میں includeSubDomains شامل ہو
  5. HSTS ہیڈر میں preload شامل ہو
  6. تمام ذیلی ڈومینز کو HTTPS کی حمایت کرنا چاہیے

تنبیہ: صرف اس وقت پری لوڈ میں جمع کروائیں جب آپ کے تمام ذیلی ڈومینز HTTPS کی حمایت کرتے ہوں۔ includeSubDomains کا نقطہ نظر کا مطلب ہے کہ کوئی بھی صرف HTTP ذیلی ڈومین ناقابل رسائی ہو جائے گا۔

جلدی جیت: اگر آپ کے پاس پہلے سے ہی تمام ذیلی ڈومینز پر HTTPS ہے تو مکمل HSTS ہیڈر شامل کریں اور hstspreload.org پر اسے جمع کروائیں۔ پروسیسنگ میں چند ہفتے لگتے ہیں لیکن حفاظت مستقل ہوتی ہے۔

کمزوری اسکیننگ

خودکار کمزوری اسکیننگ آپ کے اسٹیک میں معروف سیکیورٹی مسائل کی نشاندہی کرتی ہے قبل اس کے کہ حملہ آور ان کا فائدہ اٹھائیں۔

کمزوری اسکیننگ کیا جانچتی ہے:

  • پرانا سافٹ ویئر: WordPress، پلگ ان، جاوا اسکرپٹ لائبریریاں جن میں معروف CVEs ہیں
  • ننگے فائلیں: .env، .git، wp-config.php، ڈیٹا بیس کے ڈمپ
  • معلومات کی لیکیج: سرور کے ورژن کے ہیڈرز، ڈیبگ موڈ، اسٹیک ٹریس
  • ڈفالٹ اسناد: بغیر تصدیق کے ایڈمن صفحات، ڈفالٹ پاس ورڈز
  • کھلے پورٹس/سروسز: انٹرنیٹ پر ناپسندیدہ سروسز
  • انجکشن پوائنٹس: بغیر CSRF تحفظ کے فارم، غیر تصدیق شدہ ان پٹ

پلیٹ فارم کے لحاظ سے عام کمزوریاں:

| پلیٹ فارم | اعلیٰ کمزوری | اصلاح | |-----------|--------------|-------| | WordPress | پرانے پلگ ان | خودکار تجدید + WAF | | Shopify | تیسرے فریق ایپ کی اجازتیں | ایپ کی فہرست کا جائزہ ہر سہ ماہی | | Next.js | کھلی API راہیں | تصدیق میڈل ویئر + شرح کی حد | | سٹیٹک سائٹس | CDN کی غلط تشکیل | کیش کے قواعد کا جائزہ | | حسب ضرورت | SQL انجیکشن | پیرا میٹرائزڈ کوئریز |

اسکیننگ کی تعدد:

  • روزانہ: خودکار سطحی اسکین (SSL، ہیڈرز، ننگے فائلیں)
  • ہفتہ وار: انحصار کی کمزوری کی جانچ (npm audit، WordPress پلگ ان سکینر)
  • ماہانہ: مستند ٹیسٹنگ کے ساتھ گہرا اسکین
  • ہر ڈپلائے کے بعد: ریگریشن چیک

جلدی جیت: npm audit (Node.js) چلائیں یا اپنے CMS پلگ ان کی فہرست چیک کریں کہ آیا کوئی پرانا جزو موجود ہے۔ فوری طور پر اہم/ہائی شدت کے مسائل کو حل کریں۔

مکسڈ مواد

مکسڈ مواد اس وقت ہوتا ہے جب ایک HTTPS صفحہ وسائل (تصاویر، اسکرپٹس، طرزیں، iframes) HTTP کے ذریعے لوڈ کرتا ہے۔ یہ جزوی طور پر خفیہ کاری کو توڑتا ہے اور براؤزر کی تنبیہات کو متحرک کرتا ہے۔

مکسڈ مواد کی اقسام:

| قسم | شدت | مثال | براؤزر کا رویہ | |-----|------|-------|----------------| | سرگرم | زیادہ | HTTP اسکرپٹ، iframe، CSS | بطور default روکی جاتی ہے | | غیر سرگرم | درمیانی | HTTP تصویر، ویڈیو، آڈیو | انتباہ کے ساتھ لوڈ ہوتی ہے |

