HTTPS在很大程度上成為網路安全的“海報男孩”, http://www.erjiche.com 小兒推拿加盟, 部分原因在於Google將其命名為排名信號, 然後通過Chrome流覽器中的更改進一步推動。
http://www.erjiche.com 小兒推拿加盟,
但正如我們所知, 網路安全並不止於HTTPS, 而HTTPS並不意味著您擁有安全的網站。
在我的第一篇關於搜尋引擎雜誌的文章中, 我寫了關於Google如何在其未來的更高級的網路爬蟲中引入被動掃描元素, 以及確定網站是否包含惡意軟體和其他常見類型的駭客。
搜尋引擎優化專業人士一直都意識到網站駭客可能會對SERP中的警告和潛在的排名損失產生負面影響, 但真正知道網站駭客和資料洩露的真正成本是什麼?
在搜尋引擎優化和最近進入網路安全領域工作後, 我很幸運地體驗了雙方, 並見證了各種不同類型的駭客攻擊和惡意網站開發。
什麼是SEO社區對網路安全的感知?
為了確定搜尋引擎優化社區如何看待網路安全,
總共有136名SEO社區成員回應並就這個話題發表了自己的想法。
關於受訪者
在136名受訪者中, 45%的人擁有超過10年的SEO工作經驗, 26%的人聲稱在6到10年之間工作。
儘管該團隊在經驗豐富的一方, 但獨立, 機構內部和內部搜尋引擎優化之間的分佈更均勻。
該調查
問題1:作為您的初始網站和技術審計流程的一部分, 您是否將網站安全性(超越HTTPS)考慮在內?
問題1的結果
超過三分之二的搜尋引擎優化專業人士調查了網站安全檢查的因素(除了該網站是否使用HTTPS)。
這是正面的, 因為HTTPS通常會誤認為HTTPS會保護網站 - 實際上, SSL證書只能保護連接並加密傳輸中的資料(您可以在這裡閱讀更多資訊)。
建立一個網站的漏洞是SEO的不同技能。 所需的技能可能在全方位服務的機構中提供, 對於獨立人士和內部搜尋引擎優化從業者, 還有諸如Detectify和CyberScanner等工具可以提供建議客戶所需的見解。
問題2:當新客戶和網站加入時, 您是否確定該網站是否曾被駭客入侵?
問題2的結果
四分之一的受訪搜尋引擎優化專業人士並沒有積極嘗試確定一個網站是否曾被駭客入侵過。
除了穀歌的警告和關於以前駭客的業務開放之外, 有時很難確定是否存在駭客行為。
現在我們擁有16個月的Google Search Console資料, 通過查看展示資料, 我們可以更輕鬆地識別垃圾郵件注入, 但並非所有駭客都採用這種形式, 可能需要專業工具來説明診斷惡意軟體,
問題3:根據你的經驗, 對於你一直在從事的網站的自然搜索表現, 網站有多麼有害?(1沒有任何不利影響, 長期嚴重損壞了該網站)
問題3的結果
駭客對搜尋引擎優化的影響已經討論了很多年, 但是由於上述資料顯示了經驗, 駭客的影響已經大大地受到了影響。
谷歌此前曾表示, 84%的網站在網站駭客入侵後申請重新審查, 但在重新審議之前, 駭客的影響仍然存在。
問題4:根據您的經驗, 您正在處理的網站需要多長時間才能在搜索結果中完全恢復?
