Безопасность сайта
Опубликовано:
Безопасность сайта — это не только защита от взлома, но и один из базовых факторов доверия. Поисковые системы используют автоматические сканеры для обнаружения проблем с безопасностью у сайтов, а Яндекс даже позволяет отправлять жалобы на такие сайты.
При выявлении проблемы, поисковики могут помечать ваш сайт для пользователей как небезопасный.
Google покажет пользователям поиска пометку об этом и Яндекс тоже.
Если вы добавили сайт в Google Search Console то вы получите уведомление на почту и сможете посмотреть отчёт о проблемах с безопасностью.
Яндекс тоже уведомляет о проблемах через почту, если вы добавили сайт в Вебмастер. Отчёт о проблемах в Вебмастере находится на странице "Безопасность и нарушения".
Последствия проблем с безопасностью:
- падение позиций в поиске;
- снижение CTR из-за пометки "сайт может быть опасен";
- возможное исключение из индекса.
Взлом и вредоносное ПО
Если не уделять достаточно внимания безопасности, злоумышленники смогут получить доступ к вашему сайту и внедрить вредоносное ПО или провернуть мошенническую схему.
Что такое вредоносное ПО и правила Google и как от него защититься.
В справке Яндекса тоже есть пункт о ПО и он боролся с дорвеями.
Дабы избежать противоправных действий со стороны злоумышленников ,необходимо соблюдать базовые меры безопасности:
- регулярные обновления CMS и плагинов;
- использование сложных паролей и двухфакторной аутентификации;
- ограничение доступа к административной панели;
- использование резервных копий;
- настройка прав доступа;
- регулярная проверка сайта на уязвимости.
Мошеннические действия
Поисковые системы старательно борются с мошенниками, использующими методы социальной инженерии, вот статья от Google, а вот статья от Яндекса.
Грубо говоря, социальная инженерия это различные способы кражи персональных данных путём обмана пользователей. Чаще всего подразумевают фишинг или криптоджекинг.
Шифрование
Поисковые системы негативно относятся к сайтам, которые не поддерживают протокол безопасной передачи данных HTTPS и технологии шифрования TLS/SSL. Шифрование стало фактором ранжирования Google ещё в 2014 году. Яндекс чуть позже.
Типы TLS/SSL сертификатов
На базовом уровне все они делают одно и то же — включают HTTPS и шифруют соединение.
| Тип сертификата | Проверка | Для кого подходит | Доверие поисковиков |
|---|---|---|---|
| DV (Domain Validation) | Только владение доменом | Блоги, небольшие сайты | Базовое |
| OV (Organization Validation) | Документы компании | Интернет-магазины, корпоративные сайты | Высокое |
| EV (Extended Validation) | Глубокая проверка юрлица | Банки, крупные финансовые системы | Максимальное |
Для поисковых систем нет разницы между типами сертификатов, главное его наличие. Для большинства сайтов достаточно бесплатного DV, а OV/EV нужны только для финансовых проектов, где важна видимая проверка организации в адресной строке браузера.
Переход на HTTPS
Инструкция о переходе на https от Google и аналогичная инструкция от Яндекс.
После перехода можно посмотреть отчёт об использовании https в Search Console.
Яндекс Вебмастер уведомит вас если сертификат просрочен или некорректен. Там же можно проверить сертификат, выданный НУЦ.
Типичные ошибки настройки TLS/SSL описаны в справке Google и в справке Яндекс.
После перехода к HTTPS стоит удостовериться, что на вашем сайте не возникло проблемы "смешанного контента".
Заголовки безопасности
HTTP Security Headers это механизмы защиты, которые позволяют серверу передавать браузеру инструкции о том, как следует обрабатывать контент, какие ресурсы разрешено загружать и какие функции безопасности должны быть активированы. Проверить настройку заголовков можно тут.
