Чек-лист запуску сайту 2026: 88 пунктів за 4 акти

🛠 Як зробити

1. Відкрий incognito-вікно (без кешу). 2. Вбий URL точно як на візитці: https://example.com 3. Сторінка має відкритися повністю за 3-5 секунд. 4. Якщо ні — перевір: чи делегований домен на правильні DNS-сервери (`dig NS example.com`), чи активний certificate (`certbot certificates`), чи nginx server блок підхопив домен (`nginx -t && systemctl status nginx`).

🛠 Як зробити

1. Відкрий сайт у Chrome. 2. Зліва від URL має бути замочок 🔒 або «Безпечно». 3. Клацни на нього — має бути «Connection is secure». 4. Якщо червоний значок — постав Let's Encrypt через certbot або активуй Cloudflare SSL (Full strict). 5. Перевір що http://example.com → 301 на https:// (це окремий item у Акт I).

🛠 Як зробити

1. Відкрий сайт на iPhone або Android. 2. Прокрути всі ключові сторінки: чи весь текст читається без zoom? Кнопки достатньо великі (≥24×24px)? Меню розкривається? Жодного horizontal scroll? 3. Шок-тест: попроси маму чи друга-не-айтішника відкрити сайт і знайти твою форму контакту або email. Якщо не знайшов за 30 секунд — UX треба переробити, не сайт.

🛠 Як зробити

1. Email у footer (юр-адреса і телефон бажано теж — особливо для локального бізнесу). 2. Окрема сторінка /contact/ з простою формою (Ім'я, Email, Повідомлення) — 3 поля, не більше. 3. Тест: відправ submission зі свого телефону через мобільний інтернет. Лист має дійти на твій email за 1-2 хвилини. Якщо не дійшов — SMTP не налаштований, без цього всі ліди йдуть у спам або нікуди.

🛠 Як зробити

1. Заголовок має містити: ЩО ви робите + ДЛЯ КОГО + ЧОМУ варто. Приклад: «CRM для невеликих магазинів — облік клієнтів і замовлень за 5 хвилин на день» замість «Welcome to QuickShop!». 2. Шок-тест: покажи нефахівцю на 5 секунд — спитай, чим займається сайт. Не вгадав — переписуй. 3. Після заголовку — 1-2 речення розшифровки і CTA (велика кнопка із дієсловом — «Спробувати безкоштовно», «Подивитись як це працює»).

🛠 Як зробити

У nginx додайте окремий server-блок на :80 з return 301 https://$host$request_uri; У Cloudflare — Always Use HTTPS toggle. Перевірте через curl -I http://example.com (має бути 301) та curl -I http://www.example.com.

📝 Приклад

server {
  listen 80;
  server_name example.com www.example.com;
  return 301 https://$host$request_uri;
}

🛠 Як зробити

Виберіть основний (зазвичай non-www для нових сайтів). У nginx: server_name з redirect для другого варіанта. У Search Console додайте обидві Property + Domain Property для повноти даних.

📝 Приклад

server {
  server_name www.example.com;
  return 301 https://example.com$request_uri;
}

🛠 Як зробити

Screaming Frog → Page Titles → Duplicate / Missing / Over 60 chars. Pixel-width <600px (SERP показує до ~580px). Format: Primary KW — Secondary | Brand.

📝 Приклад

<title>Запуск сайту: чекліст 88 пунктів — Analytics.net.ua</title>

🛠 Як зробити

Кожна сторінка — унікальна. Активний голос, конкретика, цифри. Не overstuff KW — Google може переписати. 140-160 chars (mobile обрізає на ~120).

📝 Приклад

<meta name="description" content="Production-grade чекліст запуску сайту: 88 пунктів у 9 категоріях зі схемами коду, інструментами та оцінкою часу. Безкоштовно.">

🛠 Як зробити

Один H1 на сторінку (зазвичай дублює title без branding). H2 для основних секцій, H3 всередині них. Не використовуйте heading-теги для стилізації — використовуйте CSS.

🛠 Як зробити

Створіть GA4 property → Web data stream → Measurement ID (G-XXXXXXXXXX). Додайте через GTM або gtag.js у <head>. Перевірте Realtime → Overview через 5 хв після візиту.

