了解您的网站遭到入侵的方式是保护网站免遭攻击的关键措施之一。本页介绍了可能导致您的网站遭到入侵的一些安全漏洞。
以下视频简要介绍了不同类型的黑客攻击,以及黑客控制您网站的方式。
密码被盗用
攻击者可能会使用密码猜测技术,尝试不同的密码,直到猜对为止。密码猜测攻击可以通过多种方法进行,例如尝试常用密码,或扫描字母和数字的随机组合,直到发现密码。 为防止这种情况,请创建难以猜测的安全系数高的密码。 您可以在 Google 的帮助中心文章中找到有关创建安全系数高的密码的提示。
您需要注意两个要点。首先,请务必避免在不同服务中重复使用密码。一旦攻击者能够识别出有效的用户名和密码组合,他们就会尝试在尽可能多的服务中使用该用户名和密码组合。因此,在不同的服务中使用不同的密码可以防止其他服务中的其他账号遭到入侵。
其次,如果您的服务提供双重身份验证 (2FA) 选项,请充分利用该选项,例如 Google 两步验证。2FA 允许使用第二层登录凭据(通常是通过短信验证码或其他动态生成的 PIN 码),这样即使攻击者窃取了密码,也难以访问您的账号。一些 CMS 提供商提供了有关配置 2FA: 请参阅 Joomla!的文档, WordPress 或 Drupal 的文档。
错过安全更新
旧版软件可能会受到高风险安全漏洞的影响,攻击者可以利用这些漏洞入侵整个网站。攻击者会主动寻找存在漏洞的旧版软件。忽略网站上的漏洞会增加网站遭到攻击的可能性。
您需要及时更新的一些软件示例包括:
- 如果您运行自己的服务器,则需要更新 Web 服务器软件。
- 您的内容管理系统 (CMS)。示例:来自 Wordpress、 Drupal 和 Joomla! 的安全版本。
- 您在网站上使用的所有插件和附加组件。
不安全的主题和插件
CMS 上的插件和主题可以添加有价值的增强功能。但是,过时或未修补的主题和插件是网站漏洞的主要来源。如果您在网站上使用主题或插件,请务必及时更新。移除开发者不再维护的主题或插件。
请对来自不受信任网站的免费插件或主题格外小心。攻击者通常会向付费插件或主题的免费版本添加恶意代码。移除插件时,请务必从服务器中移除其所有文件,而不仅仅是停用它。
社会工程学
社会工程学 是指利用人性来绕过复杂的安全 基础架构。这类攻击会诱骗授权用户提供密码等机密信息。一种常见的社会工程学形式是钓鱼式攻击。在网络钓鱼攻击中,攻击者会发送电子邮件,假装是合法组织并请求机密信息。
请记住,除非您确定请求者的身份,否则绝不要泄露任何敏感信息(例如密码、信用卡号、银行信息,甚至是您的出生日期)。如果您的网站由多人管理,请考虑提供培训,以提高安全意识,防范社会工程学攻击。如需了解基本的网络钓鱼防护 提示,请参阅 Gmail 帮助 中心。
安全政策漏洞
如果您是系统管理员或运行自己的网站,请记住,糟糕的安全政策可能会让攻击者入侵您的网站。部分示例如下:
- 允许用户创建弱密码。
- 向不需要管理权限的用户授予管理权限。
- 未在网站上启用 HTTPS,并允许用户使用 HTTP 登录。
- 允许未经身份验证的用户上传文件,或不进行类型检查。
有关如何保护您网站的几个基本提示:
- 通过停用不必要的服务,确保您的网站配置了高安全控制措施。
- 测试访问控制和用户权限。
- 对处理敏感信息的页面(例如登录页面)使用加密。
- 定期检查日志,查看是否存在任何可疑活动。
数据泄露
当机密数据被上传,并且错误配置使该机密信息公开可用时,可能会发生数据泄露。 例如,Web 应用中的错误处理和消息传递可能会在未处理的错误消息中泄露配置信息。 恶意行为者可以使用一种称为“dorking”的方法, 利用搜索引擎功能来查找这些数据。
请务必定期检查,并通过安全政策将机密数据限制为可信实体,确保您的网站不会向未经授权的用户泄露敏感信息。如果您确实发现网站上显示了任何需要紧急从 Google 搜索结果中移除的敏感信息,可以使用网址移除工具从 Google 搜索中移除单个网址。