आपकी साइट से छेड़छाड़ कैसे की गई थी, इस बात को समझना अपनी साइट पर होने वाले हमलों से बचाव का ज़रूरी हिस्सा है. इस पेज पर, सुरक्षा से जुड़ी कुछ ऐसी कमज़ोरियों के बारे में बताया गया है जिनकी वजह से आपकी साइट से छेड़छाड़ की जा सकती है.
यहां दिए गए वीडियो में, हैक करने के अलग-अलग तरीकों और हैकर आपकी साइट का कंट्रोल कैसे ले सकते हैं, इस बारे में बताया गया है.
छेड़छाड़ किए गए पासवर्ड
हमलावर, पासवर्ड का अनुमान लगाने की तकनीकों का इस्तेमाल करके, अलग-अलग पासवर्ड तब तक आज़मा सकते हैं, जब तक उन्हें सही पासवर्ड न मिल जाए. पासवर्ड का अनुमान लगाने वाले हमले, कई तरीकों से किए जा सकते हैं. जैसे, सामान्य पासवर्ड आज़माकर या अक्षरों और अंकों के रैंडम कॉम्बिनेशन को तब तक स्कैन करके, जब तक पासवर्ड न मिल जाए. इसे रोकने के लिए, एक मजबूत पासवर्ड बनाएं जिसका अनुमान लगाना मुश्किल हो. मज़बूत पासवर्ड बनाने के लिए सुझाव, Google के सहायता केंद्र के लेख में देखे जा सकते हैं.
दो महत्वपूर्ण बातों को याद रखें. पहली बात, अलग-अलग सेवाओं के लिए एक ही पासवर्ड का इस्तेमाल करने से बचना ज़रूरी है. हमलावरों को अगर काम करने वाला कोई उपयोगकर्ता नाम और पासवर्ड का कॉम्बिनेशन मिल जाता है, तो वे उस उपयोगकर्ता नाम और पासवर्ड के कॉम्बिनेशन का इस्तेमाल, ज़्यादा से ज़्यादा सेवाओं के लिए करने की कोशिश करेंगे. इसलिए, अलग-अलग सेवाओं के लिए अलग-अलग पासवर्ड का इस्तेमाल करने से, अन्य सेवाओं पर मौजूद खातों से छेड़छाड़ को रोका जा सकता है.
दूसरी बात, अगर दो चरणों में पुष्टि (2FA) की सुविधा उपलब्ध है, तो उसका फ़ायदा लें. जैसे, Google की दो चरणों में पुष्टि की सुविधा. 2FA की मदद से, लॉगिन क्रेडेंशियल की दूसरी लेयर जोड़ी जा सकती है. आम तौर पर, यह लेयर टेक्स्ट मैसेज के ज़रिए भेजे गए कोड या डाइनैमिक तरीके से जनरेट किए गए किसी अन्य पिन के ज़रिए जोड़ी जाती है. इससे, हमलावर सिर्फ़ चोरी किए गए पासवर्ड की मदद से आपके खाते को ऐक्सेस नहीं कर पाते. कुछ सीएमएस सेवा देने वाली कंपनियों के पास, 2FA को कॉन्फ़िगर करने के बारे में दिशा-निर्देश मौजूद हैं: इसके लिए, Joomla!, WordPress या Drupal के लिए दस्तावेज़ देखें.
सुरक्षा से जुड़े अपडेट मौजूद नहीं हैं
सॉफ़्टवेयर के पुराने वर्शन, सुरक्षा से जुड़ी ज़्यादा जोखिम वाली कमज़ोरियों से प्रभावित हो सकते हैं. इनकी वजह से, हमलावर पूरी साइट से छेड़छाड़ कर सकते हैं. हमलावर, कमज़ोरियों वाले पुराने सॉफ़्टवेयर को ढूंढते रहते हैं. अपनी साइट पर मौजूद किसी कमज़ोरी को नज़रअंदाज़ करने से, आपकी साइट पर हमला होने की संभावना बढ़ जाती है.
यहां सॉफ़्टवेयर के कुछ उदाहरण दिए गए हैं जिन्हें आपको अपडेट रखना होगा:
- वेब सर्वर सॉफ़्टवेयर, अगर आपके पास अपने सर्वर हैं.
- आपका कॉन्टेंट मैनेजमेंट सिस्टम (सीएमएस). उदाहरण के लिए, Wordpress, Drupal, और Joomla! से जारी किए गए सुरक्षा अपडेट.
- आपकी साइट पर इस्तेमाल किए जाने वाले सभी प्लग इन और ऐड-ऑन.
असुरक्षित थीम और प्लग इन
सीएमएस पर मौजूद प्लग इन और थीम, काम की और बेहतर सुविधाएं जोड़ते हैं. हालांकि, पुराने या पैच न किए गए थीम और प्लग इन, वेबसाइटों पर कमज़ोरियों की एक बड़ी वजह हैं. अगर अपनी साइट पर थीम या प्लग इन का इस्तेमाल किया जाता है, तो पक्का करें कि वे अप-टू-डेट हों. ऐसी थीम या प्लग इन हटाएं जिन्हें उनके डेवलपर अब मेंटेन नहीं करते.
