الأخبار التكنولوجية والاستعراضات والنصائح!

تحسين محركات البحث والأمن السيبراني: كيف تنظر صناعة تحسين محركات البحث إلى العلاقة

ستساعدك المقالة التالية: تحسين محركات البحث والأمن السيبراني: كيف تنظر صناعة تحسين محركات البحث إلى العلاقة

لقد أصبح HTTPS، في معظمه، “الصبي الملصق” للأمن السيبراني، ويرجع الفضل في ذلك جزئيًا إلى تسمية Google له كإشارة تصنيف ثم الدفع به أكثر من خلال التغييرات في متصفح Chrome.

ولكن كما نعلم، لا يتوقف الأمن السيبراني عند HTTPS، ولا يعني HTTPS أن لديك موقع ويب آمنًا.

في أول مشاركة لي في مجلة محرك البحث، كتبت عن كيف يمكن لـ Google تقديم عناصر المسح السلبي في أحد برامج زحف الويب الأكثر تقدمًا في المستقبل، بالإضافة إلى تحديد ما إذا كان موقع الويب يحتوي على برامج ضارة وأنواع شائعة أخرى من الاختراقات.

لقد كان محترفو تحسين محركات البحث (SEO) دائمًا على دراية بالتأثيرات السلبية التي يمكن أن تحدثها عملية اختراق موقع الويب من حيث التحذيرات في SERPs والخسائر المحتملة في التصنيف، ولكن هل التكلفة الحقيقية لاختراق موقع الويب وخرق البيانات معروفة حقًا؟

بعد أن عملت في مجال تحسين محركات البحث (SEO)، ودخلت مؤخرًا إلى عالم الأمن السيبراني، كنت محظوظًا بتجربة كلا الجانبين وشهدت أنواعًا مختلفة من الاختراق واستغلال مواقع الويب الضارة.

ما هو تصور مجتمع SEO للأمن السيبراني؟

من أجل تحديد شعور مجتمع تحسين محركات البحث (SEO) تجاه الأمن السيبراني، ومدى أهمية رؤيتهم – قمت باستطلاع رأيهم.

في المجمل، استجاب 136 عضوًا من مجتمع تحسين محركات البحث (SEO) وقدموا أفكارهم حول هذا الموضوع.

عن المستجيبين

ومن بين 136 مشاركًا، يتمتع 45 بالمائة بخبرة تزيد عن 10 سنوات في العمل في مجال تحسين محركات البحث (SEO)، بينما يقول 26 بالمائة أنهم يتمتعون بخبرة تتراوح بين 6 و10 سنوات.

على الرغم من أن المجموعة هي من ذوي الخبرة، إلا أن التوزيع بين مُحسنات محركات البحث المستقلة وداخل الوكالة والداخلية كان منتشرًا بشكل أكثر توازناً.

بعد أن حصلت على استجابة رائعة للاستطلاع على Twitter، أستطيع أن أقول بشكل غير رسمي أن المشاركين الـ 136 كانوا من جميع أنحاء العالم وخليطًا من الوجوه العادية والمعروفة في الصناعة، بالإضافة إلى بعض الوجوه الجديدة.

المسح

السؤال 1: كجزء من موقع الويب الأولي الخاص بك وعملية التدقيق الفني، هل تأخذ في الاعتبار أمان موقع الويب (بخلاف HTTPS)؟

ما يزيد قليلاً عن ثلثي محترفي تحسين محركات البحث (SEO) الذين شملهم الاستطلاع يأخذون في الاعتبار فحوصات أمان موقع الويب (بخلاف ما إذا كان الموقع على HTTPS).

يعد هذا أمرًا إيجابيًا، حيث أنه غالبًا ما يكون هناك اعتقاد خاطئ بأن HTTPS يؤمن موقع الويب – في حين أن شهادة SSL في الواقع تعمل فقط على تأمين الاتصال وتشفير البيانات أثناء النقل (يمكنك قراءة المزيد حول هذا الأمر) هنا).

