Що входить у аудит

Сайт працює без HTTPS: дані передаються у відкритому вигляді, браузер позначає сайт як небезпечний, а Google знижує позиції.

Без HSTS (Strict-Transport-Security) атакуючий може підмінити перший запит і змусити сайт відкритися по HTTP, перехопивши кукі і паролі.

Сайт не в preload-списку браузерів: найперший візит користувача може все ще піти по HTTP, до того як спрацює HSTS.

Без нього сайт можна вбудувати в iframe на сторонньому домені — класичний clickjacking, де шахрай показує ваш кабінет «зверху», а кліки йдуть по його кнопках.

Без nosniff браузер сам «вгадує» тип файлу — завантажена картинка з прихованим JS може виконатись як скрипт у контексті вашого домену (XSS).

Без неї при переходах на інші сайти витікає повна URL з токенами, ID замовлень і UTM — у логи сторонніх сервісів і Analytics конкурентів.

Без CSP скрипт зловмисника (через XSS або зламаний віджет/чат) може працювати від імені вашого сайту — красти кукі, перенаправляти на фішинг.

Заголовок Server розкриває точну версію Apache/nginx/IIS. Знаючи версію, атакуючий одразу бачить, які CVE-експлойти спрацюють.

На HTTPS-сторінці підвантажуються картинки/скрипти/CSS по HTTP. Браузер блокує активний контент і показує попередження «Не повністю захищено».

Сервер повертає HTML без стиснення — сторінки важчі на 60-80%. Lighthouse: uses-text-compression.

Сервер не вказує браузеру, скільки зберігати сторінку в кеші — кожен повторний візит завантажує заново. Lighthouse: uses-long-cache-ttl.

Відсутня політика, яка обмежує доступ до камери, мікрофона, геолокації. Джерело: OWASP Secure Headers Project.

Відсутній COOP — інший сайт, відкритий у тому ж вікні, може взаємодіяти з вашою сторінкою. Джерело: OWASP Secure Headers.

Відсутній CORP — ресурси сайту можуть підвантажуватись іншими сайтами без дозволу. Джерело: OWASP Secure Headers.

Кукі без прапорців Secure / HttpOnly / SameSite — уразливі до крадіжки і CSRF. Джерело: OWASP Top-10 A07.

Access-Control-Allow-Origin: * дозволяє будь-якому сайту читати API-відповіді. Потенційна витік даних між доменами. OWASP.

Meta generator розкриває точну версію WP. Атакуючі скриптами сканують версії і автоматично штурмують сайти на застарілих білдах із відомими CVE.

Сторінка адмін-логіну WP доступна напряму по URL — класична ціль для brute-force ботів.

Ендпоінт /wp-json/wp/v2/users відкритий — атакуючий отримує список логінів адмінів, brute-force стає у рази швидшим.

X-Powered-By розкриває PHP-версію — спрощує націлений підбір експлойтів під конкретний білд із відомими вразливостями.

Теки /images/, /uploads/, /assets/, /files/ показують вміст списком. Атакуючий може браузити всі файли і знайти бекапи, конфіги, чорнетки.

/.git/HEAD доступний по HTTP. Якщо .git/ потрапила на продакшн — будь-хто може скачати весь сирцевий код і колись закомічені паролі/токени.

/.env доступний — повна компрометація: паролі БД, API-ключі Stripe/SendGrid, секрети — все витікає, треба термінова ротація.

Сайт без CDN (Cloudflare, Vercel, BunnyCDN). Користувачі з інших регіонів отримують контент повільніше; перший DDoS покладе сервер.

Відсутній або застарілий DOCTYPE — браузер входить у quirks mode і рендерить сторінку за стандартами 1990-х. Lighthouse: doctype.

Сайт використовує застарілий HTTP/1.1 — ресурси завантажуються послідовно, а не паралельно. Lighthouse: uses-http2.

Time To First Byte понад 2 с — провал по Core Web Vitals. Кожна зайва секунда TTFB = -7% конверсії і пряме зниження позицій у Google.

