अपनी साइट के साथ छेड़छाड़ किए जाने के तरीके को समझना, अपनी साइट को हमलों से बचाने का एक अहम हिस्सा है. इस पेज में सुरक्षा से जुड़ी कुछ कमियों के बारे में बताया गया है, जिनकी वजह से आपकी साइट के साथ छेड़छाड़ की जा सकती है.
नीचे दिए गए वीडियो में, अलग-अलग तरह की हैक के बारे में बताया गया है. साथ ही, उन तरीकों के बारे में भी बताया गया है जिनकी मदद से, हैकर आपकी साइट को कंट्रोल कर सकते हैं.
छेड़छाड़ किए गए पासवर्ड
हमलावर, पासवर्ड का अनुमान लगाने की तकनीक का इस्तेमाल करके, तब तक अलग-अलग पासवर्ड आज़मा सकते हैं, जब तक कि वे सही पासवर्ड का अनुमान न लगा लें. पासवर्ड अनुमान लगाने वाले हमलों कई तरीकों से किए जा सकते हैं, जैसे कि सामान्य पासवर्ड की कोशिश करना या पासवर्ड का पता चलने तक अक्षरों और संख्याओं के रैंडम कॉम्बिनेशन स्कैन करना. इसे रोकने के लिए, एक मजबूत पासवर्ड बनाएं जिसका अनुमान लगाना मुश्किल हो. आपको Google के सहायता केंद्र के लेख में, मज़बूत पासवर्ड बनाने की सलाह मिलेगी.
दो महत्वपूर्ण बातों को याद रखें. सबसे पहले, सभी सेवाओं में पासवर्ड का फिर से इस्तेमाल करने से बचना ज़रूरी है. जब हमलावर किसी काम करने वाले उपयोगकर्ता नाम और पासवर्ड की पहचान कर लेते हैं, तो वे ज़्यादा से ज़्यादा सेवाओं पर उपयोगकर्ता नाम और पासवर्ड का इस्तेमाल करने की कोशिश करेंगे. इसलिए, अलग-अलग सेवाओं पर अलग-अलग पासवर्ड का इस्तेमाल करने से, अन्य सेवाओं पर मौजूद दूसरे खातों के साथ छेड़छाड़ होने से बचा जा सकता है.
दूसरा, अगर विकल्प उपलब्ध है, तो Google की दो चरणों में पुष्टि जैसे दो तरीकों से पुष्टि (2FA) का फ़ायदा लें. 2FA, लॉगिन क्रेडेंशियल की दूसरी लेयर जोड़ने की अनुमति देता है, आम तौर पर मैसेज कोड या डाइनैमिक रूप से जनरेट किए गए अन्य पिन के ज़रिए, जिससे कोई हमलावर सिर्फ़ चोरी किए गए पासवर्ड से आपका खाता ऐक्सेस नहीं कर सकता. कुछ कॉन्टेंट मैनेजमेंट सिस्टम की सेवा देने वाली कंपनियों को दो तरीकों से पुष्टि करने की सलाह दी गई है: Joomla! में जाकर दस्तावेज़ देखें WordPress या Drupal.
सुरक्षा से जुड़े अपडेट नहीं मिल पाए
सॉफ़्टवेयर के पुराने वर्शन पर उच्च-जोखिम वाली सुरक्षा जोखिमों का असर पड़ सकता है, जिसकी वजह से हमलावर पूरी साइट के साथ छेड़छाड़ कर सकते हैं. हमलावर सक्रिय रूप से कमियों वाले पुराने सॉफ़्टवेयर का पता लगाते हैं. अपनी साइट पर जोखिम की आशंका को अनदेखा करने से, आपकी साइट पर हमला होने की संभावना बढ़ जाती है.
सॉफ़्टवेयर के कुछ ऐसे उदाहरण जिन्हें आपको अपडेट रखना होगा:
- वेब सर्वर सॉफ़्टवेयर, अगर आप अपने सर्वर चलाते हैं.
- आपका कॉन्टेंट मैनेजमेंट सिस्टम (सीएमएस). उदाहरण: Wordpress, Drupal, और Joomla! से सुरक्षा से जुड़ी रिलीज़.
- वे सभी प्लग इन और ऐड-ऑन जिनका इस्तेमाल आप अपनी साइट पर करते हैं.
असुरक्षित थीम और प्लगिन
प्लगिन और कॉन्टेंट मैनेजमेंट सिस्टम में थीम, काम की और बेहतर सुविधाएं जोड़ते हैं. हालांकि, पुरानी या पैच न की गई थीम और प्लग इन, वेबसाइटों पर जोखिम की बड़ी वजह हैं. अपनी साइट पर थीम या प्लगिन का इस्तेमाल करते समय, उन्हें अप-टू-डेट रखें. उन थीम या प्लग इन को हटाएं जो अब उनके डेवलपर के पास मैनेज नहीं किए जाते.
