Seguretat web i SEO, més enllà del HTTPs

Ja fa uns anys que Google va anunciar que passava a valorar la presència del protocol de seguretat HTTPs com a senyal de posicionament. En el seu moment, aquesta notícia va obrir el debat sobre si la seguretat d'un web influïa en el seu posicionament. Malgrat això, en molts casos es redueixen les mesures de seguretat implementades en un web per motius SEO a la instal·lació del certificat SSL.

Però, ¿La relació entre el SEO i la seguretat d'un web comença i acaba en el protocol HTTPS? La realitat és que una seguretat web deficient pot portar molts problemes i, de vegades, arribar a aniquilar el posicionament d'un web. Penseu en mesos i mesos, fins i tot anys de treball d'optimització SEO minvats per no invertir en la protecció del nostre portal. Les pèrdues econòmiques en aquests casos són una realitat, com relata GoDaddy en el seu estudi de seguretat de llocs web de petites empreses, superant en alguns casos els 5000 $.

Analitzem quina relació hi ha entre el SEO i la seguretat, les conseqüències negatives que pot portar una mala o nul·la pràctica de seguretat al nostre web i com actuar per detectar, prevenir i solucionar problemes de posicionament derivats de la mateixa.

Quina relació hi ha entre SEO i la seguretat d'un web?

A priori, deixant de banda el protocol HTTPs que comentarem més endavant, no hi ha una relació directa o causal entre el posicionament orgànic i la seguretat d'un web.

On s'estableix llavors la relació entre el SEO i la seguretat web? Principalment en les conseqüències negatives que deriven, per exemple, d'un atac d'injecció de codi maliciós al nostre web. Durant aquest tipus de situacions el més segur és que els principals motors de cerca, amb Google al capdavant, eliminin dels seus resultats el nostre web.

Si a més no som capaços de reaccionar ràpidament, detectant i solucionant el problema de manera àgil, les pèrdues de trànsit orgànic es prolongaran en el temps i serà més difícil recuperar-nos de la caiguda.

Per això, podem afirmar que entre el SEO i la seguretat d'una web hi ha relació, recolzada principalment per les penalitzacions dels motors de cerca en les quals podem incórrer davant un atac al nostre web.

Conseqüències negatives per al SEO de no tenir cura de la seguretat d'un web

Com hem vist, la inexistència de mesures de seguretat en un web pot desembocar en conseqüències molt negatives per al SEO. Les principals, les resumim a continuació:

• Desindexació del web. La mesura més dràstica que prendrà Google si detecta que el nostre lloc web ha estat infectat per algun tipus de malware, enginyeria social o similar és la desindexació completa del web. Evidentment, deixarem de rebre trànsit orgànic. I si el nostre negoci a Internet basa una part important de les seves visites en el SEO, les conseqüències poden arribar a ser devastadores.
• Etiquetatge del Snippet en els resultats. Una altra de les accions que aplica Google en detectar que la seguretat del nostre web s'ha vist compromesa és afegir un text d'advertència per als usuaris en el Snippet del nostre web que mostra en les pàgines de resultats. Tot i que no impedeix l'accés al web, la presència d'aquest text exercirà un efecte dissuasiu en els usuaris, que preferiran accedir a un altre portal abans que a un infectat.
• Percepció dels usuaris. Encara que de forma indirecta, si la nostra imatge de marca es veu danyada per l’atac al nostre web, repercutirà negativament en el SEO. Penseu, per exemple, en la impressió que deixaria un portal bancari si milers dels seus usuaris visitessin el web i es trobessin amb un avís de seguretat. La confiança en l'empresa es veuria minvada i disminuirien les cerques de marca.
• Impossibilitat de rastreig. Els atacs a un web, especialment els de força bruta o DDoS, poden perjudicar el rendiment i fins i tot deixar inactiu el nostre servidor. Això implica que si en aquest moment el bot de Google intenta rastrejar el nostre web, no podrà fer-ho.

¿La seguretat pot considerar llavors com un factor de posicionament a Google?

No. Encara que l'atac a un web pugui tenir repercussions negatives en el tràfic orgànic, no es tracta d'un factor de posicionament com a tal. Amb una excepció: la presència del certificat de seguretat HTTPs, avalada per Google com a senyal de posicionament.

Com monitoritzar la seguretat del teu web?

Sabent ja les nefastes conseqüències que pot tenir un atac al nostre web, hem de implementar recursos que ens permetin detectar quan s'ha infectat nostre portal. Principalment, per dos motius.

D'una banda, per l'evident amenaça de seguretat que pot afectar tant al nostre web com als usuaris que la visitin.

D'altra banda, si aconseguim detectar la infecció abans que Google, podrem evitar les penalitzacions associades.

Aquests són alguns dels mètodes que us permetran analitzar de forma puntual o periòdica el vostre lloc web i detectar si s'ha produït una infecció:

• Operador de cerca "site:": amb una simple consulta podem verificar si el nostre lloc web està indexat a Google (per exemple, site:latevaweb.com). En cas negatiu, una de les causes possibles és un atac al nostre portal.
• Search Console: l'eina de Google per analitzar el trànsit de cerca inclou un apartat anomenat "Problemes de seguretat" en què se'ns informarà de qualsevol problema detectat per Google.
• Rastreig periòdic de la web. Si fem rastrejos amb freqüència del nostre web, podem detectar si hi ha continguts generats per un atac, fins i tot pàgines d'Spam.
• Eines externes. Algunes empreses ofereixen serveis de monitorització externa que ens informen quan es produeix un atac al nostre web. Fins i tot alguns proveïdors d'allotjaments incorporen aquest tipus d'eines.
• Safe Browsing de Google. Aquest portal, a més d'advocar per les bones pràctiques en el camp de la seguretat web, incorpora una eina per analitzar si un web està afectat per alguna amenaça. I si volem anar un pas més enllà, també podem utilitzar l'API Safe Browsing per automatitzar via codi aquesta comprovació.
• Pèrdua de trànsit orgànic. Encara que sembli obvi, si detectem que hem perdut visites procedents de Google o altres motors de cerca, una de les possibles explicacions és el hackeig i posterior penalització del nostre web.

