Cerca

In che modo la scarsa sicurezza del tuo sito Web influisce negativamente sui posizionamenti SEO

“Sicurezza del sito Web” – siamo onesti qui: quando è stata l’ultima volta che ci hai pensato seriamente? Quando è stata l’ultima volta che tu o il tuo team SEO avete trascorso due secondi sulle ultime tendenze di sicurezza dei siti Web?

Le aziende potrebbero spendere miliardi di dollari in SEO in questo momento, ma una percentuale significativa di aziende con siti Web non pensa nemmeno alla sicurezza del sito.

Perché la sicurezza Web è importante

Come imprenditore, probabilmente hai speso centinaia o addirittura migliaia di dollari nel corso degli anni in marketing e SEO, ma l’anello più debole della catena di marketing digitale è chiaramente la sicurezza del sito Web:

  • Un recente sondaggio di Google mostra che gli americani sanno meno di quanto credano sulla sicurezza del sito Web: il 55% degli americani di età superiore ai 16 anni si dà una A o B in termini di sicurezza online, ma il 70% di loro ha identificato erroneamente l’ aspetto di un sito Web sicuro .
  • Un sondaggio di Harris Poll del marzo 2019 mostra che il 97% dei Millennial partecipanti ha sbagliato almeno una delle sei domande sulla sicurezza dei siti Web .
  • Gli attacchi di ransomware (un tipo di software dannoso progettato per bloccare l’accesso a un sistema informatico fino al pagamento di una somma di denaro) sono aumentati del 195% sulle piccole e medie imprese a partire dal primo trimestre del 2019.

La triste verità è che nessuno si preoccupa davvero della sicurezza del sito Web fino a quando non affrontano una vera minaccia di attacchi di malware o ransomware. Mentre le persone hanno diversi modi facili e convenienti per rimanere al sicuro sul Web , le piccole e le grandi aziende vedono che come un costo che non vogliono pagare e un processo complesso che non vogliono imparare, quindi non lo sono disposto ad essere proattivo.

Con questa minaccia che incombe su ogni sito aziendale e di servizio, ogni giorno diventa sempre più fondamentale investire tempo e denaro nella sicurezza del sito Web. Perché se il tuo sito Web è compromesso, l’intera azienda è compromessa.

Dive Deeper:

Primo passo verso un sito Web sicuro

Le basi della sicurezza del sito Web iniziano con SSL / TLS sul tuo HTTP esistente.

  • SSL è l’ acronimo di Secure Sockets Layer e, in breve, è la tecnologia standard per mantenere sicura una connessione Internet e salvaguardare tutti i dati sensibili che vengono inviati tra due sistemi, impedendo ai criminali di leggere e modificare qualsiasi informazione trasferita, compresi i potenziali dettagli personali.
  • TLS è l’ acronimo di Transport Layer Security ed è solo una versione aggiornata e più sicura di SSL. Facciamo ancora riferimento ai nostri certificati di sicurezza come SSL perché è un termine più comunemente usato, ma quando acquisti SSL da Symantec stai effettivamente acquistando i certificati TLS più aggiornati.

SSL / TLS

Qual è la differenza tra HTTP e HTTPS? Come da SEOPressor :

  • HTTP sta per Hypertext Transfer Protocol . Al massimo, consente la comunicazione tra sistemi diversi. Viene comunemente utilizzato per trasferire dati da un server Web a un browser per consentire agli utenti di visualizzare le pagine Web. È il protocollo utilizzato praticamente per tutti i primi siti Web.
  • HTTPS è l’ acronimo di Hypertext Transfer Protocol Secure . Il problema con il normale protocollo HTTP è che le informazioni che fluiscono dal server al browser non sono crittografate, il che significa che possono essere  facilmente rubate . I protocolli HTTPS risolvono questo problema utilizzando un  certificato SSL , che aiuta a creare una connessione crittografata sicura tra il server e il browser, proteggendo in tal modo le informazioni potenzialmente sensibili dal furto quando vengono trasferite tra il server e il browser:

