Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

أهم الطرق التي يخترق بها أصحاب الأسلوب غير المرغوب فيه المواقع الإلكترونية

يمثّل فهم الآلية التي تم بها اختراق موقعك الإلكتروني جزءًا مهمًا من حماية موقعك من الهجمات. تتناول هذه الصفحة بعض الثغرات الأمنية التي يمكن أن تؤدي إلى اختراق موقعك الإلكتروني.

يوضّح الفيديو التالي الأنواع المختلفة من عمليات الاختراق والطرق التي يمكن للمخترقين من خلالها السيطرة على موقعك الإلكتروني.

اختراق كلمات المرور

يمكن للمهاجمين استخدام تقنيات تخمين كلمات المرور من خلال تجربة كلمات مرور مختلفة إلى أن يتمكنوا من تخمين كلمة المرور الصحيحة. يمكن تنفيذ هجمات تخمين كلمات المرور بأساليب مختلفة، مثل تجربة كلمات المرور الشائعة أو البحث في مجموعات عشوائية من الأحرف والأرقام إلى أن يتم اكتشاف كلمة المرور. ولمنع هذا أنشئ كلمة مرور قوية يصعب تخمينها، يمكنك العثور على نصائح حول إنشاء كلمة مرور قوية في مقالة مركز المساعدة من Google.

هناك نقطتان مهمتان يجب عليك تذكرهما، أولاً، من المهم تجنُّب إعادة استخدام كلمات المرور في الخدمات المختلفة. وبعد أن يتمكّن المهاجمون من تحديد مجموعة صالحة من اسم المستخدم وكلمة المرور، سيحاولون استخدامها في أكبر عدد ممكن من الخدمات. لذلك، يمكن أن يساعد استخدام كلمات مرور مختلفة على خدمات مختلفة في منع اختراق حسابات أخرى على خدمات أخرى.

ثانيًا، استفِد من المصادقة الثنائية (2FA) مثل ميزة "التحقّق بخطوتين" من Google إذا كان الخيار متاحًا. تتيح المصادقة الثنائية إضافة طبقة ثانية من بيانات اعتماد تسجيل الدخول، عادةً من خلال رمز يتم إرساله في رسالة نصية أو رقم تعريف شخصي آخر يتم إنشاؤه بشكل ديناميكي، ما يقلّل من قدرة المهاجم على الوصول إلى حسابك باستخدام كلمة مرور مسروقة فقط. تقدّم بعض الشركات التي توفّر أنظمة إدارة المحتوى إرشادات حول ضبط المصادقة الثنائية، يمكنك الاطّلاع على المستندات الخاصة بـ Joomla!. WordPress أو Drupal

تحديثات الأمان غير المتوفّرة

يمكن أن تتأثر الإصدارات القديمة من البرامج بثغرات أمنية عالية الخطورة تتيح للمهاجمين اختراق موقع إلكتروني بالكامل. يبحث المهاجمون بنشاط عن البرامج القديمة التي تتضمّن ثغرات أمنية. يؤدي تجاهل الثغرات الأمنية على موقعك الإلكتروني إلى زيادة فرص تعرّضه لهجوم.

في ما يلي بعض الأمثلة على البرامج التي يجب الحرص على تحديثها:

برنامج خادم الويب، إذا كنت تدير خوادمك الخاصة
نظام إدارة المحتوى (CMS) مثال: إصدارات الأمان من Wordpress وDrupal وJoomla!
جميع المكوّنات الإضافية التي تستخدمها على موقعك الإلكتروني

المظاهر والمكوّنات الإضافية غير الآمنة

تضيف المكوّنات الإضافية والمظاهر في نظام إدارة المحتوى ميزات قيّمة ومحسّنة. ومع ذلك، تشكّل المظاهر والمكوّنات الإضافية القديمة أو التي لم يتم إصلاحها مصدرًا رئيسيًا للثغرات الأمنية على المواقع الإلكترونية. إذا كنت تستخدم نُسقًا أو مكوّنات إضافية على موقعك الإلكتروني، احرص على تحديثها باستمرار. أزِل أي سمات أو مكوّنات إضافية لم يعُد مطوّروها يقدّمون لها الدعم.

