لحماية موقعك الإلكتروني من الهجمات المستقبلية، من المهم فهم الطريقة التي تم بها اختراق موقعك، ويتناول هذا المستند بعض الثغرات الأمنية التي يمكن أن تؤدي إلى اختراق موقعك الإلكتروني.
يوضّح الفيديو التالي أنواع عمليات الاختراق وكيفية سيطرة المخترقين على موقعك الإلكتروني.
اختراق كلمات المرور
قد يحصل المهاجمون على كلمة مرورك من خلال تخمين كلمات مرور مختلفة إلى أن يتمكّنوا من تخمينها بشكل صحيح. تستخدم هجمات تخمين كلمات المرور طرقًا مختلفة، مثل تجربة كلمات المرور الشائعة أو فحص مجموعات عشوائية من الأحرف والأرقام. ولمنع حدوث ذلك، عليك إنشاء كلمة مرور قوية يصعب تخمينها. يمكنك الاطّلاع على نصائح لإنشاء كلمة مرور قوية في مقالة مركز المساعدة من Google.
يجب تذكُّر نقطتين.
- تجنَّب إعادة استخدام كلمات المرور في الخدمات المختلفة، لأنّه بمجرد أن يحدّد المهاجمون مجموعة صالحة من اسم المستخدم وكلمة المرور، يحاولون استخدام بيانات الاعتماد هذه في أكبر عدد ممكن من الخدمات. لذا، استخدِم كلمة مرور فريدة لمنع اختراق حساباتك الأخرى.
- استخدِم المصادقة الثنائية، مثل التحقّق بخطوتين من Google، التي تضيف طبقة ثانية من بيانات الاعتماد، من خلال رمز يتم إرساله في رسالة نصية أو رقم تعريف شخصي يتم إنشاؤه بشكل ديناميكي، وذلك لمنع المهاجمين من الوصول إلى حسابك. يقدّم بعض موفّري أنظمة إدارة المحتوى إرشادات حول كيفية إعداد المصادقة الثنائية:
تحديثات الأمان غير المتوفّرة
يمكن أن تحتوي إصدارات البرامج القديمة على ثغرات أمنية عالية الخطورة تتيح للمهاجمين اختراق موقع إلكتروني بأكمله. يبحث المهاجمون بنشاط عن البرامج القديمة التي تتضمّن ثغرات أمنية. يؤدي تجاهل الثغرات الأمنية إلى زيادة خطر التعرّض لهجوم.
على سبيل المثال:
- برنامج خادم الويب (إذا كنت تستضيف خوادمك الخاصة)
- نظام إدارة المحتوى (CMS) على سبيل المثال، إصدارات الأمان من Wordpress وDrupal وJoomla!
- جميع المكوّنات الإضافية التي تستخدمها على موقعك الإلكتروني
المظاهر والمكوّنات الإضافية غير الآمنة
تضيف المكوّنات الإضافية والمظاهر لنظام إدارة المحتوى ميزات قيّمة. ومع ذلك، فإنّ المظاهر والمكوّنات الإضافية القديمة أو التي لم يتم إصلاحها تشكّل مصدرًا رئيسيًا للثغرات الأمنية. تحديث المظاهر والمكوّنات الإضافية باستمرار إزالة النُسق أو المكوّنات الإضافية التي لم يعُد يتم صيانتها
تحل بالحذر الشديد تجاه المكونات الإضافية أو المظاهر من المواقع غير الموثوق بها، ويُعدّ هذا الأسلوب شائعًا بين المهاجمين الذين يضيفون رموزًا برمجية ضارة إلى الإصدارات المجانية من المكوّنات الإضافية أو المظاهر المدفوعة. عند إزالة إضافة، احرص على إزالة جميع ملفاتها من الخادم بدلاً من إيقافها فقط.
الهندسة الاجتماعية
تستغل الهندسة الاجتماعية الطبيعة البشرية لتجاوز الأمان. وتخدع هذه الهجمات المستخدمين لحملهم على تقديم معلومات سرية، مثل كلمات المرور. ومن الأشكال الشائعة للهندسة الاجتماعية التصيّد الاحتيالي. وفي محاولة التصيّد الاحتيالي، يرسل المهاجم رسالة إلكترونية يتظاهر فيها بأنّه مؤسسة شرعية لطلب معلومات سرية.
حقّقت بعض حملات التصيّد الاحتيالي الأكثر فعالية معدل نجاح يبلغ% 45.لا تشارك أبدًا معلومات حساسة (مثل كلمات المرور أو أرقام بطاقات الائتمان أو المعلومات المصرفية أو حتى تاريخ ميلادك) إلا إذا كنت متأكدًا من هوية الجهة التي تطلبها. إذا كان عدّة أشخاص يديرون موقعك الإلكتروني، قدِّم لهم تدريبًا لزيادة الوعي بشأن الهندسة الاجتماعية. للحصول على نصائح أساسية حول الحماية من التصيّد الاحتيالي، يُرجى الرجوع إلى مركز مساعدة Gmail.
فجوات السياسة الأمنية
إذا كنت مشرف نظام أو تستضيف موقعك الإلكتروني بنفسك، يمكن أن تسمح سياسات الأمان غير الفعّالة للمهاجمين باختراق موقعك الإلكتروني. تشمل الأمثلة ما يلي:
- السماح للمستخدمين بإنشاء كلمات مرور ضعيفة
- منح إذن وصول إداري للمستخدمين الذين لا يحتاجون إليه
- عدم تفعيل HTTPS والسماح للمستخدمين بتسجيل الدخول باستخدام HTTP
- السماح للمستخدمين غير المصادق عليهم بتحميل الملفات بدون التحقّق من النوع
في ما يلي بعض النصائح لحماية موقعك الإلكتروني:
- يمكنك ضبط موقعك الإلكتروني باستخدام عناصر تحكّم عالية الأمان من خلال إيقاف الخدمات غير الضرورية.
- اختبار عناصر التحكّم في الوصول وامتيازات المستخدم
- استخدِم التشفير للصفحات التي تعالج معلومات حساسة، مثل صفحات تسجيل الدخول.
- تحقَّق من سجلاتك بانتظام بحثًا عن أي نشاط مريب.
تسرُّب البيانات
تحدث تسريبات البيانات عندما يتم تحميل بيانات سرية وإعدادها بشكل غير صحيح لتكون متاحة للجميع. على سبيل المثال، يمكن أن تؤدي رسائل الخطأ في تطبيقات الويب إلى تسريب معلومات الإعداد. وباستخدام طريقة تُعرف باسم "البحث المتقدّم"، يمكن للجهات المسيئة استغلال وظائف محرك البحث للعثور على هذه البيانات.
تأكَّد من أنّ موقعك الإلكتروني لا يكشف عن معلومات حساسة من خلال إجراء عمليات فحص دورية وتقييد البيانات السرية. إذا عثرت على معلومات حساسة على موقعك الإلكتروني يجب إزالتها بشكل عاجل من "بحث Google"، استخدِم أداة إزالة عناوين URL.