Главная / Технический аудит / Безопасность

Безопасность

Отчет содержит показатели, которые влияют на безопасность и учитываются при ранжировании сайта в Яндекс и Google.

показатели, которые влияют на безопасность

При клике по ссылке "Описание" откроется блок с теоретической информацией по данному параметру, которая объясняет его значение:

теоретическая информациея по безопасности

Динамика конкретного показателя отображается на графике — его можно посмотреть, нажав на значок около нужного пункта отчета:

Динамика конкретного показателя

Наличие HTTPS

Протокол HTTPS (аббр. от англ. HyperText Transfer Protocol Secure) обеспечивает зашифрованную передачу данных между сайтом и браузером пользователя. Он необходим для обмена конфиденциальной информацией — паролями, персональными данными, банковскими реквизитами. Такие данные нужно передавать по безопасному каналу, чтобы защитить их от доступа посторонних лиц.

Протокол HTTPS обязательно должен быть на тех сайтах, которые запрашивают конфиденциальные данные пользователей: логины и пароли от аккаунтов, номера банковских карт, адреса электронной почты и т. п. В первую очередь это касается коммерческих ресурсов, социальных сетей, почтовых сервисов, сайтов с регистрацией пользователей.

Если сайт не использует HTTPS-протокол, со временем он может потерять свои позиции в поиске. Отсутствие HTTPS говорит пользователям и поисковику, что безопасность их данных находится под угрозой, а значит, отображать сайт на первых страницах выдачи и переходить на него не стоит. Кроме того, в строке браузера Google Chrome, рядом с адресом ставится отметка «Не защищено».

Дата завершения SSL

SSL-сертификат (аббр. от англ. Secure Sockets Layer) не только обеспечивает безопасную передачу данных за счет шифрования, но и подтверждает личность владельца сайта или подлинность компании.

Если срок действия SSL-сертификата закончился, то все браузеры будут показывать ошибку, которая может отпугнуть пользователей:

Отчет по безопасности сайта

В этом случае лучше удалить сертификат и перевести сайт на http, иначе через некоторое время сайт начнет терять позиции в результатах поиска.

Самоподписанный сертификат

Самоподписанный сертификат (self-signed) - можно получить бесплатно, сгенерировав прямо на веб-сервере. Однако такой сертификат не представляет ценности для поисковых систем, поскольку его данные не подтверждены специальными удостоверяющими центрами.

Неподтвержденные сертификаты не являются доверенными, поскольку могут оказаться скомпрометированными или поддельными. Они категорически не подходят для публичных сайтов, так как при их использовании будет отображаться отпугивающее пользователей предупреждение, и со временем такой сайт потеряет свои позиции вплоть до выпадения из поисковой выдачи:

Отчет по безопасности сайта

Подтверждён центром регистрации

Чтобы сертификат вызывал доверие у поисковых систем и положительно влиял на ранжирование, он должен быть выдан центром сертификации. Это организации, которые обладают правом выдачи цифровых сертификатов и производят проверку всех необходимых данных перед их выдачей. В самых простых сертификатах подтверждается только право владения доменом. Самые дорогие подтверждают существование организации, ее права на домен и вид деятельности.

Есть редирект с HTTP на HTTPS

У вас может быть куплен сертификат SSL, но если поисковые системы и пользователи по-прежнему входят на сайт по обычному протоколу HTTP без SSL, то от него нет никакой пользы. Необходимо сделать переадресацию всех страниц на https и заменить в контенте сайта все ссылки с http на https. Только после этого SSL начнёт функционировать правильно и учитываться поисковыми системами.

В URL присутствует порт :443

При неправильной настройке сервера, после имени домена в URL может появиться номер порта :443. Браузеры и поисковые системы обычно прячут этот порт в адресной строке и не показывают пользователям, но его присутствие говорит о недоработке.

IP занесён в черные списки RBL/DNSB

RBL/DNSBL — списки IP-адресов, которые обычно используются для борьбы со спамом. В них попадают после получения жалоб. Почтовый сервер обращается к DNSBL и проверяет в нём наличие IP-адреса клиента, с которого он принимает сообщение.

В чёрный список можно попасть из-за "соседей" по хостингу, которым хостинг-провайдер дал тот же IP-адрес. Он может оказаться в черном списке и после недобропорядочного использования другим лицом, так как провайдеры после ухода одного клиента передают IP-адрес следующему. Присутствие IP-адреса сайта в черном списке ухудшает его трастовые факторы, снижая доверие к нему поисковых систем. Также это ведёт к тому, что часть почтовых серверов все сообщения с домена будет отправлять в спам или даже блокировать соединение еще до приёма письма.

Страницы с тегом frame/iframe

Элемент <iframe> (от англ. inline frame — встроенный фрейм) позволяет вставлять в HTML-код ваших страниц контент с других сайтов - например, документы pdf, видео, интерактивные медиа-файлы. Они будут отображаться в заданном пространстве и существовать независимо от остальной страницы.

Вставляется элемент с помощью тега <iframe>:

<iframe src = "URL"> </iframe>

Атрибут src определяет источник встроенного документа.

Использование встроенных фреймов может создавать угрозу безопасности веб-ресурса и его пользователей, поскольку хакеры часто применяют такие элементы для встраивания своего враждебного сайта.

Вредоносный ресурс может использовать iframe для эксплуатации уязвимого сайта посредством CSRF (Сross Site Request Forgery - подделки межсайтовых запросов). Также iframe применяется злоумышленниками в «атаке UI Redress» (user interface redress attack).

Поэтому необходимо соблюдать осторожность при добавлении в iframe содержимого неизвестного сайта.