📝 Приклад

<script async src="https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXXXX"></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag('js', new Date());
gtag('config', 'G-XXXXXXXXXX');
</script>

🛠 Як зробити

tagmanager.google.com → New Container → Web → отримайте GTM-XXXXXX. <head> snippet + <noscript> у <body>. Перевірка: GTM Preview mode + Tag Assistant Chrome extension.

🛠 Як зробити

search.google.com/search-console → Add Property → виберіть Domain (DNS TXT) ABO URL prefix (HTML tag, GA, GTM). Додайте обидва варіанти. Sitemaps → Submit /sitemap.xml. Очікуйте 2-7 днів.

🛠 Як зробити

GTM: створіть triggers (form submission, click on phone link, scroll to thank-you). Tags: GA4 Event з event_name. У GA4 Admin → Events → Mark as conversion. Перевірка: DebugView.

🛠 Як зробити

Let's Encrypt через certbot (auto-renewal). Перевірка: ssllabs.com/ssltest/ → має бути A+. Disable TLS 1.0/1.1 у nginx. HSTS preload: hstspreload.org submit після 1 тижня з max-age=31536000.

🛠 Як зробити

У nginx: location ~ /\.(env|git|htaccess) { deny all; return 404; } для всіх dot-files і backup-extensions. Перевірка: curl https://example.com/.env (має бути 404).

📝 Приклад

location ~ /\.(env|git|htaccess|svn) {
  deny all;
  return 404;
}
location ~ \.(sql|sql\.gz|tar|tar\.gz|zip|bak|backup|old)$ {
  deny all;
  return 404;
}

🛠 Як зробити

Cookiebot / Cookieyes / Iubenda / Klaro. Усі категорії крім strictly-necessary мають opt-IN (NЕ pre-checked). Reject all — як одна кнопка. Лог consent — record для аудиту.

🛠 Як зробити

Не копіюйте generic template. Перелічіть КОНКРЕТНО: усі vendors (GA4, Hotjar, Sentry, Stripe), правові підстави (consent / contract / legitimate interest), retention periods, права суб'єкта (доступ, видалення, portability).

🛠 Як зробити

GSC → Sitemaps → Add → /sitemap.xml → Submit. Status: Success або кількість discovered URLs. Bing Webmaster → Sitemaps → Submit. IndexNow ping для Bing/DuckDuckGo одразу.

🛠 Як зробити

DB: pg_dump / mysqldump nightly via cron + systemd timer. Files: rsync до off-site (S3 / B2 / okремий VPS). Retention: 14 daily + 4 weekly + 12 monthly. Раз на квартал — TEST restore у staging.

📝 Приклад

0 3 * * * /usr/bin/pg_dump -U user db | gzip > /backups/db-$(date +%Y%m%d).sql.gz
0 4 * * * rsync -az /backups/ user@offsite:/backups/$(hostname)/

🛠 Як зробити

Створіть /404.html або шаблон Hugo layouts/404.html. Перевірте через curl -I https://example.com/no-such-page — має бути HTTP/2 404. Додайте: H1 з поясненням, search input, лінки на головну і top-категорії.

📝 Приклад

curl -sI https://example.com/no-such-page | head -1
# Очікуємо: HTTP/2 404

🛠 Як зробити

Screaming Frog → Configuration → Crawl all subdomains. Запустити, після — Reports → Response Codes → Client/Server Errors. Або CLI: lychee --no-progress https://example.com. Виправити всі 4xx, замінити 30x ланцюжки прямими URL.

🛠 Як зробити

Експортуйте всі URL зі старого сайту (sitemap, GSC, GA). Зробіть mapping XLSX: old_url → new_url. У nginx — map або окремі rewrite rules. Перевірте через curl -I batch-скриптом.

📝 Приклад

map $request_uri $redirect_uri {
  /old-page/  /new-page/;
  /blog/2020/  /blog/;
}
if ($redirect_uri) { return 301 $redirect_uri; }

🛠 Як зробити

Скрипт: while read url; do curl -o /dev/null -s -w '%{http_code} %{url_effective}\n' $url; done < urls.txt. Перевірте критичні: /, /sitemap.xml, /robots.txt, /404, видалені сторінки.