TTFB перевищує Google-рекомендовані 800мс. Повільний відгук тягне за собою всі метрики Core Web Vitals.

Largest Contentful Paint понад 4 секунди — основний контент сторінки видно занадто повільно. Один з трьох Core Web Vitals.

LCP у «помаранчевій» зоні Google — між 2.5 і 4 секундами. Не критично, але сайт ранжується нижче конкурентів з LCP <2.5с.

Cumulative Layout Shift понад 0.25 — контент сторінки сильно «стрибає» під час завантаження. Один з трьох Core Web Vitals.

CLS у «помаранчевій» зоні — між 0.1 і 0.25. Сторінка трохи стрибає, але не критично.

Interaction to Next Paint понад 500мс — затримка між дією користувача (тап/клік) і відповіддю сторінки. Третій Core Web Vital (замінив FID у березні 2024).

INP у «помаранчевій» зоні — між 200 і 500мс. Користувач відчуває «лаги» при взаємодії, але сайт ще працездатний.

Без <meta name="viewport"> на телефоні сайт відкривається у desktop-вигляді, Google знижує позиції як «non-mobile-friendly».

Картинки без alt-тексту. Google не «бачить» картинок — він читає лише alt і за ним ранжує images.google.com. WCAG-проблема.

Картинки без loading="lazy". Мобільний користувач витрачає трафік на картинки внизу сторінки — страждають LCP/CLS.

Картинки без атрибутів width/height. Браузер не знає розмір до завантаження — після появи картинки контент стрибає вниз (CLS shift).

Понад 50КБ inline-JS у HTML. Inline-скрипти не кешуються і блокують рендер до повного парсингу — FCP/LCP падають.

Без <meta charset="UTF-8"> браузер сам вгадує кодування і кириличні літери можуть відобразитись як «крякозябри».

Зображення у застарілих форматах JPEG/PNG/GIF замість WebP або AVIF. Lighthouse: modern-image-formats.

Синхронні <script src="..."> без async/defer зупиняють рендеринг до завантаження скрипту. Lighthouse: render-blocking-resources.

В інлайн-стилях сторінки є font-size менше 12px. На мобільних пристроях такий текст нечитабельний. Lighthouse: font-size (SEO category).

Без <title> сторінка майже не ranks за цільовими ключовими словами і не показується в синьому рядку видачі.

Короткий title недостатньо «насичений» для ranking-алгоритмів і виглядає блідо у видачі — нижчий CTR.

Понад 60 символів — Google обріже хвіст у видачі трикрапкою; користувач не побачить ваш CTA в кінці.

Останній сегмент title повторюється двічі (".../ Brand / Brand") — засмічує сніпет у видачі.

Без опису Google генерує сніпет автоматично з випадкового тексту — різко знижує CTR і рекламну привабливість сторінки у SERP.

Опис коротший за 100 символів — не використовується доступний простір для CTA і ключових слів.

Опис довший за 160 символів — Google обріже хвіст у видачі трикрапкою; CTA в кінці зникне.

H1 — другий за силою сигнал після title про тему сторінки. Без нього Google гірше розуміє контекст і ranking падає.

Декілька H1 «розмивають» головну тему — пошуковик не розуміє, який заголовок вважати ключовим. Виняток: коли всі H1 з однаковим текстом — найімовірніше responsive-pattern (окремі для mobile/desktop, сховані через CSS) — severity знижується до low.

Якщо сторінка доступна за декількома URL (з www/без, з UTM), Google може вважати їх дублікатами без canonical.

Без /robots.txt Googlebot може індексувати службові сторінки і витрачати crawl budget на сміття замість важливих сторінок.

Disallow: / у глобальному User-agent: * або Googlebot. Найчастіша критична помилка після переїзду dev → prod — сайт зникає з Google.

Чи блокує robots.txt 6 ключових AI-краулерів (GPTBot, ClaudeBot, PerplexityBot, Google-Extended, CCBot, Applebot-Extended). Заблоковані боти не цитують сайт у ChatGPT/Perplexity/Gemini.

