Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הדרכים המובילות לפריצה של אתרים על ידי ספאמרים

כדי להגן על האתר מפני מתקפות עתידיות, חשוב להבין איך האתר נפגע. במסמך הזה מוסבר על חלק מנקודות החולשה באבטחה שעלולות לגרום לפגיעה באתר.

בסרטון הבא מוסבר על סוגי הפריצות ואיך האקרים משתלטים על האתר שלכם.

סיסמאות שנחשפו

תוקפים יכולים לנחש סיסמאות שונות עד שהם מנחשים את הסיסמה הנכונה. התקפות של ניחוש סיסמאות משתמשות בשיטות שונות, למשל ניסיון סיסמאות נפוצות או סריקה של שילובים אקראיים של אותיות ומספרים. כדי למנוע את זה, צריך ליצור סיסמה חזקה שקשה לנחש. במאמר הזה במרכז העזרה של Google מופיעים טיפים ליצירת סיסמה חזקה.

חשוב לזכור שתי נקודות.

מומלץ להימנע משימוש חוזר בסיסמאות בשירותים שונים. ברגע שתוקפים מזהים שילוב של שם משתמש וסיסמה שעובד, הם מנסים את פרטי הכניסה בכמה שיותר שירותים. כדי למנוע פריצה לחשבונות אחרים, כדאי להשתמש בסיסמה ייחודית.
שימוש באימות דו-גורמי (2FA), כמו אימות דו-שלבי של Google. האימות הדו-שלבי מוסיף שכבת אישורים שנייה, באמצעות קוד בהודעת טקסט או קוד אימות שנוצר באופן דינמי, כדי למנוע מתוקפים לגשת לחשבון שלכם. יש ספקי CMS שמספקים הנחיות להגדרת אימות דו-שלבי:
- ‫Joomla!‎
- WordPress
- Drupal

עדכוני אבטחה שלא הותקנו

גרסאות קודמות של תוכנות עלולות להכיל פרצות אבטחה בסיכון גבוה, שיאפשרו לתוקפים לפרוץ לאתר שלם. תוקפים מחפשים באופן פעיל תוכנות ישנות עם נקודות חולשה. התעלמות מנקודות חולשה מגבירה את הסיכון למתקפה.

לדוגמה:

תוכנת שרת אינטרנט (אם אתם מארחים את השרתים שלכם).
מערכת ניהול התוכן (CMS). לדוגמה, עדכוני אבטחה מ-Wordpress,‏ Drupal ו-Joomla!‎.
כל הפלאגינים והתוספים שבהם אתם משתמשים באתר.

עיצובים ותוספים לא מאובטחים

פלאגינים ועיצובים של מערכות ניהול תוכן מוסיפים תכונות חשובות. עם זאת, עיצובים ופלאגינים מיושנים או לא מתוקנים הם מקור משמעותי לנקודות חולשה. חשוב לוודא שהתבניות והתוספים תמיד עדכניים. להסיר תבניות או תוספים שכבר לא מתחזקים אותם.

צריך להיזהר מאוד מפלאגינים או מעיצובים בחינם מאתרים לא מהימנים. זו טקטיקה נפוצה של תוקפים להוסיף קוד זדוני לגרסאות חינמיות של פלאגינים או עיצובים בתשלום. כשמסירים פלאגין, חשוב להסיר את כל הקבצים שלו מהשרת ולא רק להשבית אותו.

הנדסה חברתית

הנדסה חברתית מנצלת את הטבע האנושי כדי לעקוף את האבטחה. המתקפות האלה מנסות לגרום למשתמשים למסור מידע סודי, כמו סיסמאות. אחת מהצורות הנפוצות של הנדסה חברתית היא פישינג. בניסיון פישינג, תוקף שולח אימייל שמתחזה לארגון לגיטימי כדי לבקש מידע סודי.

לעולם אל תשתפו מידע רגיש (לדוגמה, סיסמאות, מספרי כרטיסי אשראי, פרטי בנק או אפילו תאריך הלידה שלכם) אלא אם אתם בטוחים בזהות של מי שפנה אליכם. אם כמה אנשים מנהלים את האתר שלכם, כדאי להעביר להם הדרכה כדי להגביר את המודעות להנדסה חברתית. טיפים בסיסיים להגנה מפני פישינג זמינים במרכז העזרה של Gmail.

פרצות במדיניות האבטחה

אם אתם אדמינים של מערכת או מארחים את האתר שלכם, מדיניות אבטחה לקויה עלולה לאפשר לתוקפים לפגוע באתר. דוגמאות:

המשתמשים יכולים ליצור סיסמאות חלשות.
הענקת הרשאת אדמין למשתמשים שלא צריכים אותה.
לא מפעילים HTTPS ומאפשרים למשתמשים להיכנס באמצעות HTTP.
מתן הרשאה להעלאת קבצים ממשתמשים לא מאומתים ללא בדיקת סוג.

ריכזנו כאן כמה טיפים שיעזרו לכם להגן על האתר:

כדי להגדיר אמצעי בקרה ברמת אבטחה גבוהה באתר, צריך להשבית שירותים לא נחוצים.
בודקים את אמצעי בקרת הגישה וההרשאות של המשתמשים.
כדאי להשתמש בהצפנה בדפים שבהם מוזן מידע רגיש, כמו דפי התחברות.
חשוב לבדוק את היומנים באופן קבוע כדי לזהות פעילות חשודה.

דליפות נתונים

דליפות נתונים מתרחשות כשנתונים סודיים מועלים ומוגדרים בצורה שגויה כך שיהיו זמינים לציבור. לדוגמה, הודעות שגיאה של אפליקציות אינטרנט יכולות לגרום לדליפת פרטי הגדרה. גורמים זדוניים יכולים לנצל את הפונקציונליות של מנועי חיפוש כדי למצוא את הנתונים האלה באמצעות שיטה שנקראת dorking.

כדי לוודא שהאתר לא חושף מידע רגיש, מומלץ לבצע בדיקות תקופתיות ולהגביל את הגישה לנתונים סודיים. אם גיליתם באתר שלכם מידע רגיש שצריך להסיר בדחיפות מחיפוש Google, אתם יכולים להשתמש בכלי להסרת כתובות URL.