有很多研究著眼於網站駭客的影響(比如2015年的這項Wordfence 研究), 但很少有關於恢復需要多長時間的研究。
恢復基於多種因素, 包括駭客的嚴重程度, 駭客的類型以及企業實施更改的敏捷性。
受訪者普遍認為, 網站可能需要幾周到幾個月才能完全恢復, 一位受訪者表示沒有任何恢復。
然而, 識別駭客是第一個挑戰, 並不是所有的垂直都是相同的 - 所以具有極大流量變化和季節性的網站(例如年度事件的網站)將定期看到高峰和低谷。
駭客如何破壞網站
Julia Logan(aka, IrishWonder)在2015年與一個駭客活動網站分享了以下經驗。
網路研討會 - 預防國際搜尋引擎優化災難
想學習如何識別和避免常見的國際搜尋引擎優化挑戰?4月25日星期三東部時間下午2:00加入Bill和Motoko Hunt參加實況線上研討會。
在2015年被駭客入侵的活動網站
在2015年7月被駭客入侵後, 該網站被Google列入黑名單。 該網站由WordPress提供支援, 並在駭客攻擊時使用了大量具有已知漏洞的外掛程式。 這些曾經是:
Wordfence: 2014年11月發現了一個已知的跨網站腳本漏洞,它影響了版本5.1.2並在第5.1.4版中進行了修補。
Yoast的WordPress SEO: 2015年3月發現了一個已知的SQL注入漏洞,影響1.7.3.3及更低版本。
在駭客入侵之前,該網站的目錄並沒有從列出其內容中關閉。因此,一些與主題和外掛程式相關的目錄的索引頁面進入了穀歌的索引,使得該網站成為潛在的大規模基於平臺/外掛程式漏洞的駭客攻擊的一個簡單目標。
在最初的網站清理之後,這些索引目錄仍然構成威脅 - 伺服器已經配置為它們提供404回應,但是具有這些索引的URL可能導致進一步的駭客攻擊。
決定不要通過robots.txt從索引關閉它們,因為這仍然是一個明顯的痕跡(此外,這些資料夾包含Google堅持可索引的CSS檔),但通過URL刪除請求表單手動將它們從Google索引中移除。
駭客還控制了該網站的SMTP服務,並一直使用它們發送垃圾郵件,導致該網站被列入所有主要垃圾郵件資料庫的黑名單。這是至關重要的,因為作為一個活動網站,他們有合理的需要向其訂戶/活動參與者發送電子郵件,損害業務的核心功能。
必須從Google的索引中手動刪除寄生蟲頁面以加快索引清理速度。但是,它需要多次嘗試和電子郵件通信才能將該網站從垃圾郵件資料庫中刪除。該網站隨後也遷移到HTTPS。
GDPR呢?
即將實行的GDPR法規將網路安全辯論引入公眾視野,並提高了認識,儘管我的經驗很多企業仍未掌握保護數字資產的重要性。
問題5:從1到10的範圍內,1根本沒有,你認為你的客戶是否安全,並遵守即將實行的GDPR法規?
問題5的結果
正如你可能期望的那樣,感覺是很多公司仍然朝著完全合規的方向發展,幾乎沒有幾家公司在最終完成合規。
對於不同的業務,合規性具有不同的格式,具體取決於資料量和資料處理類型。
德勤最近的一項研究估計,5月25 日,他們調查的組織中只有15%符合GDPR法規。這裡收集的資料顯示,大約44%的受訪者在規模上得分為1-4。
GDPR不僅影響歐盟內部的組織,也影響與歐盟國家打交道的歐盟以外的組織。
問題6:從1到10的範圍內,1根本沒有,你認為你的美國客戶是否符合新的歐盟GDPR規定?
問題6的結果
在這個問題的124位受訪者中,更不相信被調查者的美國客戶願意遵守GDPR和新的歐洲法律。
與其他SEO說起里安Siddle 從MERJ約GDPR的主題,企業是如何準備的,他下面要說的:
大中型企業通常擁有更多的資料和人員,通常速度較慢。成本高昂,因為他們需要法律顧問閱讀,理解,計畫和依法行事。傳統系統可能不符合新的要求。為了確保資料的完整性,該軟體可能需要進行大幅度的改變以滿足它們,並進行數月的空運行測試
誰的責任是網路安全?
在過去的幾個月中與多家公司進行了交談,這些資訊告訴我,誰負責維護網站的安全性有很多錯誤資訊和誤解。
在GDPR之下,企業本身將處於任何罰款的終點,而不是他們的開發公司(儘管我曾經說過的一些企業主認為他們的開發合同承擔了罰款)。
問題7:您認為誰負責確保網站的安全?