🛠 Як зробити

У nginx: ngx_http_gzip_module + ngx_brotli (build з Cloudflare brotli module). Перевірка: curl -H 'Accept-Encoding: br' -I https://example.com — має бути content-encoding: br.

📝 Приклад

gzip on;
gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;
brotli on;
brotli_types text/plain text/css application/javascript application/json image/svg+xml;

🛠 Як зробити

PageSpeed Insights → перевірте mobile LCP. Якщо poor: оптимізуйте hero-image (preload + AVIF/WebP), приберіть render-blocking CSS, використовуйте fetchpriority="high" на LCP-елементі. Для SSR — server response < 600ms.

📝 Приклад

<link rel="preload" as="image" href="/hero.avif" fetchpriority="high">
<img src="/hero.avif" fetchpriority="high" alt="...">

🛠 Як зробити

Chrome DevTools → Performance → запис взаємодії. Long tasks >50ms — рефакторити. Винесіть тяжке у Web Workers або requestIdleCallback. Дробіть hydration на chunks. Для React: useDeferredValue, startTransition.

🛠 Як зробити

Кожен <img> з width/height (а не CSS). Резервуйте місце для ads (aspect-ratio або min-height). Не вставляйте контент над fold-line після завантаження. Для font-swap — використовуйте size-adjust і ascent-override у @font-face.

📝 Приклад

<img src="hero.jpg" width="800" height="450" alt="...">
.ad-slot { aspect-ratio: 16 / 9; }

🛠 Як зробити

Squoosh (CLI: @squoosh/cli) або sharp у build-pipeline. Згенеруйте 3 розміри (mobile/tablet/desktop) у AVIF + WebP + JPG fallback. Hugo: image processing built-in. Next.js: <Image> з automatic AVIF.

📝 Приклад

<picture>
  <source srcset="hero.avif" type="image/avif">
  <source srcset="hero.webp" type="image/webp">
  <img src="hero.jpg" width="800" height="450" alt="...">
</picture>

🛠 Як зробити

Додайте loading="lazy" для img та iframe (НЕ для hero/LCP image — там eager). Для YouTube — використовуйте lite-youtube-embed або facade pattern.

📝 Приклад

<img src="..." loading="lazy" decoding="async" width="..." height="...">
<iframe src="..." loading="lazy" title="..."></iframe>

🛠 Як зробити

Cloudflare free tier — додайте домен, переключіть NS. Cache Rules: assets з content-hash → 1y immutable; HTML → 1h або bypass. Перевірте cf-cache-status header.

🛠 Як зробити

Завантажте .woff2 файли, покладіть у /static/fonts/. У <head> додайте preload для основного weight. У @font-face — font-display: swap і size-adjust для уникнення CLS.

📝 Приклад

<link rel="preload" href="/fonts/inter-var.woff2" as="font" type="font/woff2" crossorigin>
@font-face { font-family: Inter; src: url(/fonts/inter-var.woff2); font-display: swap; }

🛠 Як зробити

Усі third-party у <script defer> або async. Inline critical CSS, винесіть остальне в <link rel="stylesheet"> з media query трюк (media="print" onload="this.media='all'").

📝 Приклад

<script defer src="https://www.googletagmanager.com/gtag/js?id=G-XXX"></script>
<link rel="stylesheet" href="non-critical.css" media="print" onload="this.media='all'">

🛠 Як зробити

Розмістіть у /robots.txt. Disallow для service routes. Sitemap: фінальний URL. Для AI: вирішити по бізнес-моделі — медіа з paywall блокує, маркетинг і блог — пропускає для GEO.

📝 Приклад

User-agent: *
Allow: /
Disallow: /admin/
Disallow: /api/

User-agent: GPTBot
Disallow: /

User-agent: ClaudeBot
Disallow: /

User-agent: PerplexityBot
Allow: /

Sitemap: https://example.com/sitemap.xml

🛠 Як зробити

Hugo: генерується автоматично. WP: Yoast / RankMath. Перевірте у GSC → Sitemaps → submit. Для >50k URL — sitemap index. Для мультимовних — додайте xhtml:link з hreflang у кожен URL.

