SSL · Заголовки · РКН · Чёрные списки

Проверка безопасности сайта онлайн

Комплексная проверка: SSL-сертификат, HTTP-заголовки безопасности, наличие в реестре РКН и чёрных списках. Бесплатно и без регистрации.

Введите домен без http:// и www

Что проверяем в безопасности

Безопасность сайта — это не только SSL-сертификат. Современные браузеры и поисковики оценивают наличие целого набора защитных HTTP-заголовков.

Что анализируем

  • SSL/TLS-сертификат и срок действия
  • HTTPS-редирект с HTTP
  • HSTS (принудительный HTTPS)
  • Content-Security-Policy (CSP)
  • X-Frame-Options (защита от Clickjacking)
  • X-Content-Type-Options
  • Наличие в реестре РКН

Безопасность сайта и SEO

Google с 2014 года учитывает HTTPS как фактор ранжирования. Яндекс также отдаёт предпочтение защищённым ресурсам. Просроченный SSL или отсутствие HTTPS — прямой путь к падению трафика.

Chrome помечает сайты без HTTPS как «Небезопасные» в адресной строке — это снижает доверие пользователей и ухудшает поведенческие факторы.

Критичные проблемы

  • Нет SSL или он просрочен
  • HTTP не редиректит на HTTPS
  • Сайт в реестре РКН
  • Отсутствуют базовые заголовки безопасности
Частые вопросы
CSP (Content-Security-Policy) — заголовок безопасности, который указывает браузеру какие ресурсы разрешено загружать на странице. Защищает от XSS-атак и внедрения вредоносного кода.
X-Frame-Options запрещает встраивать сайт в iframe на других сайтах. Защищает от атак Clickjacking, при которых злоумышленник поверх вашего сайта накладывает невидимые элементы управления.
Заголовки безопасности настраиваются в конфигурации веб-сервера (nginx.conf, .htaccess) или через PHP-код. На Beget и большинстве хостингов их можно добавить через .htaccess с директивой Header always set.
HSTS (HTTP Strict Transport Security) — заголовок, который указывает браузеру всегда использовать HTTPS. Включается добавлением заголовка: Strict-Transport-Security: max-age=31536000; includeSubDomains. После включения нельзя вернуться на HTTP без потери трафика пользователей.
X-Frame-Options: SAMEORIGIN запрещает встраивать сайт в iframe с чужих доменов. Это защита от clickjacking — атак, когда злоумышленник накладывает прозрачный iframe и перехватывает клики пользователя. Без этого заголовка ваш сайт можно незаметно встроить на фишинговую страницу.
CSP — заголовок, ограничивающий источники ресурсов (скриптов, стилей, изображений). Защищает от XSS-атак. Например, Content-Security-Policy: script-src 'self' разрешает только скрипты с вашего домена. Внедрение требует тщательного тестирования.
Да. HTTPS является прямым фактором ранжирования для Google (с 2014). Взломанные сайты помечаются в поисковой выдаче предупреждением «Этот сайт может быть опасен», что обнуляет CTR. Google Search Console присылает уведомления о заражении — проверяйте регулярно.