HTTP Strict-Transport-Security (HSTS)
Если сайт сначала доступен по HTTP и лишь затем перенаправляет на HTTPS, пользователь может на короткое время соединяться по незащищённому каналу. Это создаёт риск атак посредника и подмены на вредоносный сайт.
Поэтому, следующим шагом после перехода к HTTPS является использование HSTS (HTTP Strict-Transport-Security), который указывает браузеру всегда использовать только HTTPS и автоматически заменять любые HTTP-запросы на защищённые. Подробнее в MDN.
Content-Security-Policy (CSP)
Ограничивает список источников, из которых браузеру разрешено загружать скрипты, стили, изображения и другие ресурсы. Используется для защиты от межсайтового скриптинга и практически полностью блокирует возможность проведения XSS-атак. Подробнее в MDN.
X-Frame-Options
Определяет, разрешено ли отображать ваш сайт во фреймах (<iframe>, <frame>, <object>). Используется для защиты от кликджекинга. Подробнее в MDN.
X-Content-Type-Options
Отключает "MIME-sniffing", чем запрещает браузеру "угадывать" тип файла. Подробнее в MDN.
Referrer-Policy
Контролирует, какие данные о том, откуда пришел пользователь (заголовок Referer) передаются другим сайтам при переходе пользователя по ссылкам. Подробнее в MDN.
Permissions-Policy (ex. Feature-Policy)
Ограничивает доступ к возможностям браузера. Позволяет сайту явно разрешить или запретить использование определенных функций браузера (камера, микрофон, геолокация, USB). Подробнее в MDN.
Юридические моменты
Законы вроде GDPR (Европа) или ФЗ-152 (Россия) обязывают владельцев сайтов иметь Privacy Policy и Cookie Consent если сайт собирает личные данные пользователей. Поисковые системы учитывают наличие этих документов как фактор доверия (E-E-A-T).
Политика конфиденциальности (Privacy Policy)
Это публичный документ, который объясняет, как именно сайт собирает, использует, хранит и защищает их персональные данные.
Документ должен быть написан простым языком, доступным для понимания человеком без юридического образования и содержать:
- контактные данные (вашего юрлица)
- основание для сбора данных
- перечисление собираемых данных
- цель их сбора
- срок и метод хранения
- возможность передачи третьим лицам
- права пользователя
Когда наличие политики конфиденциальности обязательно
Практически всегда, если у вас есть:
- формы (регистрация, обратная связь)
- аналитика
- личный кабинет
- cookies
Согласие на использование файлов cookie (Cookie Consent)
Это механизм получения согласия пользователя на использование специальных файлов "cookies", в которых хранятся его данные. Они бывают разных видов: строго необходимые, функциональные, аналитические и маркетинговые. Только первый тип cookies можно собирать без активного согласия пользователя, но его всё же требуется уведомить о сборе.
Сбор данных запрещён, пока пользователь не дал на это согласие. Единственно верный способ получения получения согласия это всплывающее окно. Запрещено применять в его работе манипулятивные механики. Пользователь должен иметь возможность легко отозвать свое согласие в любой момент. Процесс отзыва должен быть таким же простым, как и процесс предоставления согласия.
CDN (Content Delivery Network) и WAF (Web Application Firewall)
CDN (Content Delivery Network) — это распределённая сеть серверов, которая не только ускоряет загрузку сайта, но и повышает его безопасность. За счёт проксирования трафика через CDN (например, Cloudflare или Akamai Technologies) скрывается реальный IP сервера, снижается риск прямых атак и обеспечивается базовая защита от DDoS и ботов. Многие CDN также берут на себя управление HTTPS и фильтрацию подозрительных запросов.
WAF (Web Application Firewall) дополняет CDN, анализируя HTTP-запросы и блокируя атаки на уровне приложения — такие как SQL-инъекции, XSS и попытки брутфорса. В связке CDN + WAF сайт получает базовый уровень защиты ещё до обработки запросов сервером, однако эти инструменты не заменяют безопасную разработку и регулярное обновление системы.