Понимание того, как ваш сайт был скомпрометирован, является важной частью защиты вашего сайта от атак. На этой странице описаны некоторые уязвимости безопасности, которые могут привести к компрометации вашего сайта.
В следующем видео показаны различные типы хаков и способы, с помощью которых хакеры могут получить контроль над вашим сайтом.
Скомпрометированные пароли
Злоумышленники могут использовать методы подбора пароля, пробуя разные пароли, пока не угадают правильный. Атаки по подбору пароля могут проводиться различными методами, например, путем использования общих паролей или сканирования случайных комбинаций букв и цифр до тех пор, пока пароль не будет обнаружен. Чтобы предотвратить это, создайте надежный пароль, который трудно угадать. Советы по созданию надежного пароля можно найти в статье Справочного центра Google.
Следует помнить два важных момента. Во-первых, важно избегать повторного использования паролей в разных службах. Как только злоумышленники смогут определить рабочую комбинацию имени пользователя и пароля, они попытаются использовать эту комбинацию имени пользователя и пароля на как можно большем количестве сервисов. Таким образом, использование разных паролей в разных службах может предотвратить компрометацию других учетных записей в других службах.
Во-вторых, воспользуйтесь преимуществами двухфакторной аутентификации (2FA), например двухэтапной аутентификации Google, если такая опция доступна. 2FA позволяет использовать второй уровень учетных данных для входа, обычно с помощью кода текстового сообщения или другого динамически генерируемого PIN-кода, что ограничивает возможность злоумышленника получить доступ к вашей учетной записи, используя только украденный пароль. У некоторых поставщиков CMS есть инструкции по настройке 2FA: см. документацию для Joomla! , WordPress или Drupal .
Пропущенные обновления безопасности
Более ранние версии программного обеспечения могут быть подвержены уязвимостям безопасности высокого риска, которые позволяют злоумышленникам скомпрометировать весь сайт. Злоумышленники активно ищут старое программное обеспечение с уязвимостями. Игнорирование уязвимости на вашем сайте увеличивает вероятность атаки на ваш сайт.
Вот некоторые примеры программного обеспечения, которое вы захотите постоянно обновлять:
- Программное обеспечение веб-сервера, если у вас есть собственные серверы.
- Ваша система управления контентом (CMS). Пример: выпуски безопасности от Wordpress , Drupal и Joomla! .
- Все плагины и дополнения, которые вы используете на своем сайте.
Небезопасные темы и плагины
Плагины и темы CMS добавляют ценные расширенные функции. Однако устаревшие или неисправленные темы и плагины являются основным источником уязвимостей на веб-сайтах. Если вы используете темы или плагины на своем сайте, обязательно обновляйте их. Удалите темы или плагины, которые больше не поддерживаются их разработчиками.
Будьте предельно осторожны с бесплатными плагинами или темами с ненадежных сайтов. Злоумышленники обычно добавляют вредоносный код в бесплатные версии платных плагинов или тем. При удалении плагина обязательно удалите все его файлы с вашего сервера, а не просто отключите его.
Социальная инженерия
Социальная инженерия – это использование человеческой природы для обхода сложной инфраструктуры безопасности. Эти типы атак вынуждают авторизованных пользователей предоставить конфиденциальную информацию, например пароли. Одной из распространенных форм социальной инженерии является фишинг. Во время попытки фишинга злоумышленник отправит электронное письмо, выдавая себя за законную организацию, и запросит конфиденциальную информацию.
Не забывайте никогда не раскрывать конфиденциальную информацию (например, пароли, номера кредитных карт, банковскую информацию или даже дату вашего рождения), если вы не уверены в личности запрашивающего. Если вашим сайтом управляют несколько человек, рассмотрите возможность проведения обучения для повышения осведомленности о безопасности от атак социальной инженерии. Основные советы по защите от фишинга можно найти в Справочном центре Gmail.
Дыры в политике безопасности
Если вы системный администратор или управляете собственным сайтом, помните, что плохая политика безопасности может позволить злоумышленникам скомпрометировать ваш сайт. Вот некоторые примеры:
- Разрешение пользователям создавать слабые пароли.
- Предоставление административного доступа пользователям, которым он не требуется.
- Не включать HTTPS на вашем сайте и разрешать пользователям входить в систему с использованием HTTP.
- Разрешение загрузки файлов от неаутентифицированных пользователей или без проверки типа.
Несколько основных советов по защите вашего сайта:
- Убедитесь, что на вашем веб-сайте настроен высокий уровень безопасности, отключив ненужные службы.
- Проверьте элементы управления доступом и привилегии пользователей.
- Используйте шифрование для страниц, которые обрабатывают конфиденциальную информацию, например страниц входа в систему.
- Регулярно проверяйте свои журналы на наличие подозрительных действий.
Утечки данных
Утечка данных может произойти, когда конфиденциальные данные загружаются, а неправильная конфигурация делает эту конфиденциальную информацию общедоступной. Например, обработка ошибок и обмен сообщениями в веб-приложении потенциально могут привести к утечке информации о конфигурации в необработанном сообщении об ошибке. Используя метод, известный как «доркинг» , злоумышленники могут использовать функции поисковой системы для поиска этих данных.
Убедитесь, что ваш сайт не раскрывает конфиденциальную информацию неавторизованным пользователям, проводя периодические проверки и ограничивая конфиденциальные данные доверенными лицами с помощью политик безопасности. Если вы обнаружили на своем сайте какую-либо конфиденциальную информацию, которую необходимо срочно удалить из результатов поиска Google, вы можете использовать инструмент удаления URL-адресов , чтобы удалить отдельные URL-адреса из поиска Google.