HTTPS vs. HTTP

Il passaggio da HTTP a HTTPS non è né complicato né richiede tempo (vedere “Come aggiungere HTTPS al tuo sito Web” di seguito). Con HTTPS , sia i server che i client possono continuare a conversare nello stesso modo, ma con la crittografia completa delle loro richieste e risposte (cioè i dati):

HTTPS

Tuttavia, non tutto è sicuro con quel livello aggiuntivo di crittografia. La certificazione SSL non garantisce la sicurezza completa. Anche i siti HTTPS affrontano la loro giusta dose di attacchi di phishing.

Questo è il motivo per cui è necessario adottare misure adeguate per mantenere il sito sicuro e non basarsi solo su HTTPS per la sicurezza completa del sito.

Dive Deeper: come progettare la UX di un sito Web o di un’app per aumentare le conversioni

HTTPS è un segnale di classifica?

Passare da HTTP a HTTPS è un semplice passo che può portare avanti la tua attività sui SERP di Google, perché Google segnala ogni sito come “non sicuro” a meno che non abbia una certificazione HTTPS.

All’inizio, HTTPS era un segnale di classifica leggero e poi, nel tempo, Google ha dato più peso a HTTPS come segnale di classifica. Ad agosto 2014, Google ha annunciato che HTTPS è un segnale di classifica:

HTTPS di Google come segnale di classifica

Oggi, HTTPS è il figlio di fiducia e sicurezza, influenzando direttamente la UX e la SEO di un sito. In effetti, a partire da luglio 2018, tutti i visitatori dei siti senza un certificato TLS ricevono una notifica “non sicura” da Google:

immagine1 1

Queste notifiche hanno portato a siti Web senza il livello SSL aggiuntivo che vedono traffico e tassi di conversione ridotti. Ora è sicuro di dire che è diventato un aspetto significativo del SEO tecnico.

Clicca qui per scaricarlo gratuitamente adesso!

Dive Deeper:

Come aggiungere HTTPS al tuo sito web

Ecco alcuni semplici passaggi che puoi seguire per passare da HTTP a HTTPS:

Acquista un certificato SSL

L’acquisto di un certificato SSL non è così difficile. Innanzitutto, verifica con la tua società di web hosting. Il tuo piano di hosting include un certificato? Se il prezzo e il tipo di certificato sono conformi alle tue esigenze, parla con loro sull’aggiunta al tuo servizio.

In alternativa, puoi cercare le autorità di certificazione. Cerca prezzi preferenziali e tipi di certificati. Successivamente, acquista e verifica il tuo certificato. I certificati SSL possono essere di vari tipi, inclusi DV, OV, EV, Multi-website e caratteri jolly.

Digicert’s CertWizard può guidarti attraverso il tipo di certificato SSL che ti serve:

Digicert's CertWizard

Verifica e installa il certificato

Una volta acquistato il certificato SSL che soddisfa i tuoi requisiti, è il momento di verificarlo. La verifica può richiedere da un paio di minuti a qualche giorno, a seconda del tipo di certificato.

Dopo aver ricevuto le informazioni dall’autorità di certificazione, scaricare i file.

Il processo di installazione dipenderà dall’origine del certificato. I servizi di web hosting in genere assumono l’installazione e semplificano i passaggi per il webmaster.

Ecco come è possibile installare il certificato acquistato al di fuori del servizio di web hosting:

  • Accedi al tuo account gestore web hosting.
  • Vai all’opzione “Installa certificato SSL”.
  • Immettere il certificato SSL, il nome del dominio che richiede SSL e la chiave (l’autorità di certificazione deve fornire la chiave e il certificato SSL).
  • Fai clic su “Installa”.