📝 Приклад

<url>
  <loc>https://example.com/uk/page/</loc>
  <xhtml:link rel="alternate" hreflang="uk" href="https://example.com/uk/page/"/>
  <xhtml:link rel="alternate" hreflang="ru" href="https://example.com/ru/page/"/>
  <xhtml:link rel="alternate" hreflang="x-default" href="https://example.com/page/"/>
</url>

🛠 Як зробити

У <head>: <link rel="canonical" href="https://example.com/page/">. Абсолютний URL, без trailing slash inconsistency. Pagination — canonical на саму сторінку (НЕ на page 1, оновлено Google 2019+).

📝 Приклад

<link rel="canonical" href="https://example.com/products/widget/">

🛠 Як зробити

JSON-LD у <head> — найбезпечніший формат. Organization на всіх сторінках. WebSite + SearchAction — на головній. BreadcrumbList — на категоріях/продуктах. Валідація: Schema Markup Validator + GSC Rich Results Test.

📝 Приклад

<script type="application/ld+json">
{
  "@context": "https://schema.org",
  "@type": "Organization",
  "name": "Example",
  "url": "https://example.com",
  "logo": "https://example.com/logo.png",
  "sameAs": ["https://twitter.com/example", "https://linkedin.com/company/example"]
}
</script>

🛠 Як зробити

Article: headline, datePublished, author, image, publisher. Product: name, image, offers (price+priceCurrency+availability). FAQPage: Question + acceptedAnswer. Перевірка: Rich Results Test.

🛠 Як зробити

Rich Results Test (search.google.com/test/rich-results) для конкретних URL. У GSC через 1-2 тижні після індексації — Enhancements tab з типами schema. Виправити warnings, навіть якщо не errors.

🛠 Як зробити

Screaming Frog: фільтр Noindex. curl -I https://example.com | grep -i robots. Перевірте main pages, категорії, продукти. Staging має бути закритий, production — відкритий.

📝 Приклад

# Має НЕ бути на production:
<meta name="robots" content="noindex, nofollow">
X-Robots-Tag: noindex

# Має бути на staging:
<meta name="robots" content="noindex, nofollow">

🛠 Як зробити

Виберіть стиль: trailing slash на directory або без. У nginx — rewrite на canonical форму. Не міняйте URL після запуску — кожна зміна вимагає 301.

🛠 Як зробити

Описуйте, що на картинці, як би пояснили незрячому. KW природно. Decorative (іконки-роздільники, фон) — alt="" з порожніми лапками. Logo: alt='Назва компанії'.

📝 Приклад

<img src="chart.png" alt="Графік росту трафіку аналітики на 340% за 6 місяців">
<img src="divider.svg" alt="" role="presentation">

🛠 Як зробити

У <head> або frontmatter генератора. og:image мінімум 1200x630px (під retina), <8MB. Перевірка: opengraph.xyz, metatags.io, Facebook Sharing Debugger, або реальний preview через постинг тестового твіту в X (старий Twitter Card Validator відключено у 2023).

📝 Приклад

<meta property="og:title" content="Запуск сайту: чекліст">
<meta property="og:description" content="88 пунктів у 9 категоріях">
<meta property="og:image" content="https://example.com/og/launch.jpg">
<meta property="og:url" content="https://example.com/checklists/website-launch/">
<meta property="og:type" content="article">
<meta name="twitter:card" content="summary_large_image">

🛠 Як зробити

Згенеруйте через realfavicongenerator.net — отримаєте всі формати + html-snippet. Покладіть у /static/. Перевірте на iOS Safari (apple-touch-icon) і Android (manifest icons).

📝 Приклад

<link rel="icon" type="image/svg+xml" href="/favicon.svg">
<link rel="icon" type="image/png" sizes="32x32" href="/favicon-32.png">
<link rel="apple-touch-icon" sizes="180x180" href="/apple-touch-icon.png">
<link rel="manifest" href="/site.webmanifest">

🛠 Як зробити

bing.com/webmasters → Add Site → Import from GSC. Згенеруйте IndexNow key (32+ chars) → покладіть як /key.txt у root. Pinging: POST https://api.indexnow.org/indexnow з url+key.

📝 Приклад

curl -X POST 'https://api.indexnow.org/indexnow' \
  -H 'Content-Type: application/json' \
  -d '{"host":"example.com","key":"YOUR-KEY","urlList":["https://example.com/new-page/"]}'

🛠 Як зробити

У nginx server-блоці. DENY якщо нікому не треба embedd-ити сайт; SAMEORIGIN якщо самі використовуєте iframe.

