Site Security Report

Dieser Bericht enthält Indikatoren, die die Sicherheit betreffen und die Suchmaschinen bei der Bewertung einer Website in Google berücksichtigen.

Wenn Sie auf den Link „Beschreibung“ klicken, öffnet sich ein Tooltip mit Informationen zu diesen Parametern und erklärt, was sie bedeuten.

SSL-Zertifikat

SSL (Secure Sockets Layer) ist die Standard-Sicherheitstechnologie zur Einrichtung einer verschlüsselten Verbindung zwischen einem Webserver und einem Browser. Google verwendet jetzt HTTPS als Ranking-Signal. Websites, die HTTPS verwenden, haben einen leichten Ranking-Vorteil, wenn HTTPS aktiviert ist.

Gültig bis

Wenn das SSL-Zertifikat abgelaufen ist, wird eine Warnung ausgegeben, wie z.B.: „Potenzielle Sicherheitsrisiken voraus“. Wenn jemand eine „unsichere“ Website-URL besucht, erhält er über den Browser die Meldung, dass die Seite nicht sicher ist, und dass er die Seite verlassen sollte, um sicher zu bleiben. Abgelaufene Zertifikate können eine Reihe negativer Konsequenzen für den Website-Besitzer haben: Höchstwahrscheinlich werden viele potenzielle Kunden die Seite aufgrund dieser Meldungen verlassen, und der Seiteninhaber wird wahrscheinlich Geschäft an seine Wettbewerber verlieren. Wenn zu viele Website-Besucher Ihre Seite verlassen – was in diesem speziellen Beispiel wahrscheinlich ist – wird Google Ihre Website aufgrund schlechter Absprungraten und unzureichender Zufriedenheit mit der Suchanfrage in den SERPs herabstufen.

Selbstsigniertes Zertifikat

Um das grüne Schloss und das „sichere“ Zeichen in Google Chrome zu erhalten, benötigen Sie ein von einer vertrauenswürdigen CA signiertes SSL-Zertifikat. Sie benötigen dies auch, um den kleinen Google-Ranking-Vorteil von HTTPS zu erhalten. Ein selbstsigniertes Zertifikat kann direkt auf jedem Webserver erstellt werden, hat jedoch keinen Wert für Suchmaschinen, und daher zeigen Browser einen Fehler an. Selbstsignierte Zertifikate sind für öffentliche Seiten nicht akzeptabel und nützlich, da jeder Benutzer, der die Seite besucht, eine Mitteilung sieht, dass das Zertifikat aufgrund seiner Selbstsignierung ungültig ist.

Wie behebt man das Problem?

Diese Zertifikate werden von Suchmaschinen nicht akzeptiert, was bedeutet, dass ein Benutzer, der Ihre Seite betritt, eine Benachrichtigung sieht, dass die Seite möglicherweise gefährlich ist. Sie können auch Ihre SEO-Bemühungen schädigen, da:

1. Benutzer von potenziell gefährlichen Seiten zurückspringen.
2. Suchmaschinen Seiten herabstufen, die nicht sicher sind. Selbstsignierte Zertifikate sollten nur in der Entwicklungsphase einer Seite verwendet werden.

Um das Problem zu beheben, benötigen Sie ein von einer vertrauenswürdigen CA signiertes SSL-Zertifikat. Dies gibt Ihnen dann das grüne Schloss und das sichere Zeichen in Google sowie die Möglichkeit, HTTPS zu verwenden. Es gibt mehrere Unternehmen, die online ein CA-signiertes Zertifikat anbieten.

Die Domain ist im Zertifikat aufgeführt

SSL-Zertifikate sind für eine spezifische Domain. Sie können nicht für andere Domains verwendet werden. Der Browser warnt die Besucher, wenn sie auf mehreren Seiten verwendet werden, und informiert den Benutzer, dass die besagte Seite gefährlich ist. Dies erhöht die Absprungrate der Seite. Die Suchmaschinen überprüfen ebenfalls das Zertifikat, und wenn sie feststellen, dass ein SSL-Zertifikat ohne den aufgeführten Domainnamen verwendet wird, werden sie die Seite wahrscheinlich herabstufen, bis das Problem behoben ist.

Wie behebt man das Problem?

Ein SSL-Zertifikat kann nur für eine spezifische Domain verwendet werden, daher ist es wichtig, dass die Domain im SSL-Zertifikat aufgeführt ist, andernfalls könnte Ihre Seite als „gefährlich“ eingestuft werden, was das Ranking, die Absprungraten usw. beeinflusst.

Um dies zu beheben, geben Sie einfach den Domainnamen im SSL-Zertifikat an. Ob das durch Kontaktaufnahme mit dem Entwickler/Unternehmen geschieht, das dies für Sie gemacht hat, oder ob Sie es selbst tun. Wenn Sie ein Drittanbieterunternehmen wie GoDaddy verwenden, geben sie Ihnen normalerweise Schritte, wie Sie dies über ihr Dashboard tun können.

Vertrauenswürdiges Zertifikat

Wenn ein SSL-Zertifikat nicht vom Registrierungszentrum bestätigt ist, zeigt der Browser ein Zeichen über die Gefährlichkeit der Seite an, was die Benutzer wahrscheinlich abschrecken wird. Die Suchmaschinen überprüfen ebenfalls das Zertifikat, und wenn ein Problem auftritt, wird die Website schnell ihre Position in den Suchergebnissen verlieren, da sie als „unvertrauenswürdig“ angesehen wird.

