Хром показує «Не захищено» - і ваш сайт втрачає клієнтів
Перевіримо HTTPS, безпекові заголовки і змішаний контент. Без шифрування Google знижує позиції, а Mono і Stripe блокують оплати.
Що ми перевіряємо
- HTTPS - чи сайт працює через шифрування. Без нього браузер показує «Не захищено» поряд з адресою.
- HSTS - захищає сайт від атак, де зловмисник у відкритому Wi-Fi підміняє HTTPS на HTTP і викрадає паролі.
- HSTS preload - реєстрація у списку браузерів Chrome/Firefox/Safari, щоб навіть перший візит ішов через шифрування.
- Content-Security-Policy - білий список доменів, з яких сайт може завантажувати скрипти. Захист від XSS і зламаних віджетів.
- X-Frame-Options - заборона вбудовувати ваш сайт в iframe чужого домену. Захист від clickjacking-схем.
- X-Content-Type-Options: nosniff - заборона браузеру «вгадувати» тип файлу. Захист від атак через картинки із прихованим JS.
- Referrer-Policy - захист від витоку повних URL з токенами і ID замовлень у логи сторонніх сайтів.
- Mixed content - змішування HTTP-ресурсів на HTTPS-сторінці. Браузер показує «Не повністю захищено», а активні скрипти просто блокуються.
Чому це важливо
HTTPS - офіційний фактор ранжування у Google з 2014 року (developers.google.com/search/blog/2014/08/https-as-ranking-signal). За дослідженням Baymard Institute, попередження «Не захищено» у браузері знижує довіру до сайту на 30% і стільки ж відвідувачів закривають вкладку, не дочекавшись завантаження. Для інтернет-магазинів і SaaS це критично: платіжні шлюзи Mono Acquiring, Stripe, LiqPay блокують підключення з небезпечних сторінок. CSP, X-Frame-Options і HSTS закривають типові атаки 2025 року - clickjacking, XSS через зламані віджети, SSL-stripping у публічних Wi-Fi. Сайт без цих заголовків попадає у Google Safe Browsing блок-лист за 1-3 дні після злому, і повернення до видачі займає 2-4 тижні.
Приклад з життя
Магазин косметики на WordPress, обіг 450 тис. ₴ на місяць, був на HTTP-протоколі тільки на каталозі (з оплатами на HTTPS). Власник не помічав, але Chrome 90+ почав показувати «Не повністю захищено» на сторінках товарів. За місяць конверсія впала з 2.4% до 1.7%, що в перерахунку = -130 тис. ₴ виручки. Аудит виявив 4 проблеми: mixed content на 312 сторінках, відсутній HSTS, немає CSP, X-Frame-Options. Замовили тариф «Скрипти» за 999 ₴ - отримали блок налаштувань для .htaccess і WordPress-плагіну. Розробник за 2 години поставив, через 5 днів Chrome перестав попереджати, конверсія повернулась до 2.4%. Окупність - менше за день обігу.
Як ми перевіряємо
Робимо HEAD- і GET-запит до головної сторінки і виявленим внутрішнім URL. Парсимо HTTP-заголовки відповіді, перевіряємо за стандартами OWASP Secure Headers і Google Security Headers. Окремо парсимо HTML і шукаємо `<img src="http://...">`, `<script src="http://...">` на HTTPS-сторінках - це mixed content. Для HSTS preload звіряємо домен з офіційним списком hstspreload.org.
Що ви отримуєте по тарифах
- Безкоштовно (0 ₴): preview до 12 знайдених проблем, видно назви без пояснень.
- Аналіз (299 ₴): повний звіт по всіх 9 безпекових перевірках з поясненням, чому це шкодить бізнесу.
- Консультація (599 ₴): + покрокова інструкція, що натиснути і де у вашій панелі (cPanel, Plesk, WordPress, Cloudflare).
- Скрипти (999 ₴): + готові блоки для .htaccess / nginx.conf / web.config - лишається вставити і зберегти.
- Під ключ (1399 ₴): наша команда налаштовує заголовки самі. Старт за 24 години у робочий час пн-пт.
Часті питання
Якщо у мене Cloudflare - заголовки додаються через нього?+
Так, для більшості заголовків це коректне рішення. У Cloudflare → Rules → Transform Rules → HTTP Response Header Modification - ви додаєте HSTS, CSP, X-Frame-Options, не змінюючи код сайту. Інструкція з конкретними значеннями входить у тариф 599 ₴.
А якщо я поставлю CSP - нічого не зламається на сайті?+
Може зламатись, якщо ви відразу поставите жорсткий CSP без аналізу. У тарифі 599 ₴ і 999 ₴ ми даємо CSP, побудований саме під ваші ресурси - Google Analytics, Tag Manager, чат-віджети, пікселі - щоб нічого не блокувалося.
HSTS preload - це назавжди? Що, якщо доведеться відключити HTTPS?+
Так, preload-список вшитий у браузери і виключення з нього займає 6-12 місяців. Тому ми додаємо preload тільки коли впевнені, що HTTPS на сайті стабільно працює мінімум 3 місяці. Це важлива деталь у тарифі 599 ₴ - ми спочатку перевіряємо готовність.
Mixed content виявить кожен інструмент. Чим ваш аудит кращий?+
Ми не просто показуємо список URL з mixed content, а у тарифі 999 ₴ даємо готовий SQL-запит для WordPress (search-replace плагіна) і блок коду для пошуку у файлах теми. Один копі-пейст замість ручної правки 300+ сторінок.
Дивіться також
- Технічний SEO - sitemap, canonical, schema, hreflang
- Швидкість сайту - Core Web Vitals, LCP, INP, CLS
- UX і мобільна версія - viewport, тач-таргети, доступність
- Контент і meta-теги - title, description, H1, alt-тексти
- Структура і посилання - биті 404, редіректи, sitemap
- Запустити безкоштовний аудит безпеки сайту
- Сценарій для інтернет-магазинів - безпека і платежі
Подивіться, чи Chrome не показує ваш сайт як «Не захищений»
Безкоштовний preview за 30 секунд знайде до 12 безпекових проблем. Виправлення - від 299 ₴ за повний звіт або 1399 ₴ під ключ.