📝 Приклад

add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Content-Type-Options "nosniff" always;

🛠 Як зробити

Залежно від юрисдикції — рекомендую юриста (НЕ generic template). Для простих сайтів — termly.io, iubenda.com генерують. Включіть: licensing, prohibited uses, disclaimers, termination, governing law.

🛠 Як зробити

Footer: company name, реєстраційний номер (LLC/ФОП), VAT, юр. адреса, email. /contact/ сторінка з формою + альтернативними каналами. LocalBusiness schema для local.

🛠 Як зробити

Languagetool / Grammarly для basic. Native proofreader (Upwork / Fiverr) для marketing-копії. Прочитайте вголос — ловить awkward phrasing. Друга пара очей завжди знаходить помилки.

🛠 Як зробити

Категорії: Product / Company / Resources / Legal. Social — справжні акаунти (не порожні placeholders). Copyright динамічний (JS new Date().getFullYear() або build-time).

🛠 Як зробити

У шаблоні. Перший — Home, останній — поточна сторінка (без link). schema BreadcrumbList з position і itemListElement. Перевірка: Rich Results Test.

🛠 Як зробити

Hugo: Pagefind (statically generated index, ~1-3MB). WordPress: native або SearchWP plugin. SaaS: Algolia (free tier 10k searches/мс). Розмістіть у header — primary CTA.

🛠 Як зробити

Chrome DevTools Device Mode для швидкого. BrowserStack / LambdaTest для real device. Перевірте: 320px (iPhone SE), 375 (Pro), 768 (iPad), 1280 (laptop), 1920 (desktop). Жодного horizontal scroll. Tap targets ≥24×24px (WCAG AA), prefer 44×44 (AAA).

🛠 Як зробити

HTML5: required, type=email, pattern. JS: real-time validation з accessible messages. Server-side: ВЖДЕ дублює client (client можна обійти). aria-live=polite для error region. type=tel для mobile keyboard.

📝 Приклад

<input type="email" name="email" required aria-describedby="email-error">
<div id="email-error" role="alert" aria-live="polite"></div>

🛠 Як зробити

Зробіть тестовий submit з реальної email-адреси. Перевірте Inbox + Spam. Перевірте DB. Anti-spam: hCaptcha / Cloudflare Turnstile (краще за reCAPTCHA для privacy). Honeypot field для базового spam.

🛠 Як зробити

UptimeRobot: Add Monitor → HTTP(s) → URL + interval 5min → alert email. Перевіряйте: head page, /api/health (якщо є), SSL expiry monitor. Add status page для transparency.

🛠 Як зробити

sentry.io free tier 5k events/мс. SDK у app: @sentry/browser + @sentry/node. Source maps upload у CI. Налаштуйте release tracking для regression detection. Alerts через Slack/email.

🛠 Як зробити

1. **SPF**: TXT record `v=spf1 include:_spf.google.com include:mailgun.org -all` (вкажіть всі дозволені email-сервіси). 2. **DKIM**: згенеруйте у Google Workspace / Mailgun → додайте 2 CNAME records. 3. **DMARC**: TXT на `_dmarc.example.com` → `v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100`. Стартуйте з `p=none` (моніторинг), за тиждень → `p=quarantine`, через місяць → `p=reject`. Перевіряйте через mxtoolbox.com/dmarc.aspx.

📝 Приклад

; SPF record
example.com.    TXT  "v=spf1 include:_spf.google.com include:mailgun.org -all"
; DKIM (приклад Google Workspace)
google._domainkey.example.com.    CNAME  google._domainkey.bouncedomain.gappssmtp.com.
; DMARC
_dmarc.example.com.    TXT  "v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100; adkim=s; aspf=s"

🛠 Як зробити

**Certbot:** `certbot renew --dry-run` — не повинно бути помилок, exit code 0. Перевірте `systemctl list-timers | grep certbot` — таймер активний. **Caddy/Traefik:** автоматично, перевірте логи що last renewal успішний. **Cloudflare Origin Certs:** діють 15 років, не потребують renewal. Моніторинг: UptimeRobot з 'SSL expiry monitoring' alert при <14 днів.