يعد إنشاء نقاط الضعف لموقع الويب بمثابة مجموعة مهارات مختلفة عن تحسين محركات البحث. من المرجح أن تكون المهارات المطلوبة متاحة في وكالات الخدمة الكاملة، وبالنسبة للمستقلين وممارسي تحسين محركات البحث الداخليين، هناك أدوات مثل Detectify وCyberScanner التي يمكن أن توفر الأفكار اللازمة لتقديم المشورة للعملاء.

السؤال 2: عند تأهيل عميل جديد وموقع (مواقع) جديد، هل يمكنك التأكد مما إذا كان الموقع قد تم اختراقه مسبقًا؟

لا يحاول واحد من كل أربعة محترفي تحسين محركات البحث (SEO) الذين شملهم الاستطلاع تحديد ما إذا كان موقع الويب قد تم اختراقه مسبقًا.

بصرف النظر عن تحذيرات Google وانفتاح الشركة بشأن اختراق سابق، فمن الصعب أحيانًا تحديد ما إذا كان هناك اختراق أم لا.

لدينا الآن ما يعادل 16 شهرًا من بيانات Google Search Console، ومن المحتمل أن نتمكن من التعرف على إدخال البريد العشوائي بشكل أسهل من خلال النظر في بيانات الظهور، ولكن لا تتخذ جميع عمليات الاختراق هذا النموذج وقد تحتاج إلى أدوات متخصصة للمساعدة في تشخيص البرامج الضارة والتصيد الاحتيالي وبرامج استخراج العملات المشفرة .

السؤال 3: من خلال تجربتك، ما مدى الضرر الذي أحدثه اختراق موقع الويب على أداء البحث العضوي لمواقع الويب التي كنت تعمل عليها؟ (1 غير ضار على الإطلاق، 10 يدمر الموقع بشدة على المدى الطويل)

تمت مناقشة تأثيرات الاختراق على تحسين محركات البحث (SEO) لعدد من السنوات، ولكن كما تظهر البيانات المذكورة أعلاه من خلال التجربة، فقد كان تأثير الاختراق محسوسًا إلى حد كبير.

قالت جوجل سابقًا إن 84 بالمائة من المواقع تنجح في التقدم بطلب لإعادة النظر بعد اختراق الموقع، لكن تأثير الاختراق لا يزال محسوسًا قبل إعادة النظر.

السؤال 4: من خلال تجربتك، ما المدة التي استغرقها موقع الويب الذي تعمل عليه والذي تم اختراقه حتى يتعافى بالكامل ضمن نتائج البحث؟

هناك عدد من الدراسات التي تبحث في تأثير اختراق موقع الويب (مثل Wordfence يذاكر من عام 2015)، لكن القليل من الحديث عن المدة التي سيستغرقها التعافي.

يعتمد الاسترداد على عدد من العوامل، بما في ذلك مدى خطورة الاختراق، ونوع الاختراق، وسرعة الشركة في تنفيذ التغييرات.

الإجماع العام بين المشاركين هو أن الأمر قد يستغرق أسابيع إلى أشهر حتى يتعافى الموقع بالكامل، حيث ادعى أحد المشاركين عدم التعافي على الإطلاق.

ومع ذلك، فإن تحديد موقع الاختراق هو التحدي الأول، وليست كل القطاعات متشابهة – لذا فإن المواقع ذات الاختلافات الشديدة في حركة المرور والموسمية (مثل موقع الويب الخاص بحدث سنوي) ستشهد بانتظام فترات الذروة والانخفاض.

كيف يمكن أن يؤدي الاختراق إلى إتلاف موقع ويب

جوليا لوجان (المعروفة أيضًا باسم IrishWonder) شاركت معي التجربة أدناه، من موقع ويب لأحداث تم اختراقها في عام 2015.

