為避免網站日後遭受攻擊,請務必瞭解網站遭到入侵的方式。本文將介紹可能導致網站遭入侵的部分安全漏洞。
下方影片說明駭客的入侵類型,以及駭客如何掌控您的網站。
密碼遭到破解
攻擊者可能會透過猜測不同密碼,直到猜對為止。猜測密碼攻擊會使用各種方法,例如嘗試常見密碼,或掃描隨機的字母和數字組合。為避免發生這種情況,請建立難以猜測的高強度密碼。如需建立高強度密碼的提示,請參閱 Google 說明中心文章這篇文章。
請記住以下兩點。
- 請避免在不同服務重複使用密碼。攻擊者一旦找出可用的使用者名稱和密碼組合,就會盡可能在多項服務上嘗試使用這些憑證。請使用不重複的密碼,防止其他帳戶遭到入侵。
- 使用雙重驗證 (2FA),例如 Google 兩步驟驗證。雙重驗證會透過簡訊代碼或動態產生的 PIN 碼,新增第二層憑證,防止攻擊者存取您的帳戶。部分 CMS 供應商提供雙重驗證設定指南:
不會進行安全性更新
舊版軟體可能存在高風險安全漏洞,讓攻擊者入侵整個網站。攻擊者會積極尋找含有安全漏洞的舊版軟體。忽略安全漏洞會增加遭受攻擊的風險。
例如:
不安全的主題和外掛程式
CMS 外掛程式和主題可新增實用功能,但過時或未修補的主題和外掛程式是安全漏洞的主要來源。請保持主題和外掛程式在最新狀態,並移除不再維護的主題或外掛程式。
請務必小心來路不明網站提供的免費外掛程式或主題。攻擊者通常會將惡意程式碼新增至付費外掛程式或主題的免費版本。移除外掛程式時,請務必從伺服器中移除所有檔案,而不只是停用。
社交工程
社交工程會利用人性來規避安全措施。這類攻擊會誘騙使用者提供密碼等機密資訊。網路釣魚是常見的社交工程手法。在網路釣魚攻擊中,攻擊者會傳送電子郵件,假冒成合法機構要求提供機密資訊。
除非確定要求者身分,否則請勿分享私密資訊 (例如密碼、信用卡號碼、銀行資訊,甚至是出生日期)。如果有多人管理網站,請提供訓練課程,提高對社交工程的警覺性。如需基本的網路釣魚防護提示,請參閱 Gmail 說明中心。
安全性政策漏洞
如果您是系統管理員或自行架設網站,安全性政策不佳可能會導致攻擊者入侵網站。例如:
- 允許使用者建立低強度密碼。
- 將管理員存取權授予不需要的使用者。
- 未啟用 HTTPS,且允許使用者透過 HTTP 登入。
- 允許未經驗證的使用者上傳檔案,且不檢查檔案類型。
以下提供一些保護網站的訣竅:
- 停用不必要的服務,為網站設定高安全控管機制。
- 測試存取權控管和使用者權限。
- 處理登入頁面等機密資訊的網頁應使用加密功能。
- 定期檢查記錄,找出可疑活動。
資料外洩
資料外洩是指上傳機密資料時設定錯誤,導致資料公開。舉例來說,網頁應用程式錯誤訊息可能會洩漏設定資訊。惡意行為者可以利用稱為「dorking」的方法,透過搜尋引擎功能找出這類資料。
定期檢查並限制機密資料,確保網站不會揭露私密資訊。如果發現網站上含有需要緊急從 Google 搜尋中移除的私密資訊,請使用網址移除工具。