Cybersecurity in SEO: hoe website-beveiliging de prestaties van SEO beïnvloedt

9 min


136

Websitebeveiliging – of het ontbreken daarvan – kan een directe invloed hebben op uw SEO-prestaties.

Zoekspecialisten kunnen zelfgenoegzaam worden. Marketeers raken vaak verstrikt in een perceptie van wat SEO is en beginnen over het hoofd te zien wat SEO zou moeten zijn.

De industrie heeft lange tijd de permanente impact ondervraagd die een website-hack kan hebben op organische prestaties.

En velen beginnen zich af te vragen welke rol preventieve beveiligingsmaatregelen kunnen spelen in de evaluatie van Google van een bepaald domein.

Dankzij de introductie van de GDPR en de bijbehorende voorschriften zijn kwesties als cyberveiligheid en gegevensprivacy teruggekeerd naar de strijd.

Het debat gaat door. Wat is de werkelijke prijs van een aanval? In hoeverre beïnvloedt website-beveiliging mijn ranking?

De waarheid is dat veel bedrijven het belang van het beveiligen van hun digitale assets nog niet hebben begrepen. Tot nu toe werd het vaststellen van on-site kwetsbaarheden beschouwd als een andere skillset dan SEO . Maar dat zou niet zo moeten zijn.

Een leider zijn – zowel in gedachte- als zoekprestaties – gaat over proactief zijn en de bases bestrijken die jouw concurrentie niet heeft.

Websitebeveiliging wordt vaak verwaarloosd bij het bespreken van langetermijnplannen voor digitale marketing. Maar in werkelijkheid zou dit het signaal kunnen zijn dat u onderscheidt.

Wanneer werd de laatste keer cybersecurity besproken tijdens uw SEO-site-audit of strategievergadering?

Hoe beïnvloedt website-beveiliging SEO?

HTTPS werd genoemd als een rangordefactor en naar buiten toe gepusht in updates voor de Chrome-browser. Sindsdien is HTTPS voor het grootste deel het ‘poster-kind’ van cybersecurity in SEO geworden.

Maar zoals de meesten van ons weten, stopt de beveiliging niet bij HTTPS. En HTTPS betekent zeker niet dat u een beveiligde website heeft.

Ongeacht HTTPS-certificering, onderzoek toont aan dat de meeste websites gemiddeld 58 aanvallen per dag zullen meemaken . Bovendien is maar liefst 61 procent van al het internetverkeer geautomatiseerd – wat betekent dat deze aanvallen niet discrimineren op basis van de omvang of populariteit van de betreffende website.

Geen enkele site is te klein of te onbeduidend om aan te vallen. Helaas stijgen deze aantallen alleen maar. En aanvallen worden steeds moeilijker te detecteren.

1. Blacklisting

Als – of wanneer – u wordt aangevallen voor een aanval, is direct financieel verlies niet de enige reden tot bezorgdheid. Een gecompromitteerde website kan SERP’s verstoren en kan worden onderworpen aan een reeks handmatige boetes van Google.

Dat gezegd hebbende, zoekmachines geven slechts een fractie van het totale aantal websites weer dat met malware is geïnfecteerd.

Uit het recente rapport van GoDaddy blijkt dat in 90 procent van de gevallen geïnfecteerde websites helemaal niet zijn gemarkeerd.

Dit betekent dat de operator continu kan worden getarget zonder dat hij het weet, waardoor uiteindelijk de strengheid van de opgelegde sancties wordt verhoogd.

Zelfs zonder op de zwarte lijst te staan, kunnen de rankings van een website nog steeds last hebben van een aanval. Het toevoegen van malware of spam aan een website kan alleen maar een negatief resultaat hebben.

Het is duidelijk dat degenen die blijven vertrouwen op symptomen of waarschuwingen van Google die naar buiten gericht zijn, mogelijk malware over het hoofd zien die hun bezoekers beïnvloedt.

Dit creëert een paradox. Wordt gemarkeerd of op de zwarte lijst gezet voor malware beëindigt in wezen uw website en vernietigt uw ranglijst, in ieder geval totdat de site is opgeschoond en de straffen zijn ingetrokken.

Als u niet wordt gemarkeerd wanneer uw site malware bevat, leidt dit tot grotere vatbaarheid voor hackers en tot strengere straffen.

