سئو- استفاده از همه شگردها برای بالابردن ترافیک سایت

اگر شما هم قابلیت مرور با هدف خلاصه سازی را بر روی ورد پرس نصب کرده باشید این سوال برایتان مطرح شده که review wordpress  خوب است یا بد
 از وقتی یکی از دوستان درباره review wordpress نصب شده در سایتش سوالاتی از من  کرد به عنوان یک سئو کار این سوال برای خود من هم مطرح شد
پس به زیر و رو کردن wordpress  review  پرداختم که نتیجه آن به شرح زیر بود
نقاط قوت مرور کننده ورد پرس یا wordpress  reviewer

• رایگان بودن (شما برای خرید و  نصب آن لازم نیست هزینه ای پرداخت نمایید)
• نصب سریع و آسان
• هزاران تم رایگان و افزون موجووددر اینترنت
• برخورداری از یک ویرایشگر تصویری خوب

و اما معایب:

• عدم پشتیبانی خوب از نصب بومی (مثلا زبان فارسی)
• امکانت و ویژگی های ضعیف سئو
• تحت حملات شدید هکرها
• رفع مرتب پچ های نفوذ هکرها(که می تونه نقطه قوتش هم باشد)

از بین نقاط قوت و ضعف ذکر شده در بالا من تنها به یک نقطه ضعف مرورکننده وردپرس که در تخصص خودم هست یعنی نقطه ضعف سئوی آن می پردازم

نقاط ضعف و قوت سئو(بهینه سازی موتورهای جستجو)‌ در مرورکننده وردپرس یا wordpress  reviewer

نکته خوب: ارتباط معنایی بین صفحات از طریق تایتل هر صفحه بر گوگل روشن میشود مثل:

نکته متوسط: تگ های H1 و H2  در آن به خوبی به کار رفته البته با این ایراد که تگ هدر یک یا H1 برای تایتل اصلی سایت بکار رفته و نه تایتل صفحه که غلط است
یک نکته بد: به طور پیش فرض فاقد متا تگ های توضیحات و کلمات کلیدی است که با دانلود و نصب افزونه مرتبط قابل رفع است
یک نکته منفی دیگه: به طور پیش فرض آدرس دهی صفحاتش برای گوگل ناخواناست مثلا به صورت: "/wordpress/?p=1"
که با انجام تغییرات در سمت مدیر قابل اصلاح به صورت "/wordpress/Page_Title/" می باشد
نکته: به طور پیش فرض سئوی وردپرس در حد متوسط هست که باپلاگینهای موجود می توان آن را ارتقا داد

شاید با خود بگویید استفاده از X-Frame-Options خوبه ولی به شرطی که خودمون جایی از Iframe استفاده کرده باشیم.

اولا که اگر کسی بتواند به نحوی کد اسکریپت را در صفحات ما جا بزند با همان کد جاواسکریپت می تواند iframe  هم در صفحه بسازد و نیازی نیست ما خودمان فریم داشته باشیم که در هر دو صورت  اگر صفحه ما دارای متای X-Frame-Options از نوع deny باشداسکریپت فریم را می سازد اما مرورگر از فراخوانی صفحه قرار گرفته در src به دلیل متای قرار داده شده در صفحه خود داری می کند

در ثانی اصلا مطلب این نیست بلکه درست متوجه مطلب نشدید

قرار نیست ما حتما فرم در صفحاتمان داشته باشیم تا نیاز به این حفاظت پیدا کنیم بلکه باید مانع استفاده شدن از صفحاتمان  بصورت فریم شویم چرا که ClickJacking  ترفند نفوذ  از طریق قرار دادن صفحه بصورت iframe  در صفحه آماده شده برای این کار توسط هکر هست

اگر یک سرچ کوچیک در اینترنت بزنید روشهای این نوع نفوذ گفته شده البته به همه موارد اطمینان نکنید

مثلا اگر لینک زیر را برای یک فریم قرار دهید(این وبلاگ اجازه استفاده از فریم برای تست همزمان را نمی دهد)

http://security.stackexchange.com/questions/12896/does

میبینید  که اخطاری می دهد و در متن alert  اینطور نوشته شده

For security resons framing is not allowed;click OK to remove the frame

البته این سایت با اینکه  لوگوی خودش را

قرار داده حفاظت امنیتی را ناقص انجام داده یعنی عملا می توان دورش زد چون با غیر فعال کردن جاواسکریت می تونیم سایتشان را داخل فریم بکشیم بعد از طریق فایرباگ جاوااسکریتهاش را فراخوانی کنیم(من این کار را کردم جواب داد)

برای تکمیل این کار باید دو کار توسط این سایت امنیتی انجام می گرفت

1- باید متای مربوطه قرار داده می شد تا خود مرورگر مانع بارگذاری می شد یعنی یکی از دو متای زیر

< meta http-equiv="”X-FRAME-OPTIONS”" content= ”DENY” >



< meta http-equiv=”X-FRAME-OPTIONS”content= ”SAMEORIGIN” >

2-در حالت غیر فعال بودن جاوااسکریپت باید صفحه را به صفحه دیگری منتقل می کرد

< noscript > < meta http-equiv=”REFRESH” content=”0;URL=101.html” > < /noscript >

