Zrozumienie, w jaki sposób witryna została zaatakowana, to ważny element jej ochrony. Na tej stronie opisujemy niektóre luki w zabezpieczeniach, które mogą doprowadzić do przejęcia witryny.
W tym filmie przedstawiamy różne rodzaje ataków i sposoby, w jakie hakerzy mogą przejąć kontrolę nad witryną.
Przejęte hasła
Osoby przeprowadzające atak mogą posługiwać się technikami odgadywania haseł i próbować je tak długo, aż uda im się odgadnąć właściwe. Ataki polegające na odgadnięciu hasła mogą polegać na różnych metodach, takich jak wypróbowanie popularnych haseł lub skanowanie losowych kombinacji liter i cyfr, aż do znalezienia hasła. Aby do tego nie dopuścić, utwórz silne hasło, które trudno będzie odgadnąć. Wskazówki dotyczące tworzenia silnego hasła znajdziesz w artykule w Centrum pomocy Google.
Musisz zapamiętać dwie ważne zasady. Po pierwsze, nie używaj tych samych haseł w różnych usługach. Gdy hakerzy znajdą działającą kombinację nazwy użytkownika i hasła, spróbują jej użyć w jak największej liczbie usług. Dlatego używanie różnych haseł w poszczególnych usługach może zapobiec przejęciu innych kont w innych usługach.
Po drugie, jeśli tylko masz taką możliwość, korzystaj z uwierzytelniania dwuskładnikowego, np. weryfikacji dwuetapowej w Google. Umożliwiają one użycie drugiej warstwy danych logowania, zwykle w postaci kodu wysyłanego w SMS-ie lub innego, generowanego dynamicznie kodu PIN, który ogranicza atakującemu możliwość uzyskania dostępu do konta jedynie przy użyciu skradzionego hasła. Niektórzy dostawcy systemów CMS udostępniają wskazówki na temat konfigurowania 2FA: zapoznaj się z dokumentacją Joomla!, WordPress lub Drupal.
Przegapione aktualizacje zabezpieczeń
Luki w zabezpieczeniach, które są bardzo ryzykowne, mogą być zagrożone w przypadku wcześniejszych wersji oprogramowania, co umożliwia hakerom zaatakowanie całej witryny. Hakerzy aktywnie szukają starego oprogramowania z lukami w zabezpieczeniach. Ignorowanie luki w witrynie zwiększa prawdopodobieństwo jej ataku.
Przykłady oprogramowania, które warto aktualizować:
- Oprogramowanie serwera WWW, jeśli masz własne.
- Twojego systemu zarządzania treścią (CMS); Przykład: zwolnienia zabezpieczeń od Wordpressa, Drupala i Joomla!.
- Wszystkie wtyczki i dodatki, których używasz w witrynie.
Niezabezpieczone motywy i wtyczki
Wtyczki i motywy w systemach CMS dodają wartościowe, zaawansowane funkcje. Jednak nieaktualne lub bez poprawek motywy i wtyczki są głównym źródłem luk w zabezpieczeniach witryn. Jeśli używasz w swojej witrynie motywów lub wtyczek, pamiętaj, by były one aktualne. Usuń motywy lub wtyczki, którymi nie zarządzają już programiści.
Uważaj szczególnie na bezpłatne wtyczki i motywy z niezaufanych witryn. Hakerzy często dodają złośliwy kod do bezpłatnych wersji płatnych wtyczek lub motywów. Gdy usuwasz wtyczkę, pamiętaj, by usunąć wszystkie jej pliki z serwera, a nie tylko ją wyłączyć.
Inżynieria społeczna
Inżynieria społeczna polega na wykorzystywaniu ludzkiej natury do omijania zaawansowanej infrastruktury zabezpieczeń. Tego typu ataki polegają na nakłonieniu uprawnionych użytkowników do podania poufnych informacji, takich jak hasła. Jedną z popularnych form inżynierii społecznej jest wyłudzanie informacji. Podczas próby wyłudzenia informacji osoba przeprowadzająca atak wysyła e-maila, podszywając się pod wiarygodną organizację, i prosi o poufne informacje.
Pamiętaj, aby nigdy nie podawać żadnych informacji poufnych (np. haseł, numerów kart kredytowych, danych bankowych, a nawet daty urodzenia), jeśli nie masz pewności co do tożsamości osoby wysyłającej prośbę. Jeśli Twoją witryną zarządza kilka osób, zastanów się nad przeprowadzeniem szkoleń, dzięki którym zwiększysz świadomość na temat zabezpieczeń przed atakami z użyciem inżynierii społecznej. Podstawowe wskazówki dotyczące ochrony przed phishingiem znajdziesz w Centrum pomocy Gmaila.
Luki w polityce bezpieczeństwa
Jeśli jesteś administratorem systemu lub prowadzisz własną witrynę, pamiętaj, że niedopracowane zasady zabezpieczeń mogą umożliwić hakerom zaatakowanie Twojej witryny. Oto kilka przykładów:
- Umożliwienie użytkownikom tworzenia słabych haseł.
- Przyznawanie dostępu administracyjnego użytkownikom, którzy go nie potrzebują.
- Nie włączysz protokołu HTTPS w witrynie i nie pozwolisz użytkownikom na logowanie się przez HTTP.
- Możliwość przesyłania plików od nieuwierzytelnionych użytkowników lub bez sprawdzania typu.
Kilka podstawowych wskazówek na temat ochrony witryny:
- Upewnij się, że w swojej witrynie masz skonfigurowane zaawansowane zabezpieczenia, wyłączając niepotrzebne usługi.
- Przetestuj kontrolę dostępu i uprawnienia użytkowników.
- Na stronach z poufnymi informacjami, np. na stronach logowania, używaj szyfrowania.
- Regularnie sprawdzaj dzienniki pod kątem podejrzanych działań.
Wyciek danych
Wyciek danych może wystąpić, gdy zostaną przesłane poufne dane, a błędna konfiguracja spowoduje ich publiczne udostępnienie. Na przykład obsługa błędów i wyświetlanie wiadomości w aplikacji internetowej może doprowadzić do wycieku informacji o konfiguracji w nieobsługiwanym komunikacie o błędzie. Posługując się metodą nazywaną dorkingiem, nieuczciwe podmioty mogą znaleźć takie dane za pomocą wyszukiwarki.
Zadbaj o to, aby Twoja witryna nie ujawniała informacji poufnych nieupoważnionym użytkownikom – przeprowadzaj okresowe kontrole i udostępniaj je zaufanym podmiotom za pomocą zasad bezpieczeństwa. Jeśli odkryjesz, że w witrynie wyświetlane są informacje poufne, które pilnie powinny zostać usunięte z wyników wyszukiwania Google, możesz usunąć z wyszukiwarki poszczególne adresy URL za pomocą narzędzia do usuwania adresów URL.