🛠 Як зробити

1. `curl https://example.com/robots.txt` — має бути дозволено індексацію. 2. Screaming Frog crawl 100 URL → check `Indexability` column — нічого не повинно бути 'Noindex'. 3. GSC → URL Inspection кількох ключових URL — 'Indexing allowed? Yes'. 4. `site:example.com` через 48-72 години — головна сторінка повинна з'явитись. 5. Якщо staging був на `staging.example.com` — переконайтесь що піддомен не закешований Google'ом (GSC → Removals для застарілих URLs).

🛠 Як зробити

Спочатку поставте короткий max-age (300s) і протестуйте. Через тиждень — підніміть до 31536000 (1 рік) + includeSubDomains + preload, та додайте сайт у hstspreload.org.

📝 Приклад

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

🛠 Як зробити

У nginx: listen 443 ssl http2; (для H/2) і listen 443 quic reuseport; для H/3 (потрібен nginx 1.25+). Cloudflare/Fastly — toggle у dashboard. Перевірка: curl --http3 -I https://example.com.

🛠 Як зробити

WordPress — WP Rocket / W3 Total Cache. Hugo / Jekyll — статика, кешує CDN. Cloudflare Cache Rules: HTML 1h, CSS/JS 1y з content-hash у назві файлу. Перевірте header age та x-cache (HIT/MISS).

🛠 Як зробити

Інструменти: critical (npm), penthouse, critters. Hugo: вбудовано через resources.PostCSS. Next.js: built-in у App Router. Manual: визначте above-fold селектори через DevTools.

🛠 Як зробити

Парні і повні — якщо A→B, то B→A. uk = українська (НЕ UK British English — це en-GB). x-default — fallback. Hugo: генеруйте через .Translations. Перевірка: hreflangchecker.com.

📝 Приклад

<link rel="alternate" hreflang="uk" href="https://example.com/uk/">
<link rel="alternate" hreflang="ru" href="https://example.com/ru/">
<link rel="alternate" hreflang="en" href="https://example.com/en/">
<link rel="alternate" hreflang="x-default" href="https://example.com/">

🛠 Як зробити

Screaming Frog → Internal → Inlinks. URL з 0-1 inlinks = orphan, виправити. Hub-сторінка лінкує на 5-15 spoke; кожен spoke лінкує назад і на 2-3 сусідні spoke. Anchor text — descriptive, не 'click here'.

🛠 Як зробити

Дизайн у стилі сайту. H1 з поясненням ('Сторінку не знайдено'). Search input з action на /search/. 5-10 топ-категорій або останні пости. Не забудьте про правильний 404 HTTP-код.

🛠 Як зробити

Microsoft Clarity: clarity.microsoft.com → New project → встановіть tag через GTM, налаштуйте маски PII. Server-side GTM: окремий контейнер, GCP/AWS endpoint, переадресація даних з web-контейнера, налаштуйте redaction для email/phone.

🛠 Як зробити

plausible.io / usefathom.com / pirsch.io → add site → snippet у <head>. Дані не персональні, GDPR/CCPA compliant, не вимагають cookie banner. Можна паралельно з GA4 для backup.

🛠 Як зробити

Cookiebot / Cookieyes / Iubenda — інтеграція з GTM. Або кастомне: gtag('consent', 'default', {...}); до GA tag. 4 параметри: ad_storage, analytics_storage, ad_user_data, ad_personalization.

📝 Приклад

<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag('consent', 'default', {
  'ad_storage': 'denied',
  'analytics_storage': 'denied',
  'ad_user_data': 'denied',
  'ad_personalization': 'denied',
  'wait_for_update': 500
});
</script>

🛠 Як зробити

У nginx. Permissions-Policy список features через коми, () = заблоковано, (self) = тільки свій origin.

📝 Приклад

add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=(), payment=(), browsing-topics=()" always;

🛠 Як зробити

Старт з Report-Only. csp-evaluator.withgoogle.com для аудиту. Уникайте unsafe-inline (використовуйте nonce або hash). Поступово звужуйте директиви, потім переключіть на enforcement.

