Lo studio pubblicato il 1 ottobre da GoDaddy mette in luce quanto la sicurezza web influisca direttamente sulla SEO.
Indice dei contenuti
ToggleLo studio in verità conferma ciò che da sempre chi opera come SEO o webmaster dovrebbe conoscere bene: la sicurezza e la protezione dei dispositivi dai quali si opera e la sicurezza dei singoli siti web dovrebbero essere le basi dalle quali partire per progettare in primis l’architettura di sito e poi successivamente la strategia SEO da adottare.
I numeri pubblicati nel GoDaddy’s Web Security Report lasciano ben poco all’immaginazione, ma sopratutto dovrebbero far riflettere sul modus operandi da seguire costantemente anche quando un sito è on-line.
In altre parole anche se un sito non è stato violato, gli attacchi costanti degli hacker possono impedire a GoogleBot di analizzare correttamente il sito, causando, ad esempio, non solo rallentamenti significativi nel traffico web ma arrivando persino a far smettere di mostrare le pagine web a Google.
Uno dei tanti esempi potrebbero essere gli error 404 nella Google Search Console per pagine esistenti.
Questi errori si verificano perché Google ha tentato la scansione delle suddette pagine, ma il vostro server risposto dicendo che mancano.
Questo tipo di errore può essere causato da attacchi da parte di website scrapers e hacker.
Secondo lo studio di GoDaddy, il 73,9% dei siti piratati viene hackerato per scopi di SEO, con operazioni che che vanno dalla “facile” aggiunta di link a un sito web alla creazione di nuove pagine web fino ad arrivare a mostrare un sito diverso solo a Google.
Il problema più grande e di difficile gestione è quando un intero sito viene inserito nella blacklist, ed uscire da questo tipo di penalizzazioni, che anche la Google Search Console segnala, non è né facile né così scontato.
Come mostra uno dei grafici pubblicati nel GoDaddy’s Web Security Report una delle operazioni più eseguite dagli hacker è quella di reindirizzare i visitatori del sito web verso siti dannosi.
Monitoraggio della sicurezza web
Su oltre 65.000 siti web monitorati da GoDaddy il 90% si potrebbe trovare in uno “stato infetto”, senza che da parte di Google sia stato rilevato alcun attacco. Ecco perché sarebbe buona prassi utilizzare dei programmi esterni che mettano in totale sicurezza i siti utilizzando anche un CDN, DDoS Protection, protocolli SSL ecc.
Se si pensa che il 58% delle vittime americane di attacchi di malware sono piccole imprese ben si capisce il business che si nasconde dietro le attività degli hacker.
Uno degli attacchi a più rapida crescita è il ransomware, in cui i criminali tengono in ostaggio i dati elettronici fino al pagamento.
Uno su cinque piccole e medie imprese americane ha affrontato una minaccia da ransomware nell’ultimo anno, costando agli operatori centinaia di milioni di dollari. Quando gli imprenditori contattano le forze dell’ordine, in genere il consiglio è di pagare.
I plugin WordPress e la sicurezza web
Tutti i CMS, ma in generale tutte le piattaforme non di proprietà che vengono utilizzate per la realizzazione di siti web sono sempre suscettibili di attacchi di massa. Il perché è presto detto: i numeri sono come sempre la risposta. Se un CMS come WordPress viene utilizzato da milioni persone in tutto il mondo, la possibilità di trovare falle e “porte aperte” è più facile e meno dispendioso per un hacker che provare a vulnerare un sito progettato e programmato da zero che viene utilizzato solo per se stessi.
Anni fa era prassi comune per molti webmaster quella di caricare template o plugin hackerati così da “risparmiare” soldi e tempo. In verità soprattutto questi template erano un contenitore di backlink spam e non solo ad uso e consumo di chi aveva immesso in circuiti vietati e pirati versioni gratuite di prodotti che costavano anche qualche centinaia di euro, facendo danni spesso irreparabili ai siti dei propri clienti e non solo.
Basti pensare ai tanti WHM o ai domini con IP condiviso dove basta che un sito non aggiornato allocato in quel server venga attaccato per avere buone possibilità che l’attacco si possa propagare anche agli altri.
Ecco perché per i siti realizzati in WordPress sarebbe sempre bene utilizzare plugin di sicurezza e tra i più popolari ricordiamo WordFence e Sucuri Security.
Questi plugin monitorano e analizzano i potenziali eventi di hacking e hanno anche funzioni firewall che bloccano temporaneamente o permanentemente gli hacker.
Possono anche bloccare gli indirizzi IP dei visitatori che si comportano in modo sospettoso.
Buona prassi, comunque, sarebbe quella di rivedere ogni singolo plugin e script che si utilizza, premesso che l’utilizzo del template dovrebbe passare prima da una scelta accurata solo nei marketplace ed e-commerce certificati.
Un’operazione che bisognerebbe sempre fare dovrebbe essere quella di cercare su Google il nome del plugin per verificare se troviamo notizie di precedenti hackeraggi.
Su Google si potrebbe cercare:
Nome del plugin + hacked
Nome del plugin + bug
Non utilizzare Google come antivirus
Secondo la ricerca di GoDaddy, solo il 50% delle aziende intervistate ha indicato di utilizzare un sistema di monitoraggio per la protezione della sicurezza.
Aggiungiamo noi che molti SEO e webmaster utilizzano molto sporadicamente la Google Search Console per monitorare lo stato di salute del singolo sito, anche se, come abbiamo detto, Google non rileva tutte le attività sospette e/o illegali.
Ecco perché un terzo plugin WordPress da utilizzare è Two Factor Authentication degli autori del plugin di backup UpDraftPlus WordPress. Il plugin funziona sia con Authy che con Google Authenticator, e con altri popolari sistemi di autenticazione a due fattori.
Infine, ci sono servizi che monitorano i contenuti per scopi SEO, ma possono anche fornire un ulteriore livello di protezione. Così, se un plugin va “fuori strada” e inizia a fare qualcosa che non dovrebbe essere, verrà notificato. Se un aggressore sta aggiungendo link ad un sito web, il software di monitoraggio può avvisarti di questo.
Uno di questi servizi si chiama ContentKing, un controllo SEO in tempo reale che fa anche la tracciabilità dei contenuti.
[via searchenginejournal.com]