Preventie is de enige oplossing.

Dit is vooral zorgwekkend gezien het feit dat 9 procent of maar liefst 1,7 miljoen websites een grote kwetsbaarheid hebben die de inzet van malware mogelijk zou maken.

Als u geïnvesteerd bent in uw zichtbaarheid op de lange termijn, opereert in een zeer concurrerende markt, of sterk afhankelijk bent van organisch verkeer, dan is waakzaamheid bij het voorkomen van een compromis cruciaal.

2. Crawling fouten

Bots zal onvermijdelijk een aanzienlijk deel van uw website- en applicatieverkeer vertegenwoordigen.

Maar niet alle bots zijn goedaardig. Ten minste 19%  van de bots crawlt websites voor meer schadelijke doeleinden, zoals inhoudschrapen, identificatie van kwetsbaarheden of gegevensdiefstal.

Zelfs als hun pogingen niet succesvol zijn, kunnen voortdurende aanvallen van geautomatiseerde software voorkomen dat Googlebot uw site correct crawlt.

Schadelijke bots gebruiken dezelfde bandbreedte en serverbronnen als een legitieme bot of normale bezoeker.

Als uw server echter gedurende een lange periode onderhevig is aan repetitieve, geautomatiseerde taken van meerdere bots, kan het uw webverkeer gaan vertragen. Als reactie hierop kan uw server mogelijk helemaal geen pagina’s meer weergeven.

Als u vreemde 404- of 503-fouten opmerkt in Search Console voor pagina’s die helemaal niet ontbreken, is het mogelijk dat Google deze heeft gecrawld, maar uw server heeft ze als vermist opgegeven.

Dit soort fouten kan optreden als uw server overbelast is

Hoewel hun activiteit meestal beheersbaar is, kunnen soms zelfs legitieme bots middelen gebruiken tegen een onhoudbaar tarief. Als u veel nieuwe inhoud toevoegt, kan agressief crawlen in een poging dit te indexeren uw server belasten.

Evenzo is het mogelijk dat legitieme bots een fout in uw website kunnen tegenkomen, wat een resource-intensieve bewerking of een oneindige lus tot gevolg heeft .

Om dit te bestrijden, gebruiken de meeste sites server-side caching om vooraf gebouwde versies van hun site te bedienen in plaats van herhaaldelijk dezelfde pagina te genereren bij elke aanvraag, die veel meer middelenintensief is. Dit heeft als bijkomend voordeel dat de laadtijden voor uw echte bezoekers worden verkort, wat Google goedkeurt.

De meeste grote zoekmachines bieden ook een manier om de snelheid te bepalen waarmee hun bots uw site crawlen, om de mogelijkheden van uw servers niet te overbelasten.

Dit heeft geen invloed op hoe vaak een bot uw site crawlt, maar het aantal resources dat wordt verbruikt wanneer ze dat doen.

Om effectief te optimaliseren, moet u de bedreiging tegen u of het specifieke bedrijfsmodel van uw klant herkennen.

Ik heb waardering voor de noodzaak om systemen te maken die onderscheid kunnen maken tussen slecht botverkeer, goed botverkeer en menselijke activiteit. Slecht gedaan, u zou de effectiviteit van uw SEO kunnen verminderen, of zelfs waardevolle bezoekers volledig van uw services kunnen blokkeren.

In het tweede gedeelte behandelen we meer over het identificeren van kwaadaardig botverkeer en hoe het probleem het beste kan worden verholpen.

3. SEO-spam

Meer dan 73% van de gehackte sites in GoDaddy’s studie werden strikt aangevallen voor SEO-spamdoeleinden.

Dit kan een daad van opzettelijke sabotage zijn of een niet-onderscheidende poging om een ​​gezaghebbende website te schrapen, te beschadigen of er misbruik van te maken.

Over het algemeen laden kwaadwillende acteurs sites met spam om legitieme bezoeken te ontmoedigen, ze in linkboerderijen om te zetten en nietsvermoedende bezoekers te aaien met malware of phishing-links.

In veel gevallen maken hackers gebruik van bestaande beveiligingslekken en krijgen ze beheerdersrechten via een SQL-injectie .