Wie behebt man das Problem?

Wenn ein SSL-Zertifikat nicht vertrauenswürdig ist, bedeutet dies normalerweise, dass es nicht vom Registrierungszentrum validiert wurde oder dass Sie keine vertrauenswürdige Zertifizierungsstelle (CA) verwendet haben. Dies wird erneut Ihr Ranking beeinträchtigen, da das „Gefahr“-Zeichen für Ihre Seite angezeigt wird, was dazu führt, dass Benutzer von der Seite zurückspringen und eine Herabstufung in den Rankings erfolgt.

Um dies zu beheben:

1. Stellen Sie sicher, dass Sie eine vertrauenswürdige Zertifizierungsstelle verwenden.
2. Wenn die Installation nicht ordnungsgemäß abgeschlossen wurde, wiederholen Sie sie oder bitten Sie das Unternehmen, das dies getan hat, es erneut zu tun.
3. Stellen Sie sicher, dass das Zertifikat nicht abgelaufen ist. Wenn es abgelaufen ist, müssen Sie ein neues SSL-Zertifikat erwerben.

301-Weiterleitung von HTTP zu HTTPS

Es hat keinen Sinn, für SSL zu bezahlen, wenn Suchmaschinen und Benutzer die Seite weiterhin über HTTP besuchen. Sie müssen den gesamten Verkehr über eine 301-Weiterleitung in der .htaccess von der HTTP-Version Ihrer Seite (unprotected und unverschlüsselt) zur HTTPS-Version Ihrer Website (geschützt und verschlüsselt) umleiten.

Port 443 wird in der URL angezeigt

Wenn Ihr Server falsch konfiguriert ist, kann der Port 443 in der URL erscheinen. Dies sieht für Benutzer nicht gut aus und kann sie über den Namen Ihrer Marke und den Zugriff auf Ihre Seite verwirren. Ein Beispiel dafür wäre https://example.com:443, was verwirrend ist und nicht so „sauber“ aussieht wie https://example.com.

Wie behebt man das Problem?

Wenn der Port 443 in Ihrer URL angezeigt wird, deutet dies darauf hin, dass Ihr Server falsch konfiguriert ist, was bedeutet, dass eine falsche URL angezeigt wird. Um dies zu beheben, fügen Sie den folgenden Code in die nginx.conf im HTTP-Bereich ein:

http { ... proxy_redirect ~^http://([^:]+):443(/.+)$ https://$1$2; ... }

Dies überschreibt jede Standortheader-Anforderung, die mit Regex auf Port 443 übereinstimmt, mit dem richtigen Schema.

Lesen Sie hier mehr: nginx-Dokumentation

Nachdem dies abgeschlossen ist, stellen Sie sicher, dass Sie nginx neu starten, um die Änderungen zu sehen.

Ihre IP-Adresse wurde auf die schwarze Liste gesetzt

RBL / DNSBL-Datenbanken sind schwarze Listen von IP-Adressen, die häufig für Spam-Taktiken verwendet werden. Eine Seite kann auf die schwarze Liste gesetzt werden, nachdem sie mehrere Spam-Beschwerden erhalten hat. Wenn Sie Shared Hosting mit einer gemeinsamen IP-Adresse verwenden, kann Ihre IP-Adresse aufgrund anderer bösartiger Spammer, die diese IP-Adresse verwenden, auf die schwarze Liste gesetzt werden. Auf die schwarze Liste gesetzte IP-Adressen gelten in den Augen von Suchmaschinen als nicht vertrauenswürdig, und Mailserver können eingehende E-Mails von Ihrer Domain als „Spam“ kennzeichnen oder sie sogar ganz blockieren. Sie möchten nicht, dass Ihre IP auf die schwarze Liste gesetzt wird, und wenn dies der Fall ist, müssen Sie eine neue dedizierte IP-Adresse von Ihrem Hosting-Anbieter arrangieren.

Wie behebt man das Problem?

Wenn Sie eine IP-Adresse auf Shared Hosting mit einer anderen Website teilen, die Spam-Taktiken verwendet hat, besteht das Risiko, dass Ihre Seite ebenfalls auf die schwarze Liste gesetzt wird. Die RBL/DNSBL sind Datenbanken, die auf die schwarze Liste gesetzte IP-Adressen enthalten. Auf die schwarze Liste gesetzt zu werden, wird Ihre Fähigkeit beeinträchtigen, in den Rankings zu erscheinen. Um dies zu beheben, müssen Sie eine neue dedizierte IP-Adresse von Ihrem Hosting-Anbieter arrangieren.

Seiten mit <frame>/<iframe>

Das <iframe>-HTML-Element stellt einen verschachtelten Browsing-Kontext dar und bettet eine andere HTML-Seite in die aktuelle ein. Das <iframe>-Element kann ein Sicherheitsrisiko darstellen, wenn eine feindliche Seite sich selbst in ein iframe auf Ihrer Seite einbettet. Wenn jemand eine Seite kompromittiert, die in einem iframe ist, kann er möglicherweise die Integrität Ihrer Seite gefährden. Ein böswilliger Hacker kann ein iframe verwenden, um eine verwundbare Seite über CSRF auszunutzen. Und iframes können von Angreifern in einem „UI Redress Attack“ verwendet werden. Daher sollten Sie beim Hinzufügen eines iframes von einer nicht vertrauenswürdigen Seite vorsichtig sein.