अविश्वस्त साइटों से मुफ़्त प्लग इन या थीम को लेकर बेहद सतर्क रहें. हमलावरों के लिए, पैसे देकर खरीदे जाने वाले प्लग इन या थीम के मुफ़्त वर्शन में, नुकसान पहुंचाने वाला कोड जोड़ना एक आम रणनीति है. किसी प्लग इन को हटाते समय, पक्का करें कि उसे सिर्फ़ बंद करने के बजाय, अपने सर्वर से उसकी सभी फ़ाइलें हटा दी जाएं.
सोशल इंजीनियरिंग
सोशल इंजीनियरिंग सुरक्षा के बेहतर इंफ़्रास्ट्रक्चर को बाईपास करने के लिए, मानवीय स्वभाव का फ़ायदा उठाना है. इस तरह के हमलों में, अनुमति वाले उपयोगकर्ताओं को गुमराह करके, उनसे पासवर्ड जैसी गोपनीय जानकारी हासिल की जाती है. फ़िशिंग, सोशल इंजीनियरिंग का एक आम तरीका है. फ़िशिंग की कोशिश के दौरान, हमलावर किसी असली संगठन के तौर पर ईमेल भेजकर, गोपनीय जानकारी का अनुरोध करेगा.
कभी भी कोई संवेदनशील जानकारी (उदाहरण के लिए, पासवर्ड, क्रेडिट कार्ड नंबर, बैंकिंग जानकारी या यहां तक कि अपनी जन्म तारीख) न दें. ऐसा तब तक न करें, जब तक आपको अनुरोध करने वाले की पहचान के बारे में पक्का न हो. अगर आपकी साइट को कई लोग मैनेज करते हैं, तो सोशल इंजीनियरिंग के हमलों के ख़िलाफ़ सुरक्षा के बारे में जागरूकता बढ़ाने के लिए, उन्हें ट्रेनिंग देने पर विचार करें. फ़िशिंग से सुरक्षा के लिए बुनियादी सुझाव पाने के लिए, Gmail सहायता केंद्र पर जाएं.
सुरक्षा नीति की खामियां
अगर आप सिस्टम एडमिन हैं या अपनी साइट खुद मैनेज करते हैं, तो याद रखें कि सुरक्षा से जुड़ी खराब नीतियां, हमलावरों को आपकी साइट से छेड़छाड़ करने की अनुमति दे सकती हैं. कुछ उदाहरण ये हैं:
- उपयोगकर्ताओं को कमज़ोर पासवर्ड बनाने की अनुमति देना.
- ऐसे उपयोगकर्ताओं को एडमिन ऐक्सेस देना जिनकी ज़रूरत नहीं है.
- अपनी साइट पर एचटीटीपीएस की सुविधा चालू न करना और उपयोगकर्ताओं को एचटीटीपी का इस्तेमाल करके साइन इन करने की अनुमति देना.
- बिना पुष्टि किए गए उपयोगकर्ताओं को फ़ाइलें अपलोड करने की अनुमति देना या फ़ाइल के टाइप की जांच न करना.
आपकी साइट की सुरक्षा के लिए कुछ बुनियादी सलाह:
- पक्का करें कि आपकी वेबसाइट, सुरक्षा से जुड़े बेहतर कंट्रोल के साथ कॉन्फ़िगर की गई हो. इसके लिए, गैर-ज़रूरी सेवाओं को बंद करें.
- ऐक्सेस कंट्रोल और उपयोगकर्ता की अनुमतियों की जांच करें.
- संवेदनशील जानकारी वाले पेजों के लिए एन्क्रिप्शन का इस्तेमाल करें. जैसे, लॉगिन पेज.
- किसी भी संदिग्ध गतिविधि के लिए, अपने लॉग की नियमित तौर पर जांच करें.
डेटा लीक
डेटा लीक तब हो सकता है, जब गोपनीय डेटा अपलोड किया जाता है और गलत कॉन्फ़िगरेशन की वजह से, वह गोपनीय जानकारी सार्वजनिक तौर पर उपलब्ध हो जाती है. उदाहरण के लिए, वेब ऐप्लिकेशन में गड़बड़ी को ठीक करने और मैसेज भेजने की सुविधा की वजह से, बिना ठीक की गई गड़बड़ी के मैसेज में, कॉन्फ़िगरेशन की जानकारी लीक हो सकती है. "डार्किंग" के तौर पर जाने जाने वाले तरीके का इस्तेमाल करके, नुकसान पहुंचाने वाले लोग इस डेटा को ढूंढने के लिए, सर्च इंजन की सुविधा का फ़ायदा उठा सकते हैं.
पक्का करें कि आपकी साइट, बिना अनुमति वाले उपयोगकर्ताओं को संवेदनशील जानकारी न दिखाए. इसके लिए, समय-समय पर जांच करें और सुरक्षा नीतियों के ज़रिए, गोपनीय डेटा को सिर्फ़ भरोसेमंद इकाइयों तक सीमित रखें. अगर आपको अपनी साइट पर कोई ऐसी संवेदनशील जानकारी दिखती है जिसे Google के खोज नतीजों से तुरंत हटाने की ज़रूरत है, तो Google Search से अलग-अलग यूआरएल हटाने के लिए, यूआरएल हटाने वाले टूल का इस्तेमाल करें.