Dit soort gerichte aanvallen kan verwoestend zijn. Uw site wordt overspoeld met spam en mogelijk op de zwarte lijst gezet. Uw klanten zullen worden gemanipuleerd. De reputatieschade kan onherstelbaar zijn.

Anders dan blacklisting, is er geen directe SEO-straf voor website-defacements. De manier waarop uw website wordt weergegeven in de SERP-wijzigingen. De uiteindelijke schade is afhankelijk van de aangebrachte wijzigingen.

Maar het is waarschijnlijk dat uw website niet relevant zal zijn voor de vragen die het vroeger was, althans voor een tijdje.

Stel dat een aanvaller toegang krijgt en een frauduleus proces implementeert op uw server dat buiten de hostdirectory opereert.

Ze zouden mogelijk onbelemmerde backdoortoegang tot de server en alle daarin gehoste inhoud kunnen hebben, zelfs na het opschonen van een bestand.

Hiermee kunnen ze duizenden bestanden – inclusief illegale inhoud – op uw server uitvoeren en opslaan.

Als dit populair werd, zouden uw serverbronnen hoofdzakelijk worden gebruikt voor het leveren van deze inhoud. Dit zal uw sitesnelheid aanzienlijk verminderen , niet alleen de aandacht van uw bezoekers verliezen, maar mogelijk uw ranking verlagen.

Andere SEO-spamtechnieken omvatten het gebruik van scraper bots om inhoud, e-mailadressen en persoonlijke informatie te stelen en dupliceren. Of je je nu bewust bent van deze activiteit of niet, je website kan uiteindelijk worden getroffen door boetes voor dubbele inhoud.

Hoe SEO-risico’s te verminderen door de beveiliging van websites te verbeteren

Hoewel het vooruitzicht van deze aanvallen alarmerend kan zijn, zijn er stappen die website-eigenaren en -bureaus kunnen nemen om zichzelf en hun klanten te beschermen. Hier zijn proactiviteit en training de sleutel tot het beschermen van sites tegen succesvolle aanvallen en het waarborgen van organische prestaties op de lange termijn.

1. Schadelijke bots 

Helaas volgen de meeste kwaadwillende bots geen standaardprotocollen als het gaat om webcrawlers. Dit maakt ze uiteraard moeilijker te afschrikken. Uiteindelijk is de oplossing afhankelijk van het type bot waarmee je te maken hebt.

Als u zich zorgen maakt over inhoudschrapers, kunt u handmatig naar uw backlinks of trackbacks kijken om te zien welke sites uw links gebruiken. Als u vindt dat uw inhoud is gepost zonder uw toestemming op een spamsite, dient u een DMCA-klacht in bij Google.

Over het algemeen is uw beste verdediging om de bron van uw kwaadaardig verkeer te identificeren en de toegang tot deze bronnen te blokkeren.

De traditionele manier om dit te doen is om uw logbestanden routinematig te analyseren via een tool zoals AWStats . Dit levert een rapport op met elke bot die uw website heeft gecrawld, de verbruikte bandbreedte, het totale aantal hits en meer.

Normaal botbandbreedtegebruik mag een paar megabytes per maand niet overtreffen.

Als u hierdoor niet de benodigde gegevens krijgt, kunt u altijd uw site- of serverlogbestanden doorlopen. Met behulp van dit, met name de gegevens ‘Bron-IP-adres’ en ‘Gebruikersagent’, kunt u gemakkelijk bots van normale gebruikers onderscheiden.

Schadelijke bots kunnen moeilijker te identificeren zijn omdat ze vaak legitieme crawlers nabootsen door dezelfde of vergelijkbare User Agent te gebruiken.

Als u achterdochtig bent, kunt u een omgekeerde DNS-zoekopdracht uitvoeren op het bron-IP-adres om de hostnaam van de desbetreffende bot op te halen.

De IP-adressen van grote bots van zoekmachines moeten worden omgezet in herkenbare hostnamen als ‘* .googlebot.com’ of ‘* .search.msn.com’ voor Bing.

Bovendien negeren kwaadwillende bots de standaard voor het uitsluiten van robots . Als u bots bezoekt op pagina’s die geacht worden te zijn uitgesloten, geeft dit aan dat de bot mogelijk kwaadaardig is.