在136名受訪者中,64%認為網站的安全性取決於所有利益相關者,只有三分之一的人認為責任僅在於業務。
在GDPR下處於罰款的同時,線上和線下合規流程都是所有利益相關者(包括外部機構)的責任。
作為外部代理機構,我們經常可以訪問網站CMS,分析,FTP和其他敏感區域,因此我們有責任使用兩步驗證並制定自己的安全性原則。
結論
從進行這項調查的同時與一些SEO專業人員交談,以及從行業趨勢中看出,很明顯網站安全是一個將在這裡待一段時間的話題。
同樣重要的是,作為一個行業,我們説明客戶瞭解潛在風險,不僅針對搜尋引擎優化,還針對他們的業務。
這些曾經是:Wordfence: 2014年11月發現了一個已知的跨網站腳本漏洞,它影響了版本5.1.2並在第5.1.4版中進行了修補。
Yoast的WordPress SEO: 2015年3月發現了一個已知的SQL注入漏洞,影響1.7.3.3及更低版本。
在駭客入侵之前,該網站的目錄並沒有從列出其內容中關閉。因此,一些與主題和外掛程式相關的目錄的索引頁面進入了穀歌的索引,使得該網站成為潛在的大規模基於平臺/外掛程式漏洞的駭客攻擊的一個簡單目標。
在最初的網站清理之後,這些索引目錄仍然構成威脅 - 伺服器已經配置為它們提供404回應,但是具有這些索引的URL可能導致進一步的駭客攻擊。
決定不要通過robots.txt從索引關閉它們,因為這仍然是一個明顯的痕跡(此外,這些資料夾包含Google堅持可索引的CSS檔),但通過URL刪除請求表單手動將它們從Google索引中移除。
駭客還控制了該網站的SMTP服務,並一直使用它們發送垃圾郵件,導致該網站被列入所有主要垃圾郵件資料庫的黑名單。這是至關重要的,因為作為一個活動網站,他們有合理的需要向其訂戶/活動參與者發送電子郵件,損害業務的核心功能。
必須從Google的索引中手動刪除寄生蟲頁面以加快索引清理速度。但是,它需要多次嘗試和電子郵件通信才能將該網站從垃圾郵件資料庫中刪除。該網站隨後也遷移到HTTPS。
GDPR呢?
即將實行的GDPR法規將網路安全辯論引入公眾視野,並提高了認識,儘管我的經驗很多企業仍未掌握保護數字資產的重要性。
問題5:從1到10的範圍內,1根本沒有,你認為你的客戶是否安全,並遵守即將實行的GDPR法規?
問題5的結果
正如你可能期望的那樣,感覺是很多公司仍然朝著完全合規的方向發展,幾乎沒有幾家公司在最終完成合規。
對於不同的業務,合規性具有不同的格式,具體取決於資料量和資料處理類型。
德勤最近的一項研究估計,5月25 日,他們調查的組織中只有15%符合GDPR法規。這裡收集的資料顯示,大約44%的受訪者在規模上得分為1-4。
GDPR不僅影響歐盟內部的組織,也影響與歐盟國家打交道的歐盟以外的組織。
問題6:從1到10的範圍內,1根本沒有,你認為你的美國客戶是否符合新的歐盟GDPR規定?
問題6的結果
在這個問題的124位受訪者中,更不相信被調查者的美國客戶願意遵守GDPR和新的歐洲法律。
與其他SEO說起里安Siddle 從MERJ約GDPR的主題,企業是如何準備的,他下面要說的:
大中型企業通常擁有更多的資料和人員,通常速度較慢。成本高昂,因為他們需要法律顧問閱讀,理解,計畫和依法行事。傳統系統可能不符合新的要求。為了確保資料的完整性,該軟體可能需要進行大幅度的改變以滿足它們,並進行數月的空運行測試
誰的責任是網路安全?
在過去的幾個月中與多家公司進行了交談,這些資訊告訴我,誰負責維護網站的安全性有很多錯誤資訊和誤解。
在GDPR之下,企業本身將處於任何罰款的終點,而不是他們的開發公司(儘管我曾經說過的一些企業主認為他們的開發合同承擔了罰款)。
問題7:您認為誰負責確保網站的安全?
在136名受訪者中,64%認為網站的安全性取決於所有利益相關者,只有三分之一的人認為責任僅在於業務。
在GDPR下處於罰款的同時,線上和線下合規流程都是所有利益相關者(包括外部機構)的責任。
作為外部代理機構,我們經常可以訪問網站CMS,分析,FTP和其他敏感區域,因此我們有責任使用兩步驗證並制定自己的安全性原則。
結論
從進行這項調查的同時與一些SEO專業人員交談,以及從行業趨勢中看出,很明顯網站安全是一個將在這裡待一段時間的話題。
同樣重要的是,作為一個行業,我們説明客戶瞭解潛在風險,不僅針對搜尋引擎優化,還針對他們的業務。