आने वाले समय में होने वाले हमलों से अपनी साइट को सुरक्षित रखने के लिए, यह समझना ज़रूरी है कि आपकी साइट से छेड़छाड़ कैसे की गई थी. इस दस्तावेज़ में, सुरक्षा से जुड़ी कुछ ऐसी कमियों के बारे में बताया गया है जिनकी वजह से आपकी साइट से छेड़छाड़ की जा सकती है.
इस वीडियो में, हैक के अलग-अलग तरीकों के बारे में बताया गया है. साथ ही, यह भी बताया गया है कि हैकर आपकी साइट का कंट्रोल कैसे पाते हैं.
छेड़छाड़ किए गए पासवर्ड
हमलावर, अलग-अलग पासवर्ड का अनुमान लगाकर आपके पासवर्ड का पता लगा सकते हैं. पासवर्ड का अनुमान लगाने वाले हमलों में कई तरीके इस्तेमाल किए जाते हैं. जैसे, सामान्य पासवर्ड आज़माना या अक्षरों और संख्याओं के रैंडम कॉम्बिनेशन को स्कैन करना. इससे बचने के लिए, एक मज़बूत पासवर्ड बनाएं जिसका अनुमान लगाना मुश्किल हो. आपको Google के सहायता केंद्र के लेख में, मज़बूत पासवर्ड बनाने के बारे में सलाह मिल सकती है.
दो बातें याद रखें.
- अलग-अलग सेवाओं के लिए एक ही पासवर्ड का इस्तेमाल न करें. जब हमलावरों को काम करने वाले उपयोगकर्ता नाम और पासवर्ड के कॉम्बिनेशन का पता चल जाता है, तो वे ज़्यादा से ज़्यादा सेवाओं पर क्रेडेंशियल आज़माते हैं. किसी दूसरे खाते से समझौता होने से रोकने के लिए, एक यूनीक पासवर्ड का इस्तेमाल करें.
- दो तरीकों से पुष्टि करने की सुविधा (2FA) का इस्तेमाल करें. जैसे, Google की दो चरणों में पुष्टि करने की सुविधा. दो तरीकों से पुष्टि करने की सुविधा, क्रेडेंशियल की दूसरी लेयर जोड़ती है. इसके लिए, मैसेज से मिले कोड या डाइनैमिक तौर पर जनरेट हुए पिन का इस्तेमाल किया जाता है. इससे हमलावरों को आपके खाते को ऐक्सेस करने से रोका जा सकता है. कुछ सीएमएस की सेवा देने वाली कंपनियों ने, दो तरीकों से पुष्टि करने की सुविधा को कॉन्फ़िगर करने के बारे में दिशा-निर्देश दिए हैं:
सुरक्षा से जुड़े अपडेट इंस्टॉल नहीं किए गए हैं
सॉफ़्टवेयर के पुराने वर्शन में सुरक्षा से जुड़ी ऐसी समस्याएं हो सकती हैं जिनसे आपकी साइट को हैक किया जा सकता है. हमलावर, जोखिमों की आशंका वाले पुराने सॉफ़्टवेयर को खोजते रहते हैं. कमज़ोरियों को नज़रअंदाज़ करने से, हमले का जोखिम बढ़ जाता है.
उदाहरण के लिए:
- वेब सर्वर सॉफ़्टवेयर (अगर आपने अपने सर्वर होस्ट किए हैं).
- आपका कॉन्टेंट मैनेजमेंट सिस्टम (सीएमएस). उदाहरण के लिए, Wordpress, Drupal, और Joomla! से सुरक्षा से जुड़ी रिलीज़.
- आपकी साइट पर इस्तेमाल किए जाने वाले सभी प्लगिन और ऐड-ऑन.
असुरक्षित थीम और प्लग इन
सीएमएस प्लगिन और थीम से काम की सुविधाएं मिलती हैं. हालांकि, पुराने या पैच नहीं किए गए थीम और प्लगिन, जोखिम की आशंका के मुख्य स्रोत होते हैं. थीम और प्लगिन को अप-टू-डेट रखें. ऐसी थीम या प्लगिन हटाएं जिन्हें अब अपडेट नहीं किया जाता.