Без sitemap.xml Googlebot шукає сторінки тільки через посилання — нові і вкладені сторінки можуть місяцями не індексуватись.

Без og:title і og:image при поширенні замість гарної картки показується голий URL — клікабельність падає.

/llms.txt (llmstxt.org) каже ChatGPT/Perplexity/Claude/Gemini, які сторінки цитувати. Без нього AI-асистенти беруть випадкові шматки.

FAQPage JSON-LD — сильний сигнал для AI Overviews (Google SGE), ChatGPT, Perplexity, Bing Copilot. Сторінки зі структурованими Q&A AI-асистентам цитувати легше.

Без structured data Google не показує rich-результати: зірки, ціни, наявність, breadcrumbs, FAQ — конкуренти зі схемою займають більше простору в SERP.

Без Organization JSON-LD Google не отримує машино-читаний опис компанії: назва, лого, контакти, соцмережі — це знижує шанси на знакову панель і Knowledge Graph.

Немає JSON-LD розмітки для розширених сніпетів: Product, Article, Breadcrumb, Event, Review. Google не може показати зірки, ціну чи хлібні крихти у видачі. Schema.org.

Без <link rel="alternate" hreflang="..."> Google не розуміє, для якої мови/регіону кожна версія сторінки. Українські, російські, англійські клони конкурують між собою у видачі.

Без <html lang="..."> браузери і пошукові системи не знають мову сторінки. Screen readers читають кириличний текст англійською вимовою.

Кінцева URL досягається через 3+ редиректи. Google виставляє жорсткий ліміт у 5 хопів, і кожен зайвий хоп забирає crawl budget та сповільнює завантаження.

Через GSC URL Inspection виявлено сторінки, які Google знає але не показує у пошуку. Це може бути через noindex, robots.txt, низьку якість, або «discovered but not crawled».

Multi-page crawl виявив у sitemap URL'и зі статусом ≥400 або помилкою з'єднання — їх неможливо відкрити.

Декілька сторінок використовують ідентичний текст у <title>. Google не розуміє, який з них показати у видачі.

Однаковий meta description на декількох сторінках. Зберігається погана унікальність сніпетів у видачі.

Сторінки існують у sitemap, але на них не веде жодне внутрішнє посилання з інших crawled-сторінок. Google вважає їх «ізольованими».

Sitemap.xml включає URL'и, які редіректять на інший адрес. Це витрачає crawl budget.

Посилання відкриваються тільки через JavaScript (onclick без href) — Google-бот їх не бачить і не обходить. Lighthouse: crawlable-anchors.

На сторінці є <meta name="robots" content="noindex"> — Google бачить сторінку, але не додає в пошукову видачу. Джерело: Google Search Essentials.

У сайту немає favicon — іконки у вкладці браузера. Google показує favicon у результатах мобільного пошуку поряд з назвою сайту. Джерело: Google Search.

Немає тегів <meta name="twitter:card"> — посилання у Twitter/X виглядає як звичайний текст без картинки. Джерело: X (Twitter) Cards documentation.

Обидва варіанти (www і без www) відкриваються без 301-редиректу між ними. Для Google це два сайти з однаковим контентом — дублі. Джерело: Google SEO.

Шле невинні SQL-метасимволи в query-параметри і шукає у відповіді стандартні MySQL/PostgreSQL/SQLite/Oracle помилки. Якщо вони течуть — параметри запиту не екрануються.

Шле унікальний маркер у query-параметрі та перевіряє, чи він повертається в HTML без екранування.

Чутливі файли доступні ззовні (/config.php, /wp-config.php, /.env.local, /backup.sql, /db.sql, /admin тощо): у них можуть бути паролі, ключі та доступ до бази даних.

Allow-заголовок з TRACE/TRACK вмикає cross-site tracing (XST) атаки — атакуючий може красти заголовки авторизації навіть з HttpOnly-кук.

Шле 3 швидких запити з паузами по 150мс. Без 429 ендпоінт незахищений від скрапінгу, brute-force і базового DDoS.