Convalida il certificato SSL

Il passaggio successivo è la convalida e, per questo, è necessario disconnettersi dal proprio gestore di hosting web e dall’interfaccia dell’editor del sito Web. Quindi, controlla la barra degli indirizzi – mostra il tag HTTPS? Oltre all’indirizzo HTTPS, dovresti vedere quanto segue:

  • Un lucchetto verde nella barra degli indirizzi
  • La tua ragione sociale (certificati EV)
  • Una barra degli indirizzi verde (certificati EV)

Barra verde lucchetto verde SSL

  • Il sigillo di sicurezza o il badge di fiducia in loco (a seconda del tipo di certificato e dell’autorità di certificazione):

badge di fiducia

Dovresti utilizzare uno strumento di controllo SSL per ogni  evenienza per garantire lo stato della sicurezza del tuo sito web.

Aggiorna i link del tuo sito web

L’installazione del certificato SSL tramite il pannello di controllo dovrebbe passare senza problemi al tuo sito HTTP su HTTPS. Oltre alle pagine del sito principale, è necessario controllare altri contenuti che hanno collegamenti al tuo sito:

  • Post e bios sui social media
  • Blog di hosting dei contenuti del tuo sito
  • Profili di marketing e vendita sul Web
  • Profili del forum online
  • Siti Web partner che portano un collegamento diretto al logo del tuo sito

Nota: tieni presente che i tuoi vecchi social media, post di blog e link incorporati potrebbero comunque indirizzare il traffico verso la versione HTTP del sito, quindi devi correggere manualmente i post precedenti fuori sede per correggere questi vecchi link.

Dive Deeper: come risolvere 15 problemi tecnici SEO in loco comuni

Aggiorna la tua Sitemap

Generare una nuova Sitemap XML non è una sfida. Puoi farlo dal tuo account Google Analytics. Controlla l’URL predefinito del tuo sito Web in “Impostazioni proprietà” sotto l’opzione “Proprietà” del tuo account amministratore.

Aggiorna http: // in https: // e salva la modifica.

Per aggiornare la Sitemap, visita Strumenti per i Webmaster:

  • Vai alla Search Console
  • Fai clic su Impostazioni: l’icona a forma di ingranaggio in alto a destra
  • Seleziona “cambio di indirizzo”

Google ti guiderà nei passaggi successivi dell’aggiornamento della Sitemap, inclusa la selezione del nuovo sito e la conferma di reindirizzamenti 301. Premi “Invia” al termine delle modifiche.

L’acquisizione e l’installazione di un certificato HTTPS è abbastanza semplice per tutti gli utenti del sito Web. I passaggi che abbiamo descritto sopra sono pertinenti a tutte le versioni di WordPress e ad alcune altre piattaforme CMS.

Se disponi di un fornitore affidabile di servizi di web hosting, dovresti parlare con loro per una rapida installazione e una migrazione senza soluzione di continuità del tuo sito da HTTP a HTTPS modificando il tuo piano di hosting.

Clicca qui per scaricarlo gratuitamente adesso!

Cosa c’è oltre HTTPS nel regno della sicurezza informatica?

Sebbene HTTPS sia essenziale, non è tutto ciò che è necessario per la sicurezza dei siti Web. I siti Web affrontano molti tipi diversi di minacce alla sicurezza informatica durante l’esecuzione, come ad esempio:

1) Iniezioni SQL

Uno SQL injection è una tecnica di iniezione di codice e di una tecnica SEO negativo nefasto che un hacker criminale (o il vostro concorrente) possono implementare per far cadere il vostro sito. L’autore dell’attacco ottiene l’accesso al back-end del database immettendo codici nel contenuto del database vulnerabile o corrotto tramite l’input della pagina Web (ad esempio un utente inserendo il proprio “nome utente” con un’istruzione SQL). È ancora una delle minacce più comuni perché è altamente efficace.

Può interessare qualsiasi sito Web che utilizza server MySQL, Oracle e SQL.

Come verificare se il tuo sito Web è sotto un attacco di iniezione SQL

Per prevenire attacchi di iniezione SQL, è possibile eseguire scansioni di vulnerabilità utilizzando programmi software antivirus affidabili. Scopri se il sito Web sta subendo un attacco utilizzando uno strumento come SQL Injection Test Online.