अविश्वस्त साइटों से मुफ़्त प्लग इन या थीम को लेकर बेहद सतर्क रहें. हमलावर, पैसे चुकाकर इस्तेमाल किए जाने वाले प्लगिन या थीम के मुफ़्त वर्शन में नुकसान पहुंचाने वाला कोड जोड़ते हैं. यह एक सामान्य तरीका है. किसी प्लगिन को हटाने के लिए, उसे सिर्फ़ बंद करने के बजाय, अपने सर्वर से उसकी सभी फ़ाइलें हटाना न भूलें.
सोशल इंजीनियरिंग
सोशल इंजीनियरिंग, सुरक्षा को बायपास करने के लिए मानवीय स्वभाव का फ़ायदा उठाती है. इन हमलों में, उपयोगकर्ताओं को गुमराह करके उनसे पासवर्ड जैसी गोपनीय जानकारी हासिल की जाती है. फ़िशिंग, सोशल इंजीनियरिंग का एक सामान्य तरीका है. फ़िशिंग के मामले में, हमलावर किसी भरोसेमंद संगठन के नाम पर ईमेल भेजता है. इसमें वह गोपनीय जानकारी मांगता है.
संवेदनशील जानकारी (जैसे, पासवर्ड, क्रेडिट कार्ड नंबर, बैंक खाते की जानकारी या जन्म की तारीख) कभी भी शेयर न करें. ऐसा तब तक न करें, जब तक आपको यह पक्का न हो कि जानकारी मांगने वाले व्यक्ति की पहचान सही है. अगर आपकी साइट को कई लोग मैनेज करते हैं, तो उन्हें सोशल इंजीनियरिंग के बारे में जानकारी देने के लिए ट्रेनिंग दें. फ़िशिंग से सुरक्षा पाने के बारे में बुनियादी सलाह के लिए, Gmail सहायता केंद्र पर जाएं.
सुरक्षा नीति की खामियां
अगर आप सिस्टम एडमिन हैं या अपनी साइट को होस्ट करते हैं, तो सुरक्षा से जुड़ी खराब नीतियां, हमलावरों को आपकी साइट से समझौता करने की अनुमति दे सकती हैं. उदाहरण के लिए:
- उपयोगकर्ताओं को कमज़ोर पासवर्ड बनाने की अनुमति देना.
- उन उपयोगकर्ताओं को एडमिन ऐक्सेस देना जिन्हें इसकी ज़रूरत नहीं है.
- एचटीटीपीएस चालू न करना और उपयोगकर्ताओं को एचटीटीपी का इस्तेमाल करके साइन इन करने की अनुमति देना.
- टाइप की जांच किए बिना, पुष्टि न किए गए उपयोगकर्ताओं को फ़ाइलें अपलोड करने की अनुमति देना.
अपनी साइट को सुरक्षित रखने के लिए, यहां कुछ सुझाव दिए गए हैं:
- ज़रूरत न होने वाली सेवाओं को बंद करके, अपनी वेबसाइट को बेहतर सुरक्षा कंट्रोल के साथ कॉन्फ़िगर करें.
- ऐक्सेस कंट्रोल और उपयोगकर्ता के अधिकारों की जांच करें.
- संवेदनशील जानकारी को मैनेज करने वाले पेजों के लिए, एन्क्रिप्शन का इस्तेमाल करें. जैसे, लॉगिन पेज.
- संदिग्ध गतिविधि का पता लगाने के लिए, अपने लॉग समय-समय पर देखें.
डेटा लीक
डेटा लीक तब होता है, जब गोपनीय डेटा अपलोड किया जाता है और उसे सार्वजनिक तौर पर उपलब्ध कराने के लिए गलत तरीके से कॉन्फ़िगर किया जाता है. उदाहरण के लिए, वेब ऐप्लिकेशन से जुड़ी गड़बड़ी के मैसेज से कॉन्फ़िगरेशन की जानकारी लीक हो सकती है. "डार्किंग" नाम के तरीके का इस्तेमाल करके, नुकसान पहुंचाने वाले लोग इस डेटा को ढूंढने के लिए, सर्च इंजन की सुविधाओं का गलत इस्तेमाल कर सकते हैं.
समय-समय पर जांच करके यह पक्का करें कि आपकी साइट पर संवेदनशील जानकारी न दिखे. साथ ही, गोपनीय डेटा को प्रतिबंधित करें. अगर आपको अपनी साइट पर ऐसी संवेदनशील जानकारी मिलती है जिसे Google Search से तुरंत हटाना है, तो यूआरएल हटाने वाले टूल का इस्तेमाल करें.