📝 Приклад

add_header Content-Security-Policy "default-src 'self'; script-src 'self' https://www.googletagmanager.com 'nonce-RANDOM'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; connect-src 'self' https://www.google-analytics.com; frame-ancestors 'self';" always;

🛠 Як зробити

nginx: limit_req_zone $binary_remote_addr zone=login:10m rate=5r/m; + limit_req zone=login burst=10. Cloudflare Rate Limiting Rules (free tier 10k events/мс).

📝 Приклад

limit_req_zone $binary_remote_addr zone=login:10m rate=5r/m;
location = /wp-login.php {
  limit_req zone=login burst=5 nodelay;
  ...
}

🛠 Як зробити

WP: WPS Hide Login plugin або mu-plugin. 2FA: Wordfence / Two-Factor / WP 2FA. Для статики/Hugo — admin не на сайті, це CMS на іншому host. IP whitelist у nginx для /admin/ блоку.

🛠 Як зробити

Запустіть npm audit fix (або yarn audit, pnpm audit). Pip: pip-audit. Composer: composer audit. Snyk: snyk test (free tier). Виправіть critical/high. Налаштуйте Dependabot / Renovate для auto-PR.

📝 Приклад

npm audit
npm audit fix
npm audit fix --force  # обережно, breaking changes

🛠 Як зробити

DPA (Data Processing Agreement) з кожним vendor (GA, Meta, Stripe, hosting). Data subject request flow (експорт + видалення). Breach response plan (72h notification). DPO якщо обробляєте large-scale або special categories.

🛠 Як зробити

Footer: Do Not Sell or Share My Personal Information link → форма / cookie preferences. Privacy Policy → секція California Privacy Rights. Якщо traffic США <5% — мінімальне дотримання, інакше — full programme.

🛠 Як зробити

Audit: Lighthouse Accessibility, axe DevTools, WAVE. Color contrast — webaim.org/resources/contrastchecker. Keyboard test: Tab через увесь сайт без миші. Screen reader test: NVDA (Windows free) / VoiceOver (Mac built-in).

🛠 Як зробити

**IndexNow** (рекомендований шлях): згенеруйте API-key, покладіть `<key>.txt` у webroot, POST JSON з `{host, key, urlList[]}` на `https://api.indexnow.org/indexnow`. **GSC Inspect**: для 1-10 priority URL — ручний 'Request indexing' (квота ~10/день). **Indexing API** (тільки якщо JobPosting/BroadcastEvent): GCP project → enable Indexing API → service account → Owner у GSC → POST `indexing.googleapis.com/v3/urlNotifications:publish`.

🛠 Як зробити

developers.facebook.com/tools/debug → введіть URL → Re-scrape. Twitter/X — Card Validator закрито у 2023, тепер просто запостіть preview-tweet (Twitter кешує OG до 7 днів, для оновлення — Refresh у preview). LinkedIn Post Inspector. Зробіть це для головної + топ-5 сторінок.

🛠 Як зробити

git tag -a v2026-05-07 -m 'Pre-launch state' перед deploy. Документ runbook.md: як rollback (git revert / git checkout tag), як restart services, contacts on-call. Blue-green deploy для zero-downtime rollback.

🛠 Як зробити

1. Перші 100 слів кожної важливої сторінки — точне definition питання. 2. FAQPage schema на статтях — long-tail запити (хоч rich results тепер тільки для govt/health). 3. Author entity з `sameAs` посиланнями на LinkedIn/Twitter/Wikipedia — підвищує authority в AI-видачі. 4. `<cite>` теги і чіткі sources у тексті. 5. Перевіряйте через ChatGPT browsing / Perplexity: 'що таке X' — чи цитується ваш сайт. 6. Track AI traffic через Referrer = chat.openai.com / perplexity.ai у GA4.

🛠 Як зробити

Для кожного 3rd-party `<script>`: 1. Згенеруйте hash: `curl https://cdn.example/lib.js | openssl dgst -sha384 -binary | openssl base64 -A`. 2. Додайте у тег: `<script src='...' integrity='sha384-XXX' crossorigin='anonymous'>`. 3. Якщо CDN змінить файл — скрипт не запуститься (це OK для security, але pin a version). 4. Для GA `gtag.js` — Google рекомендує НЕ використовувати SRI (вони regular update'ять). Для всього іншого — SRI обов'язковий.