2. WordPress plug-ins en extensies 

Een groot aantal aangetaste sites heeft betrekking op verouderde software op het meest gebruikte platform en tools – WordPress en zijn CMS.

WordPress-beveiliging is een allegaartje. Het slechte nieuws is dat hackers specifiek op zoek gaan naar sites die verouderde plug-ins gebruiken om bekende kwetsbaarheden te exploiteren. Bovendien zijn ze voortdurend op zoek naar nieuwe kwetsbaarheden om te misbruiken.

Dit kan tot een veelvoud aan problemen leiden. Als u bent gehackt en uw sitemappen niet zijn afgesloten van het weergeven van hun inhoud, kunnen de indexpagina’s van thema- en plug-in-gerelateerde mappen in de index van Google terechtkomen. Zelfs als deze pagina’s zijn ingesteld op 404 en de resterende site is opgeruimd, kunnen ze uw site een gemakkelijk doelwit maken voor verdere bulkplatform- of plugin-gebaseerde hacking.

Het is bekend dat hackers deze methode misbruiken om de SMTP-services van een site onder controle te krijgen en spam-e-mails te verzenden. Dit kan ertoe leiden dat uw domein op de zwarte lijst komt te staan ​​met e-mailspambestanden.

Als de kernfunctie van uw website legitieme behoefte heeft aan bulk-e-mails – of dit nu nieuwsbrieven, outreachs of deelnemers aan evenementen zijn – kan dit rampzalig zijn.

Hoe dit te voorkomen

Het sluiten van deze pagina’s van indexeren via robots.txt zou nog steeds een veelzeggende voetafdruk achterlaten. Veel sites worden handmatig verwijderd uit de index van Google via het formulier voor het verwijderen van URL-verwijzingen. Samen met verwijdering uit e-mailspambestanden kan dit meerdere pogingen en lange correspondentie duren, waardoor blijvende schade ontstaat.

Aan de positieve kant zijn er tal van beveiligingsinvoegtoepassingen die, indien bijgehouden, u kunnen helpen bij uw inspanningen om uw site te monitoren en te beschermen.

Populaire voorbeelden zijn All-in-One en Sucuri-beveiliging . Deze kunnen controleren en scannen op mogelijke hacking-evenementen en hebben firewall-functies die verdachte bezoekers permanent blokkeren.

Controleer, onderzoek en update elke plug-in en script die u gebruikt. Het is beter om de tijd te investeren in het up-to-date houden van uw plug-ins dan uzelf een gemakkelijk doelwit te maken.

3. Systeemmonitoring en identificatie van hacks 

Veel beoefenaars proberen niet actief te bepalen of een site gehackt is bij het accepteren van potentiële klanten. Afgezien van de meldingen van Google en de klant die transparant is over hun geschiedenis, kan het moeilijk zijn om te bepalen.

Dit proces zou een sleutelrol moeten spelen bij uw beoordeling van bestaande en toekomstige activiteiten. Uw bevindingen hier – zowel in termen van historische als huidige beveiliging – moeten meespelen in de strategie die u kiest om toe te passen.

Met 16 maanden Search Console-gegevens kunnen eerdere aanvallen zoals spaminjectie worden geïdentificeerd door historische vertoningsgegevens bij te houden.

Dat gezegd hebbende, niet alle aanvallen nemen deze vorm aan. En bepaalde verticals ondergaan van nature extreme verkeersvariaties vanwege seizoensgebondenheid. Vraag direct aan uw klant en wees grondig in uw onderzoek.

Hoe dit te voorkomen

Om je beste kans te maken om huidige hacks vroegtijdig te identificeren, heb je speciale tools nodig om te helpen bij het diagnosticeren van zaken als crypto-mining-software, phishing en malware.

Er zijn betaalde services zoals WebsitePulse of SiteLock die een enkele platformoplossing bieden voor het controleren van uw site, servers en applicaties. Dus als een plug-in oneerlijk is, links naar bestaande pagina’s toevoegt, of nieuwe pagina’s maakt, waarschuwt de bewakingssoftware u binnen enkele minuten.

U kunt ook een analyseprogramma voor broncodes gebruiken om vast te stellen of een site is gehackt.

