瞭解網站遭到入侵的方式相當重要,這樣才能防止網站遭受攻擊。本頁說明可能導致網站遭入侵的安全性漏洞。
以下影片說明不同類型的駭客攻擊,以及駭客如何掌控您的網站。
密碼遭到破解
攻擊者會使用密碼猜測技術,嘗試不同的密碼,直到猜對為止。猜密碼攻擊可透過各種方法進行,例如嘗試常見密碼,或掃描隨機的字母和數字組合,直到找出密碼為止。為避免這種情況,請設定難以猜測的高強度密碼。 如需建立高強度密碼的提示,請參閱 Google 說明中心文章。
請謹記兩個重點。首先,請務必避免在不同服務中重複使用密碼。一旦攻擊者找出可用的使用者名稱和密碼組合,就會盡可能在多項服務上使用該組合。因此,在不同服務上使用不同密碼,可避免其他服務上的其他帳戶遭到入侵。
其次,請善用雙重驗證 (2FA),例如Google 兩步驟驗證 (如有此選項)。雙重驗證會要求使用者提供第二層登入憑證 (通常是簡訊驗證碼或其他動態產生的 PIN 碼),因此即使攻擊者竊取了密碼,也無法存取您的帳戶。部分 CMS 供應商提供設定兩步驟驗證的指南:請參閱 Joomla!、WordPress 或 Drupal。
不會進行安全性更新
舊版軟體可能受到高風險安全漏洞影響,導致攻擊者入侵整個網站。攻擊者會主動尋找含有安全漏洞的舊軟體,如果忽略網站上的安全漏洞,網站遭到攻擊的機率就會增加。
建議您更新以下軟體:
不安全的主題和外掛程式
CMS 的外掛程式和主題可新增實用的進階功能。不過,過時或未修補的主題和外掛程式,是網站的主要安全漏洞來源。如果網站使用主題或外掛程式,請務必保持在最新狀態。移除開發人員已停止維護的主題或外掛程式。
請務必小心來路不明的免費外掛程式或主題。攻擊者通常會將惡意程式碼新增至付費外掛程式或主題的免費版本。移除外掛程式時,請務必從伺服器中移除所有檔案,而不只是停用外掛程式。
社交工程
社交工程是利用人類天性,繞過複雜的安全基礎架構。這類攻擊會誘騙授權使用者提供密碼等機密資訊。網路釣魚是常見的社交工程手法。網路釣魚攻擊者會傳送電子郵件,假冒成合法機構並要求提供機密資訊。
請務必記住,除非確定要求者身分,否則絕不提供任何私密資訊 (例如密碼、信用卡號碼、銀行資訊,甚至是出生日期)。如果網站由多人管理,建議提供訓練課程,提高對社交工程攻擊的警覺性。如需基本的網路釣魚防護提示,請參閱 Gmail 說明中心。
安全性政策漏洞
如果您是系統管理員或自行經營網站,請注意,安全性政策不完善可能會導致攻擊者入侵網站。例如:
- 允許使用者建立低強度密碼。
- 將管理員存取權授予不需要的使用者。
- 未在網站上啟用 HTTPS,並允許使用者透過 HTTP 登入。
- 允許未經驗證的使用者上傳檔案,或未進行類型檢查。
確保網站安全的一些基本提示:
- 停用不必要的服務,確保網站已設定高安全防護控制項。
- 測試存取權控管和使用者權限。
- 針對處理登入頁面等私密資訊的網頁使用加密功能。
- 定期檢查記錄,找出任何可疑活動。
資料外洩
上傳機密資料時,如果設定錯誤,機密資訊就會公開,導致資料外洩。舉例來說,網頁應用程式中的錯誤處理和訊息傳送機制,可能會在未處理的錯誤訊息中洩漏設定資訊。惡意行為者可以利用稱為「dorking」的方法,透過搜尋引擎功能找出這類資料。
請定期檢查並透過安全政策將機密資料限制在可信任的實體,確保網站不會向未經授權的使用者揭露私密資訊。如果發現網站上顯示任何機密資訊,且急需從 Google 搜尋結果中移除,可以使用網址移除工具,從 Google 搜尋中移除個別網址。