Mesures bàsiques per millorar la seguretat del teu web

Després d'aprendre a detectar quan el nostre lloc web ha estat atacat i el nostre trànsit orgànic s'ha vist afectat, podem passar a implementar mesures de seguretat per prevenir aquestes situacions.

Evidentment, seria pràcticament impossible abastar totes les accions a nivell de seguretat web que podem aplicar tenint en compte totes les variables implicades: tecnologia de servidor, llenguatge de programació, proveïdor d'allotjament, gestor de continguts, etc.

En aquest sentit, llistarem algunes de les mesures de seguretat més bàsiques per aplicar en gairebé qualsevol tipus de lloc web:

• HTTPs: la instal·lació d'un certificat de seguretat SSL és una pràctica molt comuna. De fet, la majoria de proveïdors de hosting l'ofereixen de forma gratuïta. Tingueu en compte que aquest tipus de certificat solen incloure únicament el domini principal del nostre web, amb i sense www. Hi certificats més avançats que cobreixen la totalitat del lloc web. Un cop habilitat, cal comprovar que s'ha implementat de forma correcta.
• Configuració del fitxer .htaccess: sense entrar en detalls tècnics, a través d'aquest fitxer podem blindar alguns punts sensibles del nostre web. Per exemple, restringint l'accés a determinats fitxers i carpetes del servidor, o bloquejant específicament User-agents sospitosos.
• CDN: l'ús d'una xarxa de distribució de continguts pot contribuir a augmentar la seguretat del vostre web. Habitualment, aquests serveis incorporen mesures com tallafocs o prevenció d'atacs de denegació de servei.
• Seguretat dels usuaris que editen el web: una àrea habitualment oblidada és la incorporació de mesures de seguretat en els equips que tenen accés a l'administrador del web o al seu codi font. Un virus en un ordinador del programador encarregat de pujar una nova pàgina a un web pot derivar en la infecció de tot el nostre portal.
• Contrasenyes adequades: "123456" o "password" són algunes de les contrasenyes més habituals en els últims anys. Hem d'evitar aquest tipus de pràctiques en tots els accessos del nostre web.
• Actualitzar la tecnologia: les actualitzacions que afecten al servidor o als gestors de contingut són importants. Un volum important de llocs web s'infecta per utilitzar versions antiquíssimes de CMS, plugins o mòduls de servidor.
• Auditories de seguretat: eines online com Observatory de Mozilla analitzen el nostre web a la recerca de vulnerabilitats habituals. Solucionant-les evitarem molts dels atacs més habituals.

Com recuperar-te davant d'una penalització de Google?

Tant si hem aplicat mesures de seguretat al nostre web, com si hem ignorat per complet aquest camp, pot arribar el fatídic dia en què el nostre web sigui infectat. I encara pitjor, que Google el penalitzi.

Si ens trobem en aquesta situació, haurem de seguir una sèrie de passos per recuperar-nos de la penalització:

• Eliminar la infecció. La nostra prioritat ha de ser eliminar qualsevol traç del codi introduït per l'atac. Si som ràpids, en alguns casos evitarem que Google detecti el problema. Fins i tot mentre treballem en la solució, podem enviar un codi de resposta 503, que li indicarà al bot de rastreig de Google que el web no està disponible temporalment.
• Prevenir futurs atacs. Si detectem el forat de seguretat, haurem implementar les mesures necessàries per evitar que es torni a produir un atac.
• Alta a Search Console. Si no ho hem fet abans, haurem d'incorporar Search Console al nostre web.
• Monitoritzar Search Console. En l'apartat Problemes de seguretat se'ns indicarà si Google ha detectat alguna infecció al web i, en alguns casos, les pàgines afectades. Si és així, haurem d'utilitzar el formulari de sol·licitud de reconsideració per indicar a Google que ja hem solucionat el problema, com ho hem fet i demanar la indexació o eliminació de l'alerta. Ens convé incorporar detalls específics del procés perquè Google compti amb tota la informació possible del nostre cas.
• Realitzar un test de rastreig. És molt recomanable verificar que, un cop eliminada la infecció, el web pot ser rastrejat correctament.
• Esperar. El procés de reconsideració per part de Google es pot allargar dies, fins i tot setmanes. En aquest espai de temps, podem valorar incorporar fonts de trànsit alternatives per reduir l'impacte de la penalització al nostre web.

En resum ...

Encara que seguim aquests últims passos, és possible que mai recuperem el posicionament que havíem aconseguit. L'impacte negatiu que pot arribar a tenir una caiguda parcial o total del trànsit orgànic produïda per una penalització a Google fa imperatiu treballar en la seguretat d'un web. A La Teva Web, agència de SEO a Barcelona, hem viscut de primera mà casos d'aquestes característiques: des d’infeccions parcials que deterioren la imatge de marca, fins a desindexacions completes que anul·len la captació de tràfic de webs senceres.

Tot i que Google només estableixi el vincle directe entre el HTTPs i els factors de posicionament, la realitat és que SEO i seguretat web han d'anar de la mà.