که در مثالی که من لینکش را در پی داده ام می توانید ببییند

هدر X-Frame-Options    بازی ما را کاملا در برابر حملات از این دست ایزوله می کند

من برای اینکه روش استفاده آن  کاملا مشهود شود نمونه آن را در اینجا برای شما قرار دادم(در اینترنت اکسپلورر ببینید)

http://google724.com/Combating_ClickJacking_methods

 روش کلاینت هم در حالت فعال بودن جاوا اسکریپت و هم غیرفعال بودن آن اجازه باز شدن صفحه را در فریم نمی دهد(این روش بدون استفاده از متای مربوطه  انجام شده  تا نشان داده شود حتی با مرورگرهای غیر استاندار هم صحیح کار می کند بدیهی است که از نظر فنی این متا هم باید گذاشته شود تا امنیت کامل شود)

روش سرور که مکمل روش کلاینت است هم از هدر مربوطه استفاده می کند

من در بخش سرور دو نوع مثال آورده ام یکی مثالهایی از صفحات داخل سایت گوگل 724 

و دیگری مثالهایی از دو سایت رایج

یکی میهن نیک که از این روش محافظت استفاده نکرده

و یکی گوگل که اجازه باز شدن در فریم را نمی دهد

تمام مثالهای سرور و کلاینت را open new tab هم بکنید تا بازشدن در خارج فریم انها را هم ببینید

توضیحی هم در مورد X-XSS-Protection

این مورد علاوه بر ie در کروم هم اعمال شده و انتظار می رود مرورگرهای دیگر نیز در توسعه خود قرار بدهند

ضمن اینکه چه کسی گفته ما قرار نیست از طریق IE هک شویم پس استفاده از یک هدر هیچ مشکلی ایجاد نمی کند جز اینکه ما را با فیلترهای تعریف شده در IE و chrom در برابر حملات XSS بیمه می کند

شاید تصور کنید که

• X-Content-Type-Options هم فقط  چک میکند که  content-type و mime سازگار باشن ولی ارتباطی با جلوگیری از sniff شدن نداره : http://security.stackexchange.com/questions/12896/does-

من صفحه لینک داده شده را خواندم نوشته شده:

is only supported on some IE browsers, it does not protect attacks against users who use other browsers.

درحالیکه اشتباه نویسنده است چون کروم هم  آن را اجرایی کرده

 اسنیف گفته شده را با اسنیف از بین مسیر isp ها اشتباه نکنید منظور از این اسنیف قرار دادن کدهای php  مثلا درون عکس برای کدخوانی است که توسط مرورگرهای کروم و اینترنت اکسپلورر ممانعت میشود(عکس هایی از این دست را باز نمی کنند) 

اینجا هم ما یک هدر ساده اضافه می کنیم که مشکلی ایجاد نمی کند

اما در مورد X-UA-Compatible

بدین منظور مایکروسافت الگوریتم نسبتا پیچیده ای را برای تغییر موتور مرورگر خود دارند که شماتیک آن را در زیر آورده ام

ضمنا برای مشهود شدن این مورد نیز یکی از باگهای جدی نسخه های قبل از 8  اینترنت اکسپلور را در اینتر یافته و برای تست انتخاب کردم

در این باگ به دلایلی  یک متن شناور(float)‌ مانع نمایش بلوک قبل از خود می شود

من این باگ را در یک صفحه ساده پیاده سازی کردم

بعد با یک select option هم قابلیت انتخاب تغییر Engine  مرورگر را برای کاربر قرار دادم

با تغییر Engine   یوزر ایجنت تغییر نمی کند بلکه تنها به مرورگر اعلام میشود که موتور خود را بر روی این نسخه قرار بده

به عبارتی ما با این کار لازم نیست برای تمام نسخه های اینترنت اکسپلور استایل بنویسم

فقط یک موتورش مثلا 8 را انتخاب می کنیم

اینطوری حتی اگر طرف نسخه 10 اینترنت اکسپلور مایکروسافت را  مورد استفاده قرار دهد خودمرورگر مثل مرورگر نسخه 8 کار می کند

صفحه تستی من برای همه نسخه ها هست می تونید خودتان تست کنید

اینجا را ببینید:http://google724.com/x_ua_compatible

 یک سری هدر را مایکروسافت برای سمت سرور تعریف کرده  که با استفاده از آنها می توانیم  مشکلات امنیتی در بازی  مثل Clickjacking را کمتر کنیم
تو این هدر ها مواردی هم برای کامپابلیتی مرورگر دیده میشود

 هدر  X-Frame-Options
که اگر بصورت زیر استفاده می شود

اجازه باز شدن آی فرم های خارج از دامنه را نمی دهد

چیزی که جالبه این هدر را بقیه مرورگرهای استاندار هم  در دستور کار خود قرار داده اند یعنی Safari,^[26] Firefox,^[27] Chrome,^[28] and Opera^[29]

مایکروسافت چند تا هدر جالب دیگه هم در همین زمینه ارایه داده
X-XSS-Protection با عملکرد: Cross-site scripting (XSS) filter
 که می تواند بصورت زیر بکار رود:

که انوع فیلترهای xss را پوشش می هد فعلا کروم هم آن را اضافه کرده
 هدر بعدی  هم جالبه
که علاوه بر IE کروم هم آن را دارد
به طور خلاصه اینکه اگر content type با mime سازگار نباشد صفحه باز نمی شود
برای ممانعت از اسنیف کردن صفحه این هدر ایجادشده است

اما یک هدر عجیب و فوق العاده
با این هدر ما IE  را مجبور می کنیم که محتویات را مثل chrom نمایش دهد این هدر X-UA-Compatible است
در توضیح آن اینطور نوشته شده:

مثال از استفاده:

یا به صورت
 header("X-UA-Compatible: IE=7")
که اگر کاربر  اینترنت اکسپلوور 9 هم داشته باشد به مانند اینترنت اکسپلورر 7 اجرا می شود

(مرجع اصلی: http://en.wikipedia.org/wiki/X-Frame-Options)