أثناء العمل على الموقع الإلكتروني لحدث سنوي خاص بالصناعة، كان هناك ارتفاع غير طبيعي في ظهور البحث خارج النمط الطبيعي. كان هذا بسبب تدفق الصفحات الطفيلية:

بعد تعرضه للاختراق في يوليو 2015، تم إدراج الموقع في القائمة السوداء من قبل جوجل. كان الموقع مدعومًا بواسطة WordPress وكان يستخدم عددًا من المكونات الإضافية ذات الثغرات الأمنية المعروفة في وقت الاختراق. هذه كانت:

  • سياج الكلمات: كانت هناك ثغرة أمنية معروفة في البرمجة النصية عبر المواقع تم اكتشافها في نوفمبر 2014 مما أثر على الإصدار 5.1.2 وتم تصحيحها في الإصدار 5.1.4.
  • ووردبريس SEO بواسطة Yoast: كانت هناك ثغرة أمنية معروفة لإدخال SQL تم اكتشافها في مارس 2015، مما أثر على الإصدارات 1.7.3.3 والإصدارات الأقدم.

قبل الاختراق، لم تكن أدلة الموقع مغلقة من إدراج محتواها. ونتيجة لذلك، دخل عدد من صفحات فهرس الدلائل ذات الصلة بالموضوع والمكونات الإضافية إلى فهرس Google، مما يجعل الموقع هدفًا سهلاً للقرصنة المجمعة المحتملة المستندة إلى النظام الأساسي/المكونات الإضافية.

بعد التنظيف الأولي للموقع، لا تزال هذه الأدلة المفهرسة تشكل تهديدًا – فقد تم تكوين الخادم لتقديم استجابة 404 لها، ولكن وجود عناوين URL مثل هذه المفهرسة قد يؤدي إلى المزيد من محاولات الاختراق.

تقرر عدم إغلاقها من الفهرسة عبر ملف robots.txt لأن ذلك سيظل بمثابة بصمة واضحة (إلى جانب ذلك، تحتوي هذه المجلدات على ملفات CSS التي تصر Google على كونها قابلة للفهرسة) ولكن إزالتها من فهرس Google يدويًا عبر نموذج طلب إزالة عنوان URL .

سيطر المتسللون أيضًا على خدمات SMTP الخاصة بالموقع وكانوا يستخدمونها لإرسال رسائل بريد إلكتروني غير مرغوب فيها، مما أدى إلى إدراج الموقع في القائمة السوداء مع جميع قواعد بيانات البريد الإلكتروني العشوائي الرئيسية. كان هذا أمرًا بالغ الأهمية لأنه كموقع للحدث، كانت لديهم حاجة مشروعة لإرسال رسائل بريد إلكتروني إلى المشتركين/المشاركين في الحدث، مما أدى إلى الإضرار بالوظيفة الأساسية للشركة.

كان لا بد من إزالة صفحات الطفيليات يدويًا من فهرس Google لتسريع عملية تنظيف الفهرس. ومع ذلك، استغرق الأمر عدة محاولات ومراسلات عبر البريد الإلكتروني لإزالة الموقع من قواعد بيانات البريد الإلكتروني العشوائي. ثم تم ترحيل الموقع أيضًا إلى HTTPS.

ماذا عن اللائحة العامة لحماية البيانات؟

لقد سلطت لوائح اللائحة العامة لحماية البيانات (GDPR) القادمة الضوء على نقاش الأمن السيبراني أمام أعين الجمهور وزادت من الوعي به، على الرغم من أن الكثير من الشركات من خلال تجربتي لم تدرك بعد أهمية تأمين الأصول الرقمية.

السؤال 5: على مقياس من 1 إلى 10، حيث يعني 1 ليس على الإطلاق، ما مدى استعداد عملائك ليكونوا آمنين ويلتزموا بلوائح اللائحة العامة لحماية البيانات (GDPR) القادمة؟

كما قد تتوقع، هناك شعور بأن الكثير من الشركات لا تزال تتقدم نحو الامتثال الكامل، مع القليل منها في النهاية تقريبًا.