अविश्वस्त साइटों से मुफ़्त प्लग इन या थीम को लेकर बेहद सतर्क रहें. यह पैसे चुकाकर डाउनलोड किए जाने वाले प्लग इन या थीम के मुफ़्त वर्शन में नुकसान पहुंचाने वाले कोड जोड़ने के लिए, हमलावरों की एक सामान्य रणनीति होती है. किसी प्लगिन को हटाते समय, पक्का करें कि उसे बंद करने के बजाय उसकी सभी फ़ाइलों को अपने सर्वर से हटा दें.
सोशल इंजीनियरिंग
साेशल इंजीनियरिंग यानी कि सुरक्षा के खास बुनियादी ढांचे को बाईपास करने के लिए, मानव प्रकृति का शोषण. इस तरह के हमलों में, अनुमति देने वाले उपयोगकर्ताओं से धोखे से पासवर्ड जैसी गोपनीय जानकारी हासिल करने की कोशिश की जाती है. सोशल इंजीनियरिंग का एक आम तरीका फ़िशिंग है. फ़िशिंग की कोशिश के दौरान, हमलावर एक वैध संगठन होने का नाटक करने वाला ईमेल भेजेगा और गोपनीय जानकारी का अनुरोध करेगा.
कभी भी कोई भी संवेदनशील जानकारी (उदाहरण के लिए, पासवर्ड, क्रेडिट कार्ड नंबर, बैंक की जानकारी या यहां तक कि अपने जन्म की तारीख तक) न दें. जब तक आपको अनुरोध करने वाले व्यक्ति की पहचान के बारे में पता न हो. अगर आपकी साइट को कई लोग मैनेज करते हैं, तो सोशल इंजीनियरिंग हमलों के ख़िलाफ़ सुरक्षा के बारे में जागरूकता बढ़ाने के लिए ट्रेनिंग दें. फ़िशिंग से जुड़ी बुनियादी सलाह देखने के लिए, Gmail सहायता केंद्र पर जाएं.
सुरक्षा नीति की खामियां
अगर आप सिस्टम एडमिन हैं या अपनी साइट खुद चलाते हैं, तो याद रखें कि खराब सुरक्षा नीतियां, हमलावरों को आपकी साइट से छेड़छाड़ करने की अनुमति दे सकती हैं. अपवाद के कुछ और उदाहरण यहां दिए हैं:
- उपयोगकर्ताओं को कमज़ोर पासवर्ड बनाने की अनुमति देना.
- उन उपयोगकर्ताओं को एडमिन के तौर पर ऐक्सेस देना जिन्हें इसकी ज़रूरत नहीं है.
- अपनी साइट पर एचटीटीपीएस को चालू नहीं करना और उपयोगकर्ताओं को एचटीटीपी का इस्तेमाल करके साइन इन करने की अनुमति देना.
- पुष्टि नहीं किए गए उपयोगकर्ताओं को या किसी तरह की जांच के बिना, फ़ाइल अपलोड करने की अनुमति देना.
आपकी साइट की सुरक्षा के लिए कुछ बुनियादी सलाह:
- गैर-ज़रूरी सेवाओं को बंद करके पक्का करें कि आपकी वेबसाइट को बेहतरीन सुरक्षा कंट्रोल के साथ कॉन्फ़िगर किया गया है.
- ऐक्सेस कंट्रोल और उपयोगकर्ता के खास अधिकारों की जांच करें.
- ऐसे पेजों के लिए एन्क्रिप्शन का इस्तेमाल करें जो संवेदनशील जानकारी मैनेज करते हैं, जैसे कि लॉगिन पेज.
- किसी भी संदिग्ध गतिविधि के लिए अपने लॉग की नियमित रूप से जांच करें.
डेटा लीक
डेटा लीक तब हो सकता है, जब गोपनीय डेटा अपलोड किया जाता है और किसी गलत कॉन्फ़िगरेशन की वजह से उस जानकारी को सार्वजनिक तौर पर उपलब्ध नहीं कराया जाता है. उदाहरण के लिए, किसी वेब ऐप्लिकेशन में गड़बड़ी का पता लगाने और मैसेज सेवा देने से, संभावित रूप से कॉन्फ़िगरेशन की जानकारी किसी ऐसे गड़बड़ी मैसेज में लीक हो सकती है जिसे हैंडल न किया गया हो. "डोर्किंग" नाम के एक तरीके का इस्तेमाल करके, नुकसान पहुंचाने वाले लोग इस डेटा को ढूंढने के लिए सर्च इंजन की सुविधाओं का गलत इस्तेमाल कर सकते हैं.
समय-समय पर जांच करके और सुरक्षा नीतियों के ज़रिए गोपनीय डेटा को भरोसेमंद इकाइयों तक सीमित रखकर, पक्का करें कि आपकी साइट बिना अनुमति वाले उपयोगकर्ताओं को संवेदनशील जानकारी न दिखाती हो. अगर आपको अपनी साइट पर दिखाई जा रही ऐसी संवेदनशील जानकारी मिलती है जिसे Google Search के नतीजों से तुरंत हटाने की ज़रूरत है, तो अलग-अलग यूआरएल को Google Search से हटाने के लिए, यूआरएल हटाने वाला टूल इस्तेमाल करें.