راه های برتر هک شدن سایت ها توسط اسپمرها

برای محافظت از سایت خود در برابر حملات آینده، مهم است که بدانید سایت شما چگونه مورد نفوذ قرار گرفته است. این سند برخی از آسیب‌پذیری‌های امنیتی را که می‌تواند منجر به نفوذ به سایت شما شود، پوشش می‌دهد.

ویدیوی زیر انواع هک‌ها و نحوه‌ی کنترل سایت شما توسط هکرها را شرح می‌دهد.

رمزهای عبور لو رفته

مهاجمان ممکن است با حدس زدن رمزهای عبور مختلف تا زمانی که به درستی حدس بزنند، رمز عبور شما را به دست آورند. حملات حدس رمز عبور از روش‌هایی مانند امتحان کردن رمزهای عبور رایج یا اسکن ترکیب‌های تصادفی از حروف و اعداد استفاده می‌کنند. برای جلوگیری از این امر، یک رمز عبور قوی و دشوار برای حدس زدن ایجاد کنید. می‌توانید نکاتی برای ایجاد یک رمز عبور قوی را در مقاله مرکز راهنمای گوگل بیابید.

دو نکته را به خاطر داشته باشید.

1. از استفاده مجدد از رمزهای عبور در سرویس‌ها خودداری کنید. به محض اینکه مهاجمان ترکیبی از نام کاربری و رمز عبور فعال را شناسایی کردند، اعتبارنامه‌ها را در هر تعداد سرویس ممکن امتحان می‌کنند. برای جلوگیری از به خطر افتادن حساب‌های دیگر، از یک رمز عبور منحصر به فرد استفاده کنید.
2. از احراز هویت دو مرحله‌ای (2FA)، مانند تأیید هویت دو مرحله‌ای گوگل ، استفاده کنید. 2FA یک لایه دوم از اعتبارنامه‌ها را از طریق یک کد پیامکی یا یک پین پویا ایجاد شده اضافه می‌کند تا از دسترسی مهاجمان به حساب شما جلوگیری کند. برخی از ارائه دهندگان CMS راهنمایی‌هایی در مورد پیکربندی 2FA دارند:
   • جوملا!
   • وردپرس
   • دروپال

به‌روزرسانی‌های امنیتی از دست رفته

نسخه‌های قدیمی‌تر نرم‌افزار می‌توانند آسیب‌پذیری‌های امنیتی پرخطری داشته باشند که مهاجمان را قادر می‌سازد تا کل یک سایت را به خطر بیندازند. مهاجمان به طور فعال به دنبال نرم‌افزارهای قدیمی دارای آسیب‌پذیری هستند. نادیده گرفتن آسیب‌پذیری‌ها خطر حمله را افزایش می‌دهد.

برای مثال:

• نرم‌افزار وب سرور (اگر سرورهای خودتان را میزبانی می‌کنید).
• سیستم مدیریت محتوای شما (CMS). به عنوان مثال، نسخه‌های امنیتی وردپرس ، دروپال و جوملا!
• تمام افزونه‌ها و پلاگین‌هایی که در سایت خود استفاده می‌کنید.

قالب‌ها و افزونه‌های ناامن

افزونه‌ها و قالب‌های CMS ویژگی‌های ارزشمندی را اضافه می‌کنند. با این حال، قالب‌ها و افزونه‌های قدیمی یا وصله نشده منبع اصلی آسیب‌پذیری‌ها هستند. قالب‌ها و افزونه‌ها را به‌روز نگه دارید. قالب‌ها یا افزونه‌هایی را که دیگر پشتیبانی نمی‌شوند، حذف کنید.

در مورد افزونه‌ها یا قالب‌های رایگان از سایت‌های نامعتبر بسیار محتاط باشید. اضافه کردن کد مخرب به نسخه‌های رایگان افزونه‌ها یا قالب‌های پولی، یک تاکتیک رایج برای مهاجمان است. هنگام حذف یک افزونه، به جای غیرفعال کردن آن، مطمئن شوید که تمام فایل‌های آن را از سرور خود حذف کرده‌اید.

مهندسی اجتماعی

مهندسی اجتماعی از طبیعت انسان برای دور زدن امنیت سوءاستفاده می‌کند. این حملات کاربران را فریب می‌دهند تا اطلاعات محرمانه مانند رمزهای عبور را ارائه دهند. یکی از اشکال رایج مهندسی اجتماعی، فیشینگ است. در یک تلاش فیشینگ، مهاجم ایمیلی ارسال می‌کند که وانمود می‌کند یک سازمان قانونی است تا اطلاعات محرمانه را درخواست کند.

هرگز اطلاعات حساس (مثلاً رمزهای عبور، شماره کارت‌های اعتباری، اطلاعات بانکی یا حتی تاریخ تولد خود) را به اشتراک نگذارید، مگر اینکه از هویت درخواست‌کننده مطمئن باشید. اگر چندین نفر سایت شما را مدیریت می‌کنند، آموزش‌هایی برای افزایش آگاهی در مورد مهندسی اجتماعی ارائه دهید. برای نکات اولیه محافظت در برابر فیشینگ ، به مرکز راهنمایی Gmail مراجعه کنید.

حفره‌های سیاست امنیتی

اگر شما مدیر سیستم هستید یا سایت خودتان را میزبانی می‌کنید، سیاست‌های امنیتی ضعیف می‌تواند به مهاجمان اجازه دهد سایت شما را به خطر بیندازند. مثال‌ها عبارتند از:

• به کاربران اجازه می‌دهد رمزهای عبور ضعیف ایجاد کنند.
• اعطای دسترسی مدیریتی به کاربرانی که به آن نیازی ندارند.
• فعال نکردن HTTPS و اجازه ندادن به کاربران برای ورود با استفاده از HTTP.
• اجازه آپلود فایل از کاربران غیرمجاز بدون بررسی نوع.

در اینجا چند نکته برای محافظت از سایت شما آورده شده است:

• با غیرفعال کردن سرویس‌های غیرضروری، وب‌سایت خود را با کنترل‌های امنیتی بالا پیکربندی کنید.
• کنترل‌های دسترسی و امتیازات کاربر را آزمایش کنید.
• برای صفحاتی که اطلاعات حساس را مدیریت می‌کنند، مانند صفحات ورود، از رمزگذاری استفاده کنید.
• مرتباً لاگ‌های خود را برای فعالیت‌های مشکوک بررسی کنید.

نشت داده‌ها

نشت داده‌ها زمانی رخ می‌دهد که داده‌های محرمانه آپلود و به اشتباه پیکربندی شوند تا در دسترس عموم قرار گیرند. به عنوان مثال، پیام‌های خطای برنامه‌های وب می‌توانند اطلاعات پیکربندی را فاش کنند. با استفاده از روشی که به عنوان "dorking" شناخته می‌شود، عوامل مخرب می‌توانند از عملکرد موتور جستجو برای یافتن این داده‌ها سوءاستفاده کنند.

با انجام بررسی‌های دوره‌ای و محدود کردن داده‌های محرمانه، مطمئن شوید که سایت شما اطلاعات حساس را فاش نمی‌کند. اگر اطلاعات حساسی را در سایت خود کشف کردید که نیاز به حذف فوری از جستجوی گوگل دارد، از ابزار حذف URL استفاده کنید.