إنّ فهم كيفية اختراق موقعك الإلكتروني يشكّل جزءًا مهمًا من حماية موقعك من الهجمات. تتناول هذه الصفحة بعض الثغرات الأمنية التي قد تؤدي إلى تعرُّض موقعك الإلكتروني للاختراق.
يوضح الفيديو التالي الأنواع المختلفة من عمليات الاختراق والطرق التي يمكن للمخترقين التحكم بها في موقعك.
اختراق كلمات المرور
يمكن للمهاجمين استخدام أساليب تخمين كلمات المرور من خلال تجربة كلمات مرور مختلفة حتى يخمنوا كلمة المرور الصحيحة. يمكن تنفيذ الهجمات على تخمين كلمات المرور من خلال طرق مختلفة مثل تجربة كلمات المرور الشائعة أو فحص مجموعات عشوائية من الأحرف والأرقام إلى أن يتم اكتشاف كلمة المرور. ولمنع هذا أنشئ كلمة مرور قوية يصعب تخمينها، يمكنك الاطّلاع على نصائح لإنشاء كلمة مرور قوية في مقالة مركز مساعدة Google.
هناك نقطتان مهمتان يجب عليك تذكرهما، أولاً، من المهم تجنب إعادة استخدام كلمات المرور عبر الخدمات. بمجرد أن يتمكن المهاجمون من تحديد تركيبة اسم مستخدم وكلمة مرور صالحة، سيحاولون استخدام تركيبة اسم المستخدم وكلمة المرور في أكبر عدد ممكن من الخدمات. ولذلك، يمكن أن يؤدي استخدام كلمات مرور مختلفة على خدمات مختلفة إلى منع اختراق الحسابات الأخرى على الخدمات الأخرى.
ثانيًا، استفد من المصادقة الثنائية مثل التحقق بخطوتين من Google إذا كان هذا الخيار متاحًا. تسمح 2FA بطبقة ثانية من بيانات اعتماد تسجيل الدخول، وعادةً ما تكون من خلال رمز رسالة نصية أو رقم تعريف شخصي آخر يتم إنشاؤه ديناميكيًا، ما يقلل من قدرة المهاجم على الوصول إلى حسابك باستخدام كلمة مرور مسروقة فقط. يقدم بعض موفري نظام إدارة المحتوى الإرشادي حول تهيئة المصادقة الثنائية: راجع وثائق Joomla!، WordPress أو Drupal
تفويت تحديثات الأمان
يمكن أن تتأثر الإصدارات السابقة من البرامج بالثغرات الأمنية عالية الخطورة التي تمكّن المهاجمين من اختراق الموقع بأكمله. يبحث المهاجمون بشكل نشط عن البرامج القديمة التي بها ثغرات أمنية. يؤدي تجاهل أي ثغرة أمنية على موقعك الإلكتروني إلى زيادة احتمال تعرُّضها للهجوم.
إليك بعض الأمثلة عن البرامج التي ستحتاج إلى تحديثها:
- برنامج خادم الويب، إذا كنت تشغّل خوادمك الخاصة.
- نظام إدارة المحتوى (CMS) أمثلة: إصدارات الأمان من Wordpress وDrupal وJoomla!.
- كل المكوّنات الإضافية والإضافات التي تستخدمها على موقعك الإلكتروني.
مظاهر ومكونات إضافية غير آمنة
تضيف المكوّنات الإضافية والمظاهر في نظام إدارة المحتوى ميزات قيّمة ومحسَّنة. ومع ذلك، فإنّ المظاهر والمكوّنات الإضافية القديمة أو غير المُصحَّحة هي مصدر كبير للثغرات الأمنية على المواقع الإلكترونية. إذا كنت تستخدم مظاهر أو مكونات إضافية على موقعك الإلكتروني، احرص على تحديثها باستمرار. عليك إزالة المظاهر أو المكوّنات الإضافية التي لم يعُد بإمكان مطوريها صيانتها.
