SSL · Заголовки · РКН · Чёрные списки
Проверка безопасности сайта онлайн
Комплексная проверка: SSL-сертификат, HTTP-заголовки безопасности, наличие в реестре РКН и чёрных списках. Бесплатно и без регистрации.
Что проверяем в безопасности
Безопасность сайта — это не только SSL-сертификат. Современные браузеры и поисковики оценивают наличие целого набора защитных HTTP-заголовков.
Что анализируем
- SSL/TLS-сертификат и срок действия
- HTTPS-редирект с HTTP
- HSTS (принудительный HTTPS)
- Content-Security-Policy (CSP)
- X-Frame-Options (защита от Clickjacking)
- X-Content-Type-Options
- Наличие в реестре РКН
Безопасность сайта и SEO
Google с 2014 года учитывает HTTPS как фактор ранжирования. Яндекс также отдаёт предпочтение защищённым ресурсам. Просроченный SSL или отсутствие HTTPS — прямой путь к падению трафика.
Chrome помечает сайты без HTTPS как «Небезопасные» в адресной строке — это снижает доверие пользователей и ухудшает поведенческие факторы.
Критичные проблемы
- Нет SSL или он просрочен
- HTTP не редиректит на HTTPS
- Сайт в реестре РКН
- Отсутствуют базовые заголовки безопасности
Частые вопросы
CSP (Content-Security-Policy) — заголовок безопасности, который указывает браузеру какие ресурсы разрешено загружать на странице. Защищает от XSS-атак и внедрения вредоносного кода.
X-Frame-Options запрещает встраивать сайт в iframe на других сайтах. Защищает от атак Clickjacking, при которых злоумышленник поверх вашего сайта накладывает невидимые элементы управления.
Заголовки безопасности настраиваются в конфигурации веб-сервера (nginx.conf, .htaccess) или через PHP-код. На Beget и большинстве хостингов их можно добавить через .htaccess с директивой Header always set.
HSTS (HTTP Strict Transport Security) — заголовок, который указывает браузеру всегда использовать HTTPS. Включается добавлением заголовка: Strict-Transport-Security: max-age=31536000; includeSubDomains. После включения нельзя вернуться на HTTP без потери трафика пользователей.
X-Frame-Options: SAMEORIGIN запрещает встраивать сайт в iframe с чужих доменов. Это защита от clickjacking — атак, когда злоумышленник накладывает прозрачный iframe и перехватывает клики пользователя. Без этого заголовка ваш сайт можно незаметно встроить на фишинговую страницу.
CSP — заголовок, ограничивающий источники ресурсов (скриптов, стилей, изображений). Защищает от XSS-атак. Например, Content-Security-Policy: script-src 'self' разрешает только скрипты с вашего домена. Внедрение требует тщательного тестирования.
Да. HTTPS является прямым фактором ранжирования для Google (с 2014). Взломанные сайты помечаются в поисковой выдаче предупреждением «Этот сайт может быть опасен», что обнуляет CTR. Google Search Console присылает уведомления о заражении — проверяйте регулярно.