Для защиты вашего сайта от будущих атак важно понимать, как именно он был взломан. В этом документе рассматриваются некоторые уязвимости безопасности, которые могут привести к взлому вашего сайта.
В следующем видеоролике рассматриваются типы взломов и способы, которыми хакеры получают контроль над вашим сайтом.
Взломанные пароли
Злоумышленники могут получить ваш пароль, перебирая разные пароли, пока не угадают правильно. Атаки методом подбора паролей используют, например, попытки угадать распространенные пароли или сканирование случайных комбинаций букв и цифр. Чтобы предотвратить это, создайте надежный, трудноугадываемый пароль. Советы по созданию надежного пароля можно найти в статье справочного центра Google.
Запомните два момента.
- Избегайте повторного использования паролей в разных сервисах. Как только злоумышленники обнаружат рабочую комбинацию имени пользователя и пароля, они попытаются использовать эти учетные данные в как можно большем количестве сервисов. Используйте уникальный пароль, чтобы предотвратить взлом других учетных записей.
- Используйте двухфакторную аутентификацию (2FA), например, Google 2-Step Verification . 2FA добавляет второй уровень защиты учетных данных, посредством кода в SMS-сообщении или динамически генерируемого PIN-кода, чтобы предотвратить доступ злоумышленников к вашей учетной записи. Некоторые поставщики CMS предоставляют рекомендации по настройке 2FA:
Пропущенные обновления безопасности
Более ранние версии программного обеспечения могут содержать уязвимости безопасности, представляющие высокий риск и позволяющие злоумышленникам скомпрометировать весь сайт. Злоумышленники активно ищут старые версии программного обеспечения с такими уязвимостями. Игнорирование уязвимостей повышает риск атаки.
Например:
- Программное обеспечение веб-сервера (если вы размещаете собственные серверы).
- Ваша система управления контентом (CMS). Например, обновления безопасности от WordPress , Drupal и Joomla!.
- Все плагины и дополнения, которые вы используете на своем сайте.
Небезопасные темы и плагины
Плагины и темы для CMS добавляют ценные функции. Однако устаревшие или необновленные темы и плагины являются основным источником уязвимостей. Поддерживайте темы и плагины в актуальном состоянии. Удаляйте темы или плагины, которые больше не поддерживаются.
Будьте предельно осторожны с бесплатными плагинами или темами с ненадежных сайтов. Распространенная тактика злоумышленников — добавление вредоносного кода в бесплатные версии платных плагинов или тем. При удалении плагина убедитесь, что вы удалили все его файлы с сервера, а не просто отключили его.
Социальная инженерия
Социальная инженерия использует человеческую природу для обхода систем безопасности. Эти атаки обманом заставляют пользователей предоставлять конфиденциальную информацию, например, пароли. Одной из распространенных форм социальной инженерии является фишинг. При фишинговой атаке злоумышленник отправляет электронное письмо, выдавая себя за законную организацию, с просьбой предоставить конфиденциальную информацию.
Никогда не сообщайте конфиденциальную информацию (например, пароли, номера кредитных карт, банковские реквизиты или даже дату рождения), если вы не уверены в личности запрашивающего. Если вашим сайтом управляют несколько человек, проведите обучение, чтобы повысить осведомленность о методах социальной инженерии. Основные советы по защите от фишинга можно найти в Справочном центре Gmail.
Уязвимости в политике безопасности
Если вы являетесь системным администратором или размещаете свой сайт на собственном хостинге, слабые политики безопасности могут позволить злоумышленникам скомпрометировать ваш сайт. Примеры включают:
- Предоставление пользователям возможности создавать слабые пароли.
- Предоставление административного доступа пользователям, которым он не требуется.
- Отключение HTTPS и разрешение пользователям входить в систему с использованием HTTP.
- Разрешение загрузки файлов неавторизованными пользователями без проверки типов.
Вот несколько советов по защите вашего сайта:
- Настройте свой веб-сайт с помощью средств обеспечения высокой безопасности, отключив ненужные службы.
- Проверьте средства контроля доступа и права пользователей.
- Используйте шифрование для страниц, обрабатывающих конфиденциальную информацию, например, для страниц входа в систему.
- Регулярно проверяйте журналы на наличие подозрительной активности.
Утечки данных
Утечки данных происходят, когда конфиденциальные данные загружаются и неправильно настраиваются для публичного доступа. Например, сообщения об ошибках веб-приложений могут привести к утечке информации о конфигурации. Используя метод, известный как «доркинг» , злоумышленники могут использовать функциональность поисковых систем для поиска этих данных.
Обеспечьте защиту своего сайта от раскрытия конфиденциальной информации, проводя периодические проверки и ограничивая доступ к секретным данным. Если вы обнаружите на своем сайте конфиденциальную информацию, которую необходимо срочно удалить из поиска Google, воспользуйтесь инструментом удаления URL-адресов .