רוב בעלי האתרים מתייחסים לאבטחה כעניין טכני בלבד. מעדכנים תוספים, מגדירים חומת אש וממשיכים הלאה. אבל אבטחת אתרים משפיעה ישירות על שני דברים שקובעים אם העסק שלכם יצמח באינטרנט: היכן Google ממקם אתכם ואם המבקרים נשארים מספיק זמן כדי להפוך ללקוחות.
הקשרים האלה קונקרטיים יותר ממה שרוב האנשים מבינים. בואו נעבור בדיוק על האופן שבו החלטות אבטחה — טובות ורעות — משפיעות על הנראות שלכם בחיפוש ועל המוניטין שלכם.
Google מתייחסת לאבטחה כאות דירוג — לא כדבר רצוי
Google הייתה מפורשת בעניין זה במשך שנים. HTTPS הוא אות דירוג מאושר מאז 2014. אתרים שעדיין פועלים על HTTP רגיל מקבלים עונש דירוג קטן אך אמיתי בהשוואה לאתרים מוצפנים. חשוב מכך, Chrome מסמן אתרי non-HTTPS כ"לא מאובטח" בשורת הכתובת — והאזהרה הזו הורסת את שיעורי הקליקים עוד לפני שמבקר קרא מילה אחת מהתוכן שלכם.
אבל ההשפעה עמוקה יותר מ-SSL בלבד. תוכנית Safe Browsing של Google סורקת באופן פעיל מיליארדי כתובות URL לאיתור תוכנות זדוניות, תוכן מטעה ודפי דיוג. אם האתר שלכם מסומן, Google תבצע את הפעולות הבאות:
- תציג דף אזהרה אדום במסך מלא לפני שמבקרים מגיעים לאתרכם
- תציג הודעת "אתר זה עלול להיות פרוץ" ישירות בתוצאות החיפוש
- תדכא או תוריד את הדירוג של הדפים שלכם עד שהבעיה תיפתר
אתרים שמקבלים סימון Safe Browsing עלולים לאבד 95% או יותר מהתנועה האורגנית שלהם בן לילה. ההתאוששות דורשת ניקוי הנוזקה, הגשת בקשת סקירה ל-Google, והמתנה — לפעמים שבועות — עד שהסימון יוסר. נזק ה-SEO מאירוע נוזקה בודד יכול לקחת חודשים לתיקון מלא.
מה אמון המשתמשים קשור לדירוג שלכם
Google לא רק בוחנת אותות אבטחה טכניים. היא עוקבת אחרי האופן שבו משתמשים מתנהגים באתר שלכם. ואתר שנראה לא מאובטח גורם לאנשים לעזוב מהר.
חשבו מה קורה כשמישהו נוחת על דף שמציג שגיאת אישור, או שהדפדפן מזהיר שהאתר אינו בטוח. הם עוזבים מיד. אות ה"נטישה" הזה — משתמש שלוחץ על התוצאה שלכם וחוזר מיד ל-Google — מספר לאלגוריתם שהדף שלכם לא ענה על הצורך שלו. אם זה קורה מספיק פעמים, הדירוג שלכם נשחק, גם אם התוכן שלכם מצוין.
אמון המשתמשים פועל גם ברמה הפסיכולוגית. מחקרים מראים באופן עקבי שמבקרים שמים לב לסמני אבטחה. סמל המנעול בשורת הדפדפן, ה-HTTPS בכתובת ה-URL, היעדר כל אזהרת דפדפן מפחידה — רמזים קטנים אלה מאותתים למבקר שאתם לוקחים את הבטיחות שלו ברצינות. הסירו אותם וההמרות יירדו, לא מפני שהמוצר שלכם השתנה, אלא מפני שהאמון השתנה.
בעיות האבטחה הספציפיות שפוגעות הכי הרבה בדירוגים
הדבקות בנוזקות
תוקפים לפעמים מזריקים תוכן מוסתר לאתרים שנפרצו — קישורים ספאמיים, סקריפטים של הפניה, מילות מפתח בלתי נראות. זה מרעיל את ה-SEO שלכם בשתי דרכים: Google מזהה את התוכן הזדוני ישירות, וקישורי הספאם שהוזרקו עלולים להפעיל עונשים ידניים. כתבנו עוד על האופן שבו פעילות מסוג זה מתפתחת בכיצד תוקפים בודקים את האתר שלכם לפני התקיפה.
דיוג ותוכן מטעה
אם תוקפים משתמשים בשרת שלכם לאירוח דפי דיוג — גם ללא ידיעתכם — Google מסמנת את כל הדומיין שלכם. הנזק מתפשט לכל דף שדורגתם עבורו.
זמן השבתה כתוצאה מהתקפות
התקפת DDoS מוצלחת או פריצה לשרת שמורידה את האתר שלכם למשך שעות משפיעה על יכולת הסריקה. Googlebot לא יכול לאנדקס דפים שאינו מצליח להגיע אליהם. השבתה ממושכת מאותתת על חוסר יציבות, ו-Google מגיבה על ידי הפחתת תדירות הסריקה — ובסופו של דבר, את הדירוג — של הדפים שלכם. להסבר מפורט על כיצד הגנה ברמת האחסון שומרת על זמינות האתרים תחת התקפה, ראו התקפות DDoS מוסברות: מה הן וכיצד הגנה ברמת האחסון עובדת בפועל.