Seguire queste regole per prevenire attacchi di iniezione SQL :

  • Non si dovrebbe mai includere direttamente l’input, ma disinfettare tutti gli input.
  • Fornire solo i diritti di accesso necessari agli account utilizzati per la connessione al database.
  • Non visualizzare le istruzioni SQL nei messaggi di errore; utilizzare invece un messaggio generico.

2) Errate configurazioni nella sicurezza

Le configurazioni errate di sicurezza possono includere la mancanza di un certificato SSL, ma in genere comprendono più fattori. Coprono quasi tutti i tipi di vulnerabilità derivanti dalla mancanza di manutenzione e aggiornamento delle applicazioni del sito Web.

Una configurazione errata della sicurezza può derivare da plug-in non aggiornati o di terze parti, componenti aggiuntivi non autorizzati a un sito Web. Possono fornire agli aggressori una finestra per sfruttare le informazioni sensibili in un database web. Inoltre, la sicurezza del database può essere compromessa dall’abuso dei privilegi dell’utente, dall’autenticazione debole o da scarse pratiche di backup dei dati. Oltre a provocare attacchi ransomware di successo, ciò può comportare anche la chiusura completa del sito Web.

Come rafforzare la corretta sicurezza del sito Web

La sicurezza del sito Web inizia con HTTPS. Tuttavia, è necessario approfondire lo stato dei plug-in, aggiornare il motore CMS e installare il software di sicurezza sul sito. La configurazione sicura deve essere implementata a livello di applicazione, server delle applicazioni, framework, database server, web server e piattaforma.

Queste sono le vulnerabilità più comuni che possono interessare qualsiasi sito Web oggi. L’aggiornamento del tuo sito a HTTPS potrebbe non essere sufficiente per fermare questi attacchi, quindi devi pensare oltre i certificati SSL per proteggere il database del tuo sito Web e gli utenti.

3) Cross-Site Scripting (XSS)

XSS include l’iniezione di script dannosi nei siti Web ed è un’altra tattica SEO negativa. L’attaccante sfrutta un’applicazione web per inviare all’utente un codice dannoso sotto forma di script del browser.

È probabile che l’utente ignaro del sito attendibile faccia clic sul codice, il che consente al codice di accedere ai cookie dell’utente, alle informazioni sensibili sul lato browser e ai token di sessione. Gli script XSS possono anche riscrivere il contenuto delle pagine del sito Web HTML.

Come verificare se il tuo sito Web è sotto un attacco XSS

Utilizzare uno strumento come XSS Scanner:

Test XSS

Cosa fare per prevenire attacchi XSS

La codifica di output dipendente dal contesto è necessaria per impedire qualsiasi sicurezza XSS. La maggior parte dei siti Web moderni contiene un filtro XSS. Tuttavia, richiedono l’applicazione corretta della codifica URL.

I webmaster devono consentire solo i collegamenti con protocolli autorizzati come https: // s o nessun script con schemi URL come javascript: // rimane bloccato.

4) Falsificazione richiesta su più siti

CSRF obbliga l’utente a compiere azioni che potrebbe non aver inteso fare. È un attacco dannoso che prende di mira le richieste che cambiano lo stato sul posto.

Sfruttando l’ingegneria sociale consente all’hacker criminale di indurre l’utente finale a eseguire azioni dell’offerta dell’attaccante. Può includere il trasferimento di fondi, fornire password o modificare il loro indirizzo e-mail. Se la vittima è l’amministratore di un sito Web, un attacco CSRF può compromettere le funzioni del sito Web dell’intera azienda.

E se pensi di essere troppo intelligente per essere ingannato, ripensaci. Dai un’occhiata a questi 6 tipi comuni di attacchi di social engineering da Norton:

  • pasturazione
  • Phishing / Spear phishing
  • Pirateria informatica e-mail e contatti spamming
  • pretexting
  • Qualcosa per qualcosa
  • Vishing

Come puoi sapere se il tuo sito web è soggetto a una richiesta di falsificazione cross site? Ecco le linee guida di OWASP  per identificare un CSRF.

