درک اینکه چگونه سایت شما به خطر افتاده است بخش مهمی از محافظت از سایت شما در برابر حملات است. این صفحه برخی از آسیبپذیریهای امنیتی را پوشش میدهد که میتواند منجر به به خطر افتادن سایت شما شود.
ویدئوی زیر انواع مختلف هک ها و راه هایی را که هکرها می توانند کنترل سایت شما را در دست بگیرند، تشریح می کند.
رمزهای عبور به خطر افتاده
مهاجمان می توانند از تکنیک های حدس زدن رمز عبور با استفاده از رمزهای عبور مختلف استفاده کنند تا زمانی که رمز عبور درست را حدس بزنند. حملات حدس زدن رمز عبور را می توان از طریق روش های مختلفی مانند امتحان رمزهای عبور رایج یا اسکن از طریق ترکیب تصادفی حروف و اعداد تا کشف رمز عبور انجام داد. برای جلوگیری از این امر، یک رمز عبور قوی ایجاد کنید که حدس زدن آن دشوار است. میتوانید نکاتی برای ایجاد رمز عبور قوی در مقاله مرکز راهنمای Google بیابید.
دو نکته مهم را باید به خاطر بسپارید. اول، مهم است که از استفاده مجدد از رمزهای عبور در سراسر سرویس ها خودداری کنید. هنگامی که مهاجمان قادر به شناسایی یک ترکیب نام کاربری و رمز عبور فعال هستند، سعی می کنند از ترکیب نام کاربری و رمز عبور در بسیاری از سرویس ها استفاده کنند. بنابراین، استفاده از رمزهای عبور مختلف در سرویس های مختلف می تواند از به خطر افتادن حساب های دیگر در سرویس های دیگر جلوگیری کند.
دوم، اگر این گزینه در دسترس باشد، از احراز هویت دو مرحلهای (2FA) مانند تأیید صحت 2 مرحلهای Google استفاده کنید. 2FA اجازه می دهد تا لایه دوم اعتبارنامه ورود، معمولاً از طریق یک کد پیام متنی یا PIN دیگر ایجاد شده به صورت پویا، که توانایی مهاجم را برای دسترسی به حساب شما تنها با یک رمز عبور دزدیده شده کاهش می دهد. برخی از ارائه دهندگان CMS در مورد پیکربندی 2FA راهنمایی دارند: مستندات جوملا را ببینید! ، وردپرس یا دروپال .
به روز رسانی های امنیتی از دست رفته
نسخههای قبلی نرمافزار میتوانند تحت تأثیر آسیبپذیریهای امنیتی پرخطر قرار بگیرند که مهاجمان را قادر میسازد تا کل سایت را در معرض خطر قرار دهند. مهاجمان به طور فعال به دنبال نرم افزارهای قدیمی با آسیب پذیری هستند. نادیده گرفتن یک آسیب پذیری در سایت شما احتمال حمله به سایت شما را افزایش می دهد.
چند نمونه از نرم افزارهایی که می خواهید به روز نگه دارید عبارتند از:
- نرم افزار وب سرور، اگر سرورهای خود را اجرا می کنید.
- سیستم مدیریت محتوای شما (CMS). مثال: نسخه های امنیتی وردپرس ، دروپال و جوملا! .
- تمام افزونه ها و افزونه هایی که در سایت خود استفاده می کنید.
تم ها و افزونه های ناامن
پلاگین ها و تم ها در CMS ویژگی های ارزشمند و پیشرفته ای را اضافه می کنند. با این حال، تم ها و افزونه های قدیمی یا اصلاح نشده منبع اصلی آسیب پذیری در وب سایت ها هستند. اگر از تم ها یا افزونه ها در سایت خود استفاده می کنید، مطمئن شوید که آنها را به روز نگه دارید. تم ها یا افزونه هایی را که دیگر توسط توسعه دهندگانشان نگهداری نمی شوند حذف کنید.