Deze inspecteren uw PHP en andere broncode op handtekeningen en patronen die overeenkomen met bekende malwarecode. Geavanceerde versies van deze software vergelijken uw code met ‘juiste’ versies van dezelfde bestanden in plaats van te scannen op externe handtekeningen. Dit helpt bij het opsporen van nieuwe malware waarvoor een detectiesignatuur mogelijk niet bestaat.

De meeste goede bewakingsservices omvatten de mogelijkheid om dit vanaf meerdere locaties te doen. Gehackte sites dienen vaak niet voor elke gebruiker malware.

In plaats daarvan bevatten ze code die deze alleen weergeeft aan bepaalde gebruikers op basis van locatie, tijdstip, verkeersbron en andere criteria. Door een externe scanner te gebruiken die meerdere locaties bewaakt, voorkomt u het risico dat u een infectie mist.

4. Lokale netwerkbeveiliging

Het is net zo belangrijk om uw lokale veiligheid te beheren als die van de website waaraan u werkt. Het gebruik van een reeks gelaagde beveiligingssoftware heeft geen zin als toegangsbeheer elders kwetsbaar is.

Het aanhalen van uw netwerkbeveiliging is van het grootste belang, of u nu zelfstandig, op afstand of in een groot kantoor werkt. Hoe groter uw netwerk, hoe groter het risico op menselijke fouten, terwijl de risico’s van openbare netwerken niet kunnen worden onderschat.

Zorg ervoor dat u zich houdt aan standaardbeveiligingsprocedures, zoals het beperken van het aantal inlogpogingen dat mogelijk is in een bepaald tijdsbestek, het automatisch beëindigen van verlopen sessies en het elimineren van automatische formuliervullingen.

Waar u ook werkt, codeer uw verbinding met een betrouwbare VPN .

Het is ook verstandig om uw verkeer te filteren met een Web Application Firewall (WAF). Hiermee filtert, monitort en blokkeert u verkeer van en naar een toepassing om te beschermen tegen pogingen tot compromis of gegevensexfiltratie.

Op dezelfde manier als VPN-software, kan dit komen in de vorm van een apparaat, software of as-a-service en bevat het beleid aangepast aan specifieke toepassingen. Dit aangepaste beleid moet worden bijgehouden en bijgewerkt wanneer u uw toepassingen aanpast.

Conclusie

Webbeveiliging is van invloed op iedereen. Als de juiste preventieve maatregelen niet worden genomen en het ergste moet gebeuren, heeft dit duidelijke, langdurige gevolgen voor de site vanuit een zoekperspectief en daarbuiten.

Wanneer u nauw samenwerkt met een website, klant of strategie, moet u een bijdrage kunnen leveren aan de beveiligingsdiscussie of deze kunnen starten als deze nog niet is begonnen.

Als u bent geïnvesteerd in het SEO-succes van een site, is een deel van uw verantwoordelijkheid ervoor te zorgen dat er een proactieve en preventieve strategie is en dat deze strategie actueel blijft.

Het probleem verdwijnt binnenkort niet. In de toekomst zal het beste SEO-talent – bureau, onafhankelijk of intern – een goed begrip hebben van cybersecurity.

Als branche is het van vitaal belang dat we klanten helpen bij te lichten over de potentiële risico’s – niet alleen voor hun SEO, maar ook voor hun bedrijf als geheel.

William Chalk is cybersecurity-onderzoeker en specialist digitale privacy. Hij behandelt deze kwesties voor toonaangevende technische publicaties om onze digitale vrijheden te ondersteunen.


Erwin@delaatbusiness.com
Dag, Hulp nodig met internet marketing of websites maken? neem dan contact op

0 Comments

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Choose A Format
Personality quiz
Series of questions that intends to reveal something about the personality
Trivia quiz
Series of questions with right and wrong answers that intends to check knowledge
Poll
Voting to make decisions or determine opinions
Story
Formatted Text with Embeds and Visuals
List
The Classic Internet Listicles
Countdown
The Classic Internet Countdowns
Open List
Submit your own item and vote up for the best submission
Ranked List
Upvote or downvote to decide the best list item
Meme
Upload your own images to make custom memes
Video
Youtube, Vimeo or Vine Embeds
Audio
Soundcloud or Mixcloud Embeds
Image
Photo or GIF
Gif
GIF format