تحل بالحذر الشديد تجاه المكونات الإضافية أو المظاهر من المواقع غير الموثوق بها، ويُعدّ هذا الأسلوب شائعًا لدى المهاجمين الذين يضيفون رموزًا برمجية ضارة إلى الإصدارات المجانية من المكوّنات الإضافية أو المظاهر المدفوعة. عند إزالة إضافة، احرص على إزالة جميع ملفاتها من الخادم بدلاً من إيقافها فقط.

الهندسة الاجتماعية

الهندسة الاجتماعية هي استغلال للطبيعة البشرية بهدف تجاوز البنية التحتية المعقّدة للأمان. تخدع هذه الأنواع من الهجمات المستخدمين المصرّح لهم لتقديم معلومات سرية، مثل كلمات المرور. أحد الأشكال الشائعة للهندسة الاجتماعية هو التصيّد الاحتيالي. أثناء محاولة التصيّد الاحتيالي، يرسل المهاجم رسالة إلكترونية يتظاهر فيها بأنّه يمثّل مؤسسة شرعية ويطلب معلومات سرية.

تذكَّر ألّا تقدّم أبدًا أي معلومات حساسة (مثل كلمات المرور أو أرقام بطاقات الائتمان أو المعلومات المصرفية أو حتى تاريخ ميلادك) إلا إذا كنت متأكدًا من هوية الجهة التي تطلبها. إذا كان موقعك الإلكتروني يديره عدة أشخاص، ننصحك بتوفير تدريب لزيادة الوعي الأمني بشأن هجمات الهندسة الاجتماعية. للحصول على نصائح أساسية حول الحماية من التصيّد الاحتيالي، يُرجى الرجوع إلى مركز مساعدة Gmail.

فجوات السياسة الأمنية

إذا كنت مشرف نظام أو تدير موقعك الإلكتروني، تذكَّر أنّ سياسات الأمان الضعيفة يمكن أن تسمح للمهاجمين باختراق موقعك الإلكتروني. ومن الأمثلة على ذلك:

السماح للمستخدمين بإنشاء كلمات مرور ضعيفة
منح إذن الوصول الإداري للمستخدمين الذين لا يحتاجون إليه
عدم تفعيل HTTPS على موقعك الإلكتروني والسماح للمستخدمين بتسجيل الدخول باستخدام HTTP
السماح بتحميل الملفات من مستخدمين لم يتم التحقّق من هويتهم أو بدون التحقّق من النوع

بعض النصائح الأساسية لحماية موقعك:

تأكَّد من إعداد موقعك الإلكتروني باستخدام عناصر تحكُّم عالية الأمان من خلال إيقاف الخدمات غير الضرورية.
اختبار عناصر التحكّم في الوصول وامتيازات المستخدم
استخدِم التشفير للصفحات التي تعالج المعلومات الحسّاسة، مثل صفحات تسجيل الدخول.
تحقَّق من سجلاتك بانتظام بحثًا عن أي أنشطة مشبوهة.

تسرُّب البيانات

يمكن أن تحدث تسريبات البيانات عند تحميل بيانات سرية، ويؤدي خطأ في الإعداد إلى إتاحة هذه المعلومات السرية للجميع. على سبيل المثال، يمكن أن يؤدي التعامل مع الأخطاء وإرسال الرسائل في تطبيق ويب إلى تسريب معلومات الضبط في رسالة خطأ لم تتم معالجتها. باستخدام طريقة تُعرف باسم "dorking"، يمكن للجهات الخبيثة استغلال وظائف محرك البحث للعثور على هذه البيانات.

احرص على ألا يكشف موقعك الإلكتروني عن معلومات حساسة للمستخدمين غير المصرّح لهم، وذلك من خلال إجراء عمليات تحقّق دورية وحصر البيانات السرية على الجهات الموثوق بها من خلال سياسات الأمان. إذا عثرت على أي معلومات حساسة معروضة على موقعك الإلكتروني ويجب إزالتها بشكل عاجل من نتائج البحث على Google، يمكنك استخدام أداة إزالة عناوين URL لإزالة عناوين URL فردية من "بحث Google".