تحل بالحذر الشديد تجاه المكونات الإضافية أو المظاهر من المواقع غير الموثوق بها، وهو أسلوب شائع لدى المهاجمين لإضافة رموز ضارة إلى الإصدارات المجانية من المكوّنات الإضافية أو المظاهر المدفوعة. عند إزالة مكون إضافي، تأكد من إزالة جميع ملفاته من خادمك بدلاً من إيقافه فحسب.
الهندسة الاجتماعية
تتعلق الهندسة الاجتماعية باستغلال الطبيعة البشرية لتجاوز البنية الأساسية المتطورة للأمان. تخدع هذه الأنواع من الهجمات المستخدمين المُصرح لهم لتقديم معلومات سرية مثل كلمات المرور. يعد التصيد الاحتيالي أحد أشكال الهندسة الاجتماعية الشائعة. خلال إحدى محاولات التصيّد الاحتيالي، يرسل المهاجم رسالة إلكترونية تتظاهر بأنّها مؤسسة شرعية ويطلب معلومات سرية.
يُرجى عدم الكشف عن أي معلومات حساسة (مثل كلمات المرور أو أرقام بطاقات الائتمان أو المعلومات المصرفية أو حتى تاريخ ميلادك) إلا في حال التأكّد من هوية مقدِّم الطلب. إذا كان موقعك خاضع لإدارة عدة أشخاص، ننصحك بتقديم تدريب لزيادة الوعي الأمني ضد هجمات الهندسة الاجتماعية. للحصول على النصائح الأساسية للحماية من التصيّد الاحتيالي، راجِع مركز مساعدة Gmail.
فجوات السياسة الأمنية
إذا كنت مشرف النظام أو كنت تدير موقعك الإلكتروني، تذكّر أنّ سياسات الأمان السيئة يمكن أن تسمح للمهاجمين باختراق موقعك. ومن الأمثلة على ذلك:
- السماح للمستخدمين بإنشاء كلمات مرور ضعيفة.
- منح إذن الوصول الإداري للمستخدمين الذين لا يحتاجون إليه.
- عدم تفعيل HTTPS على موقعك الإلكتروني والسماح للمستخدمين بتسجيل الدخول باستخدام HTTP.
- السماح بتحميل الملفات من مستخدمين لم تتم مصادقتهم، أو بدون التحقق من النوع
بعض النصائح الأساسية لحماية موقعك:
- تأكد من تهيئة موقعك باستخدام عناصر تحكم أمنية عالية وذلك عن طريق تعطيل الخدمات غير الضرورية.
- اختبار عناصر التحكّم في الوصول وامتيازات المستخدم
- استخدِم التشفير للصفحات التي تعالج معلومات حسّاسة، مثل صفحات تسجيل الدخول.
- تحقَّق من سجلّاتك بانتظام بحثًا عن أي أنشطة مريبة.
تسرُّب البيانات
يمكن أن يحدث تسرُّب البيانات عندما يتم تحميل بيانات سرية وتجعل عملية الضبط الخاطئة هذه المعلومات السرية متاحة للجميع. على سبيل المثال، من المحتمل أن يؤدي الخطأ أثناء المعالجة والمراسلة في تطبيق ويب إلى تسريب معلومات الإعدادات في رسالة خطأ لم تتم معالجتها. باستخدام طريقة تُعرف باسم "الإغماء"، يمكن للجهات الضارة استغلال وظائف محرك البحث للعثور على هذه البيانات.
تأكَّد من أنّ موقعك الإلكتروني لا يكشف عن معلومات حساسة للمستخدمين غير المصرّح لهم من خلال إجراء عمليات فحص دورية وحصر البيانات السرية للكيانات الموثوق بها من خلال سياسات الأمان. وإذا صادفت أي معلومات حساسة معروضة على موقعك الإلكتروني تستدعي إزالتها بشكل عاجل من نتائج "بحث Google"، يمكنك استخدام أداة إزالة عناوين URL لإزالة عناوين URL فردية من "بحث Google".