Aby chronić witrynę przed kolejnymi atakami, musisz zrozumieć, jak doszło do złamania jej zabezpieczeń. W tym dokumencie opisujemy niektóre luki w zabezpieczeniach, które mogą spowodować, że witryna zostanie zaatakowana.
Z tego filmu dowiesz się, jakie są rodzaje ataków i jak hakerzy przejmują kontrolę nad witryną.
Przejęte hasła
Atakujący mogą uzyskać Twoje hasło, odgadując różne hasła, aż w końcu trafią na właściwe. Ataki polegające na odgadywaniu haseł wykorzystują różne metody, np. próbowanie popularnych haseł lub skanowanie losowych kombinacji liter i cyfr. Aby temu zapobiec, utwórz silne hasło, które trudno odgadnąć. Wskazówki dotyczące tworzenia silnego hasła znajdziesz w tym artykule w Centrum pomocy Google.
Pamiętaj o 2 kwestiach.
- Nie używaj tego samego hasła w różnych usługach. Gdy atakujący znajdą działającą kombinację nazwy użytkownika i hasła, będą próbować użyć tych danych logowania w jak największej liczbie usług. Używaj unikalnego hasła, aby zapobiec przejęciu innych kont.
- Używaj uwierzytelniania dwuskładnikowego, np. weryfikacji dwuetapowej Google. Uwierzytelnianie dwuskładnikowe dodaje drugą warstwę danych logowania w postaci kodu SMS lub dynamicznie generowanego kodu PIN, aby uniemożliwić atakującym dostęp do Twojego konta. Niektórzy dostawcy systemów CMS udostępniają wskazówki dotyczące konfigurowania uwierzytelniania dwuskładnikowego:
Brak aktualizacji zabezpieczeń
Starsze wersje oprogramowania mogą mieć luki w zabezpieczeniach wysokiego ryzyka, które umożliwiają atakującym przejęcie kontroli nad całą witryną. Atakujący aktywnie wyszukują stare oprogramowanie z lukami w zabezpieczeniach. Ignorowanie luk w zabezpieczeniach zwiększa ryzyko ataku.
Na przykład:
- Oprogramowanie serwera WWW (jeśli hostujesz własne serwery).
- System zarządzania treścią (CMS). Na przykład aktualizacje zabezpieczeń z Wordpress, Drupal i Joomla!.
- Wszystkie wtyczki i dodatki używane w witrynie.
Niezabezpieczone motywy i wtyczki
Wtyczki i motywy CMS dodają przydatne funkcje. Jednak nieaktualne lub niezałatane motywy i wtyczki są głównym źródłem luk w zabezpieczeniach. Dbaj o to, aby motywy i wtyczki były aktualne. Usuń motywy i wtyczki, które nie są już obsługiwane.
Zachowaj szczególną ostrożność w przypadku bezpłatnych wtyczek i motywów z niezaufanych witryn. Atakujący często dodają złośliwy kod do bezpłatnych wersji płatnych wtyczek i motywów. Podczas usuwania wtyczki pamiętaj, aby usunąć wszystkie jej pliki z serwera, a nie tylko ją wyłączyć.
Inżynieria społeczna
Inżynieria społeczna wykorzystuje ludzką naturę do omijania zabezpieczeń. Ataki te polegają na nakłanianiu użytkowników do podawania poufnych informacji, takich jak hasła. Jedną z popularnych form inżynierii społecznej jest phishing. W przypadku próby wyłudzenia informacji atakujący wysyła e-maila, w którym podszywa się pod legalną organizację, aby poprosić o poufne informacje.
Nigdy nie udostępniaj informacji poufnych (np. haseł, numerów kart kredytowych, danych bankowych ani nawet daty urodzenia), chyba że masz pewność, kim jest osoba prosząca o te informacje. Jeśli Twoją witryną zarządza kilka osób, przeprowadź szkolenie, aby zwiększyć świadomość na temat inżynierii społecznej. Podstawowe wskazówki dotyczące ochrony przed phishingiem znajdziesz w Centrum pomocy Gmaila.
Luki w polityce bezpieczeństwa
Jeśli jesteś administratorem systemu lub hostujesz własną witrynę, słabe zasady bezpieczeństwa mogą umożliwić atakującym przejęcie kontroli nad witryną. Przykłady:
- Zezwalanie użytkownikom na tworzenie słabych haseł.
- Przyznawanie dostępu administracyjnego użytkownikom, którzy go nie potrzebują.
- Niewłączanie protokołu HTTPS i zezwalanie użytkownikom na logowanie się za pomocą protokołu HTTP.
- Zezwalanie na przesyłanie plików przez nieuwierzytelnionych użytkowników bez sprawdzania typu.
Oto kilka wskazówek, jak chronić witrynę:
- Skonfiguruj witrynę z zaawansowanymi opcjami zabezpieczeń, wyłączając niepotrzebne usługi.
- Przetestuj kontrolę dostępu i uprawnienia użytkowników.
- Używaj szyfrowania na stronach, które obsługują informacje poufne, np. na stronach logowania.
- Regularnie sprawdzaj logi pod kątem podejrzanej aktywności.
Wyciek danych
Wycieki danych występują, gdy poufne dane są przesyłane i nieprawidłowo skonfigurowane jako publicznie dostępne. Na przykład komunikaty o błędach aplikacji internetowej mogą ujawniać informacje o konfiguracji. Złośliwi użytkownicy mogą wykorzystać funkcje wyszukiwarki do znalezienia tych danych za pomocą metody znanej jako "dorking",
Regularnie sprawdzaj, czy Twoja witryna nie ujawnia informacji poufnych, i ogranicz dostęp do takich danych. Jeśli w swojej witrynie znajdziesz informacje poufne, które trzeba pilnie usunąć z wyszukiwarki Google, użyj narzędzia do usuwania adresów URL.