📝 Приклад

<!-- Stripe.js з SRI -->
<script src="https://js.stripe.com/v3/"
        integrity="sha384-[hash-here]"
        crossorigin="anonymous"></script>
<!-- Cookiebot з SRI (якщо self-hosted version) -->
<script id="Cookiebot" src="https://consent.cookiebot.com/uc.js"
        integrity="sha384-[hash]"
        data-cbid="..."
        crossorigin="anonymous"></script>

🛠 Як зробити

Розгляньте окремо: **OpenAI**: `GPTBot` (training), `ChatGPT-User` (browsing). **Anthropic**: `ClaudeBot` (training), `anthropic-ai` (legacy), `claude-web` (browsing). **Perplexity**: `PerplexityBot`. **Google**: `Google-Extended` (Gemini training, окремо від Googlebot SEO). **Common Crawl**: `CCBot` (open dataset, used by всіма LLMs). **TikTok**: `Bytespider`. **Apple**: `applebot-extended`. Стандартна стратегія для UA-сайту: дозволити browsing-боти (для AI Overviews citations), заблокувати pure training (CCBot, Google-Extended якщо ви проти train).

📝 Приклад

# robots.txt — AI-bot policy
# Allow citation-time crawls
User-agent: ChatGPT-User
Allow: /
User-agent: claude-web
Allow: /
User-agent: PerplexityBot
Allow: /

# Disallow training crawlers
User-agent: GPTBot
Disallow: /
User-agent: ClaudeBot
Disallow: /
User-agent: Google-Extended
Disallow: /
User-agent: CCBot
Disallow: /
User-agent: Bytespider
Disallow: /
User-agent: applebot-extended
Disallow: /

🛠 Як зробити

1. `npm install web-vitals` або `<script src='https://unpkg.com/web-vitals/dist/web-vitals.iife.js'>`. 2. У вашому JS: `webVitals.onLCP(metric => gtag('event', 'web_vitals', { name: 'LCP', value: metric.value, rating: metric.rating }))`. 3. Те саме для onINP, onCLS, onTTFB, onFCP. 4. У GA4 → Custom Reports → segment by `event_name = web_vitals` → Average по value, percentile через BigQuery. 5. Looker Studio dashboard з P75 LCP/INP/CLS по landing page → виявите проблемні сторінки до того як CrUX їх покаже.

📝 Приклад

// Real User Monitoring через web-vitals + GA4
import { onCLS, onINP, onLCP, onFCP, onTTFB } from 'web-vitals';

function sendToGA4({ name, value, id, rating }) {
  gtag('event', 'web_vitals', {
    metric_name: name,
    metric_value: Math.round(name === 'CLS' ? value * 1000 : value),
    metric_id: id,
    metric_rating: rating,  // 'good' / 'needs-improvement' / 'poor'
    page_path: location.pathname
  });
}

onLCP(sendToGA4);
onINP(sendToGA4);
onCLS(sendToGA4);
onFCP(sendToGA4);
onTTFB(sendToGA4);

🛠 Як зробити

**DNSSEC:** у dashboard реєстратора (Cloudflare Registrar / Porkbun / Namecheap) → DNSSEC → Enable → скопіюйте DS record → передайте у TLD reg (для .ua — [email protected]). Перевірка: dnssec-analyzer.verisignlabs.com. **CAA:** у DNS panel додайте `CAA 0 issue "letsencrypt.org"` (якщо Let's Encrypt) + `CAA 0 issue "sectigo.com"` (для commercial). Перевірка: `dig CAA example.com`.

🛠 Як зробити

Створіть `/llms.txt` у webroot. Формат markdown: `# {назва сайту}` + `> {1-2 речення опис}` + секції з посиланнями `## Документація` + `- [Title](url): short description`. Опціонально `/llms-full.txt` з повним body. Перевірка: open у браузері. Специфікація: [llmstxt.org](https://llmstxt.org/).

🛠 Як зробити

Frontend: `navigator.credentials.create({publicKey})` для реєстрації + `navigator.credentials.get()` для логіну. Backend: бібліотеки `@simplewebauthn/server` (Node), `webauthn` (Python), `webauthn4j` (Java). Для швидкого старту — Hanko / Stytch / Auth0 з готовою passkey-feature. Test on Chrome 108+, Safari 16+, Firefox 122+.