يأتي الامتثال في أشكال مختلفة لمختلف الأنشطة التجارية، اعتمادًا على كمية البيانات ونوع البيانات التي تعالجها.

وتقدر دراسة حديثة أجرتها شركة ديلويت ذلك فقط 15 بالمائة من المنظمات التي شملها الاستطلاع ستكون متوافقة مع لوائح اللائحة العامة لحماية البيانات بحلول 25 مايو. وتظهر البيانات التي تم جمعها هنا أن ما يقرب من 44 بالمائة من المشاركين حصلوا على درجات من 1 إلى 4 على المقياس.

لا يؤثر القانون العام لحماية البيانات (GDPR) على المنظمات الموجودة داخل الاتحاد الأوروبي فحسب، بل يؤثر أيضًا على المنظمات خارج الاتحاد الأوروبي التي تتعامل مع دول الاتحاد الأوروبي.

السؤال 6: على مقياس من 1 إلى 10، حيث يعني 1 ليس على الإطلاق، ما مدى استعداد عملائك في الولايات المتحدة للامتثال للوائح القانون العام لحماية البيانات (GDPR) الجديدة للاتحاد الأوروبي؟

من بين 124 مشاركًا على هذا السؤال، هناك ثقة أقل في أن العملاء الأمريكيين الذين شملهم الاستطلاع سيكونون على استعداد للامتثال للقانون العام لحماية البيانات والقوانين الأوروبية الجديدة.

التحدث مع زميل SEO ريان سيدل من MERJ حول موضوع اللائحة العامة لحماية البيانات ومدى استعداد الشركات، قال ما يلي:

من مسؤولية الأمن السيبراني؟

لقد أظهر لي التحدث مع عدد من الشركات خلال الأشهر القليلة الماضية أن هناك الكثير من المعلومات الخاطئة والمفاهيم الخاطئة المحيطة بالمسؤول عن الحفاظ على أمان موقع الويب.

بموجب اللائحة العامة لحماية البيانات، ستكون الشركة نفسها في نهاية أي غرامة مقدمة وليس شركة التطوير الخاصة بها (على الرغم من أن بعض أصحاب الأعمال الذين تحدثت إليهم يعتقدون أن عقد التطوير الخاص بهم هو الذي يتحمل الغرامة).

السؤال 7: من تعتقد أنه المسؤول عن التأكد من أمان موقع الويب؟

من بين 136 مشاركًا، يعتقد 64% أن أمان موقع الويب يقع على عاتق جميع أصحاب المصلحة، بينما يعتقد أقل من الثلث بقليل أن المسؤولية تقع على عاتق الشركة فقط.

بينما تقع الغرامات بموجب القانون العام لحماية البيانات على عاتق الشركة، فإن عمليات الامتثال عبر الإنترنت وغير المتصلة بالإنترنت تقع على عاتق جميع أصحاب المصلحة، بما في ذلك الوكالات الخارجية.

باعتبارنا وكالة خارجية، غالبًا ما يكون لدينا إمكانية الوصول إلى أنظمة إدارة المحتوى (CMS) لموقع الويب والتحليلات وبروتوكول نقل الملفات (FTP) وغيرها من المجالات الحساسة، لذا يقع على عاتقنا مسؤولية استخدام المصادقة المكونة من خطوتين ووضع سياسات الأمان الخاصة بنا.

خاتمة

من التحدث إلى عدد من المتخصصين في تحسين محركات البحث (SEO) أثناء إجراء هذا الاستطلاع، ومن رؤية الاتجاهات في الصناعة، فمن الواضح أن أمان موقع الويب هو موضوع سيظل هنا لفترة من الوقت.

من المهم أيضًا أن نساعد كصناعة في تثقيف العملاء حول المخاطر المحتملة، ليس فقط على تحسين محركات البحث ولكن أيضًا على أعمالهم.

المزيد من موارد أمان الموقع: