为了保护您的网站免遭日后攻击,了解网站遭到入侵的方式非常重要。本文档介绍了一些可能导致您的网站遭到入侵的安全漏洞。
以下视频简要介绍了黑客攻击的类型以及黑客如何控制您的网站。
密码被盗用
攻击者可能会通过猜测不同的密码来获取您的密码,直到猜对为止。密码猜测攻击会使用各种方法,例如尝试常用密码或扫描字母和数字的随机组合。为防止这种情况,请创建安全系数高且难以猜测的密码。 您可以在 Google 帮助中心文章中找到有关创建安全系数高的密码的提示。
请记住以下两点。
- 避免在不同服务中重复使用密码。攻击者一旦确定有效的用户名和密码组合,就会尝试在尽可能多的服务中使用这些凭据。请使用独一无二的密码,以防止其他账号遭到入侵。
- 使用双重身份验证 (2FA),例如 Google 两步验证。2FA 会通过短信验证码或动态生成的 PIN 码添加第二层凭据,以防止攻击者访问您的账号。一些 CMS 提供商提供了有关配置 2FA 的指南:
错过安全更新
较早的软件版本可能存在高风险安全漏洞,攻击者可以利用这些漏洞入侵整个网站。攻击者会主动寻找存在漏洞的旧软件。忽略漏洞会增加遭到攻击的风险。
例如:
不安全的主题和插件
CMS 插件和主题会添加有价值的功能。但是,过时或未修补的主题和插件是漏洞的主要来源。请及时更新主题和插件。移除不再维护的主题或插件。
请对来自不受信任网站的免费插件或主题格外小心。攻击者通常会向付费插件或主题的免费版本添加恶意代码。移除插件时,请务必从服务器中移除其所有文件,而不仅仅是停用它。
社会工程学
社会工程学 利用人性来绕过安全措施。此类攻击会诱骗用户提供机密信息,例如密码。网上诱骗是一种常见的社会工程学形式。在网上诱骗攻击中,攻击者会发送电子邮件,假装是合法组织,以请求机密信息。
除非您确定请求者的身份,否则切勿分享敏感信息(例如密码、信用卡号、银行信息,甚至是您的出生日期)。如果有多人管理您的网站,请提供培训以提高对社会工程学的认识。如需了解 基本的网上诱骗防护提示,请参阅 Gmail 帮助 中心。
安全政策漏洞
如果您是系统管理员或自行托管网站,那么不完善的安全政策可能会让攻击者入侵您的网站。例如:
- 允许用户创建弱密码。
- 向不需要管理权限的用户授予管理权限。
- 未启用 HTTPS,并允许用户使用 HTTP 登录。
- 允许未经身份验证的用户上传文件,而不进行类型检查。
以下是一些保护网站的提示:
- 通过停用不必要的服务,为您的网站配置高安全控制。
- 测试访问控制和用户权限。
- 对处理敏感信息的网页(例如登录页面)使用加密。
- 定期检查日志,查看是否有可疑活动。
数据泄露
当机密数据被上传并错误配置为公开可用时,就会发生数据泄露。例如,Web 应用错误消息可能会泄露配置信息。 恶意行为者可以使用一种称为“dorking”的方法, 利用搜索引擎功能来查找这些数据。
请定期检查并限制机密数据,确保您的网站不会泄露敏感信息。如果您发现网站上存在需要从 Google 搜索结果中紧急移除的敏感 信息,请使用 网址移除工具。