אישורי SSL שפגו
אישור שפג תוקפו הופך כל דף באתר שלכם למסך אזהרה. שירותי אחסון מנוהלים טובים מטפלים בחידוש האישור באופן אוטומטי — כך שזה לעולם לא הופך לבעיה — אבל בשרתים שניהולם עצמאי קל לפספס זאת עד שמאוחר מדי.
אבטחת אתרים ו-Core Web Vitals
יש כאן גם קשר פחות ברור. בעיות ביצועים הקשורות לאבטחה עלולות להשפיע ישירות על ציוני ה-Core Web Vitals שלכם, שהם כיום חלק מאלגוריתם הדירוג של Google.
סקריפטים זדוניים שהוזרקו לאתר שלכם מוסיפים משקל וזמן ריצה לדפים שלכם. אתר שנפרץ לפעמים מריץ קוד כרייה של מטבעות קריפטוגרפיים מוסתר שמעמיס על השרת ומאט את זמני התגובה לכל מבקר לגיטימי. תנועת תקיפה שמציפה את השרת שלכם מעלה את זמן הבייט הראשון — מדד ש-Google מודדת ומשלבת בציוני חוויית הדף.
במילים אחרות, אתר עם אבטחת אתרים חלשה לא רק מסתכן בסימון. לרוב הוא גם נעשה איטי יותר, מה שמגביר את נזק ה-SEO.
צעדים מעשיים להגנה על הדירוגים ועל המבקרים שלכם
שמרו על HTTPS פעיל ומאומת
ודאו שאישור ה-SSL שלכם תקף, מכסה את כל תת-הדומיינים שבהם אתם משתמשים, ומתחדש אוטומטית. בדקו את האישור ב-Google Search Console תחת דוח בעיות האבטחה. כל אזהרות תוכן מעורב (דפי HTTPS שטוענים נכסי HTTP) יש לפתור מיד.
הפעילו חומת אש לאפליקציות רשת
WAF יושב מול האפליקציה שלכם ומסנן בקשות זדוניות לפני שהן מגיעות לקוד שלכם. הוא חוסם ניסיונות SQL injection, XSS ורבים מהבדיקות האוטומטיות שתוקפים משתמשים בהן כדי למצוא פגיעויות. להסבר מוצק על האופן שבו מערכות אלה עובדות, מהו חומת אש לאפליקציות רשת והאם אתם באמת צריכים אחד? מכסה את הבסיס היטב. WAF לא יעצור כל התקפה, אבל הוא מצמצם משמעותית את שטח החשיפה שלכם. תוכלו לראות כיצד אנו מתמודדים עם זה ברמת האחסון בסקירת ה-WAF שלנו.
עקבו אחרי Google Search Console באופן קבוע
לשונית בעיות האבטחה ב-Search Console היא אחת הדרכים המהירות ביותר לדעת שהאתר שלכם סומן. הגדירו התראות דוא"ל כדי שתשמעו על בעיות תוך דקות, לא שבועות. ככל שהדבקת נוזקה יושבת זמן רב יותר ללא זיהוי, כך נזק ה-SEO עמוק יותר.
שמרו גיבויים נקיים ותכופים
גיבויים אינם מונעים התקפות, אבל הם מקצרים משמעותית את זמן ההתאוששות כשמשהו משתבש. היכולת לשחזר גרסה נקייה של האתר שלכם תוך דקות — במקום לבנות מאפס — מגבילה הן את זמן ההשבתה והן את החלון שבמהלכו תוכן זדוני משפיע על הדירוגים שלכם. אנו מריצים גיבויים יומיים אוטומטיים לשרת נפרד, כך שגם במקרה הגרוע ביותר, חלון אובדן הנתונים הוא פחות מ-24 שעות.
עקבו אחרי דפוסי תנועה חריגים
עלייה פתאומית בעומס השרת, תנועת הפניה מוזרה, או שינויים בלתי צפויים בסטטיסטיקות הסריקה שלכם — כל אלה יכולים לאותת שמשהו לא בסדר. ניטור זמינות עם התראות בזמן אמת עוזר לכם לזהות דפוסים אלה מוקדם, לפני שהם הופכים לבעיות דירוג. לפרטים על האופן שבו ההתראות עובדות ברמת התשתית, ראו את סקירת הניטור שלנו.
השורה התחתונה על אבטחה ו-SEO
אבטחת אתרים אינה נפרדת מאסטרטגיית ה-SEO שלכם. היא חלק מהיסודות שעליהם ה-SEO עומד. אתר שנדבק, מסומן, או מושבת מאבד דירוגים — לפעמים לצמיתות. אתר שנטען מהר, נשאר פעיל ושומר על בטיחות המבקרים זוכה לאמון הן מ-Google והן מהאנשים שמבקרים בו.
הבשורה הטובה היא שרוב זה אינו מסובך. SSL תקף, חומת אש, גיבויים קבועים וניטור פעיל מכסים את רוב הסיכונים. המטרה היא להפוך את הדברים האלה לאוטומטיים ובלתי נראים — כך שהם תמיד פועלים ברקע, בין אם אתם חושבים עליהם ובין אם לא.