سرگرم مکسڈ مواد کو جدید براؤزرز بلاک کرتے ہیں — جس کا مطلب ہے کہ آپ کے اسکرپٹس اور طرزیں لوڈ نہیں ہوں گی۔ غیر سرگرم مکسڈ مواد لوڈ ہوتا ہے لیکن سیکیورٹی کی انتباہات ظاہر کرتا ہے۔

مکسڈ مواد تلاش کرنا:

  1. کروم ڈیو ٹولز کھولیں → کنسول
  2. "مکسڈ مواد" کی انتباہات کے لیے دیکھیں
  3. متبادل طور پر، ایک کرالر کے ساتھ اسکین کریں (Screaming Frog, LANGR)

مکسڈ مواد کے عام ذرائع:

  • مواد میں سخت کوڈ http:// URLs (بلاگ پوسٹس، مصنوعات کی تفصیل)
  • تیسرے فریق ویجٹس جو HTTP وسائل لوڈ کرتے ہیں
  • ایمبیڈڈ مواد (یوٹیوب کے پرانے ایمبیڈز، سوشل میڈیا ویجٹس)
  • CSS background-image کے ساتھ HTTP URLs
  • HTTP کے ذریعے لوڈ کی جانے والی فونٹس

مکسڈ مواد کی اصلاح:

<!-- بُرا -->
<img src="http://example.com/image.jpg" />

<!-- اچھا -->
<img src="https://example.com/image.jpg" />

<!-- بہترین (پروٹوکول ریلیٹو، صفحہ کے پروٹوکول کے مطابق ڈھال لیتا ہے) -->
<img src="//example.com/image.jpg" />

ڈیٹا بیس کی اصلاح (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

جلدی جیت: اپنے ہوم پیج کو کروم میں کھولیں، F12 دبائیں، کنسول ٹیب میں مکسڈ مواد کی انتباہات چیک کریں۔ جو بھی ظاہر ہوتا ہے اسے ٹھیک کریں — یہ براہ راست گوگل کو نظر آتا ہے۔

تیسری پارٹی کے اسکرپٹ کے خطرات

ہر خارجی اسکرپٹ جو آپ لوڈ کرتے ہیں ایک ممکنہ سیکیورٹی (اور کارکردگی) خطرہ ہے۔ تیسری پارٹی کے اسکرپٹس کر سکتے ہیں:

  • سمجھوتہ کرنا (سپلائی چین کے حملے)
  • آپ کے صارفین کو بغیر اجازت کے ٹریک کرنا (GDPR کی خلاف ورزی)
  • آپ کی سائٹ کو سست کرنا (ریندر-بلاکنگ، نیٹ ورک کی تاخیر)
  • فعالیت کو توڑنا (نسخہ کی تازہ کاری، آؤٹ ایجز)
  • ناپسندیدہ مواد داخل کرنا (اشہار کے اسکرپٹس خراب)

اپنی تیسری پارٹی کے اسکرپٹس کا آڈٹ کریں:

| اسکرپٹ | ضروری؟ | خطرے کی سطح | متبادل | |---------|-------|-------------|---------| | گوگل اینالیٹکس | اکثر جی ہاں | کم | سرور سائیڈ ٹریکننگ | | چیٹ ویجٹس | شاید | درمیانہ | خود میزبان حل | | سوشل شیئر بٹن | شاذ و نادر | درمیانہ | جامد شیئر لنکس | | A/B ٹیسٹنگ | کبھی کبھی | زیادہ | سرور سائیڈ ٹیسٹنگ | | ری ٹارگٹنگ پکسلز | کاروباری فیصلہ | زیادہ | پہلا فریق ڈیٹا | | فونٹ CDNs | سہولت | کم | خود میزبان فونٹس |

اہم تیسری پارٹی کے اسکرپٹس کے لیے خطرے کا تخفیف:

  1. ذیلی وسائل کی درستگی (SRI): ہیش کی تصدیق خراب اسکرپٹس کے لوڈ ہونے کو روکتی ہے
<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>
  1. CSP کی پابندیاں: صرف جانے پہچانے ڈومین سے اسکرپٹس کی اجازت دیں
  2. سینڈ باکسڈ iframes: تیسری پارٹی کے ویجٹس کو الگ رکھیں
  3. باقاعدہ آڈٹس: تمام خارجی وسائل کا سہ ماہی جائزہ
  4. نگرانی: آپ کی صفحات میں نئے خارجی ڈومینز کے سامنے آنے پر متنبہ کریں

جلدی جیت: اپنے HTML میں ہر