Come fermare gli attacchi CSRP

HTTPS non è sufficiente per fermare gli attacchi CSRF. L’amministratore del sito deve aggiungere un hash ai moduli, nonce per richiesta ai moduli e all’URL e controllare l’intestazione del referrer nella richiesta HTTP dal client. Altri passaggi includono l’aggiunta di un identificatore di sessione agli script ViewState for.NET.

In che modo un hack può influire sul traffico organico e sul SEO di un sito Web?

Gli aggressori non discriminano tra i siti in termini di dimensioni e traffico per gli attacchi. Ecco come può influire sia sul tuo traffico sia sul SEO:

lista nera

La blacklist  – quando il tuo sito web viene rimosso dall’indice dei motori di ricerca  – è una delle conseguenze più gravi degli attacchi di malware. Poiché la maggior parte dei siti Web non riceve alcuna notifica, può essere ripetutamente indirizzata a attacchi di ransomware e malware. Numerosi siti Web presentano vulnerabilità persistenti che li rendono soggetti a iniezioni di SQL, XSS, CSRF e attacchi di phishing.

Non ricevere alcuna notifica può significare una continua perdita di denaro, reputazione e visitatori quando Google rileva il comportamento anomalo e inserisce nella blacklist il sito. Trovarsi nella lista nera è la fine di tutto il traffico e SEO per qualsiasi sito Web. Tuttavia, è un modo per iniziare da quello quadrato con un sito pulito.

Errori nella scansione

I robot Scraper eseguono la scansione dei siti per raschiare i contenuti, bloccare i robot dei motori di ricerca e impegnarsi nel furto di dati. Le tue classifiche SERP possono anche fare un colpo quando i robot raschiatori creano contenuti duplicati in un’altra posizione. Possono creare errori 404 e 503 nella tua Google Search Console. Sono responsabili della creazione di cicli infiniti ad alta intensità di risorse.

Quando trovi contenuti duplicati, invia un reclamo DMCA a Google . L’analisi di routine dei file di registro con strumenti premium può produrre un elenco esaustivo di robot che eseguono la scansione del tuo sito. Identifica la loro fonte per separare i robot buoni da quelli cattivi.

Dive Deeper: Google smette di supportare Robots.txt Noindex: cosa significa per te

SEO Spam

Gli hacker criminali possono ottenere spam SEO tramite iniezioni di SQL, che possono comportare la blacklist del tuo sito Web o la completa alterazione della modalità di visualizzazione del tuo sito nelle SERP di Google. Possono anche ridurre la velocità del tuo sito Web, che è uno dei segnali di posizionamento più elevato.

Sono necessari plug-in di sicurezza e strumenti SEO in grado di individuare attività dannose in tempo reale sul tuo sito. Patching delle vulnerabilità è assolutamente essenziale. Scopri le piattaforme a pagamento che offrono un monitoraggio completo dei siti Web, come Sucuri , leader del settore nella sicurezza di WordPress (è un servizio a pagamento, ma offrono una scansione limitata di WordPress gratuitamente).

Clicca qui per scaricarlo gratuitamente adesso!

Pensieri finali

Alla fine della giornata, non devi fare di Google il tuo antivirus. Google segnala siti inaffidabili e inserisce nella blacklist quelli che rappresentano una minaccia per gli utenti, ma fare affidamento sugli aggiornamenti di Google non è un modo proattivo di prendersi cura della sicurezza del proprio sito e del SEO.

Se vuoi migliorare il tuo SEO e migliorare il traffico del tuo sito web, inizia sempre con HTTPS. Quindi, pensa a investire in un sistema di sorveglianza del sito Web che monitora oltre la certificazione SSL del tuo sito.

Open

info.ibdi.it@gmail.com

Close