در مورد پلاگین ها یا تم های رایگان سایت های غیر قابل اعتماد بسیار محتاط باشید. این یک تاکتیک رایج برای مهاجمان است که کدهای مخرب را به نسخه های رایگان پلاگین ها یا تم های پولی اضافه کنند. هنگام حذف یک افزونه، به جای غیرفعال کردن آن، مطمئن شوید که تمام فایل های آن را از سرور خود حذف کرده اید.
مهندسی اجتماعی
مهندسی اجتماعی در مورد بهره برداری از طبیعت انسان برای دور زدن زیرساخت های امنیتی پیچیده است. این نوع حملات، کاربران مجاز را فریب می دهند تا اطلاعات محرمانه ای مانند رمز عبور ارائه دهند. یکی از اشکال رایج مهندسی اجتماعی فیشینگ است. در طول تلاش فیشینگ، یک مهاجم ایمیلی را ارسال می کند که وانمود می کند یک سازمان قانونی است و اطلاعات محرمانه ای را درخواست می کند.
به یاد داشته باشید که هرگز اطلاعات حساسی (به عنوان مثال رمز عبور، شماره کارت اعتباری، اطلاعات بانکی یا حتی تاریخ تولد خود) را ارائه نکنید، مگر اینکه از هویت درخواست کننده مطمئن باشید. اگر سایت شما توسط چندین نفر مدیریت می شود، آموزش هایی را برای افزایش آگاهی امنیتی در برابر حملات مهندسی اجتماعی ارائه دهید. برای نکات اساسی حفاظت از فیشینگ ، به مرکز راهنمای Gmail مراجعه کنید.
حفره های سیاست امنیتی
اگر شما یک مدیر سیستم هستید یا سایت خود را اجرا می کنید، به یاد داشته باشید که سیاست های امنیتی ضعیف می تواند به مهاجمان اجازه دهد تا سایت شما را به خطر بیاندازند. برخی از نمونه ها عبارتند از:
- به کاربران امکان ایجاد رمزهای عبور ضعیف را می دهد.
- دادن دسترسی اداری به کاربرانی که به آن نیاز ندارند.
- فعال نکردن HTTPS در سایت شما و اجازه ورود کاربران با استفاده از HTTP.
- امکان آپلود فایل از کاربران احراز هویت نشده یا بدون بررسی نوع.
چند نکته اساسی برای محافظت از سایت شما:
- با غیرفعال کردن سرویس های غیر ضروری، مطمئن شوید که وب سایت شما با کنترل های امنیتی بالا پیکربندی شده است.
- کنترل های دسترسی و امتیازات کاربر را آزمایش کنید.
- از رمزگذاری برای صفحاتی که اطلاعات حساس را مدیریت می کنند، مانند صفحات ورود استفاده کنید.
- گزارش های خود را به طور منظم برای هرگونه فعالیت مشکوک بررسی کنید.
نشت داده ها
زمانی که دادههای محرمانه آپلود میشوند و پیکربندی نادرست آن اطلاعات محرمانه را در دسترس عموم قرار میدهد، نشت دادهها ممکن است رخ دهد. به عنوان مثال، مدیریت خطا و ارسال پیام در یک برنامه وب به طور بالقوه می تواند اطلاعات پیکربندی را در یک پیام خطای کنترل نشده افشا کند. با استفاده از روشی به نام "dorking" ، عوامل مخرب می توانند از عملکرد موتور جستجو برای یافتن این داده ها سوء استفاده کنند.
با انجام بررسی های دوره ای و محدود کردن داده های محرمانه به نهادهای مورد اعتماد از طریق سیاست های امنیتی، اطمینان حاصل کنید که سایت شما اطلاعات حساس را برای کاربران غیرمجاز فاش نمی کند. اگر هر گونه اطلاعات حساس نمایش داده شده در سایت خود را پیدا کردید که باید فوراً از نتایج جستجوی Google حذف شود، می توانید از ابزار حذف URL برای حذف URL های فردی از جستجوی Google استفاده کنید.