了解网站遭到入侵的方式是保护网站免遭攻击的重要一环。本页介绍了一些可能会导致您的网站遭到入侵的安全漏洞。
下面的视频概述了不同类型的黑客行为以及黑客控制您网站的方式。
密码被盗用
攻击者使用密码猜测技术,即尝试不同的密码,直到猜出正确的密码为止。攻击者可通过各种方法进行密码猜测攻击,例如尝试使用常用密码或扫描字母和数字的随机组合,直到发现密码。为了防止出现这种情况,请创建一个难以猜测的安全系数高的密码。如需创建安全系数高的密码的提示,请参阅 Google 的帮助中心文章。
您需要注意两个要点。首先,一定要避免在各项服务中重复使用密码。一旦攻击者能够确定有效的用户名和密码组合,他们就会尝试在尽可能多的服务中使用该用户名和密码组合。因此,在不同服务中使用不同的密码可以防止其他服务上的其他帐号被盗用。
第二,利用双重身份验证 (2FA),例如 Google 两步验证(如果有相应选项)。双重身份验证允许提供第二层登录凭据(通常是通过短信代码或其他动态生成的 PIN 码实现),这样一来,攻击者仅凭密码被盗后便无法访问您的帐号。一些 CMS 提供商提供了有关如何配置双重身份验证的指南:请参阅 Joomla!、WordPress 或 Drupal。
错过的安全更新
较低版本的软件可能会受到高风险安全漏洞的影响,此类漏洞可让攻击者入侵整个网站。攻击者会积极寻找有漏洞的旧软件。忽略网站上的漏洞会增加网站遭到攻击的可能性。
您需要及时更新的软件示例包括:
不安全的主题和插件
CMS 上的插件和主题可以添加有价值的增强功能。不过,过时或未修补的主题和插件是导致网站出现漏洞的主要原因之一。如果您在网站上使用了主题背景或插件,请务必使其保持最新状态。移除其开发者不再维护的主题或插件。
请格外警惕来自不受信任的网站的免费插件或主题。攻击者经常将恶意代码添加到免费版本的付费插件或主题中。移除插件时,请确保从服务器中移除其所有文件,而不只是停用插件。
社会工程学
社会工程学是指利用人性绕过复杂的安全基础架构。这些类型的攻击会诱使获得授权的用户提供密码等机密信息。钓鱼式攻击是常见的社交工程形式。在企图实施钓鱼式攻击时,攻击者会冒充合法组织发送电子邮件,并请求获取机密信息。
请记住,除非您确定请求者的身份,否则切勿透露任何敏感信息(例如密码、信用卡号、银行信息,甚至出生日期)。如果您的网站由多人管理,请考虑提供培训,以提高对社会工程攻击的安全意识。如需了解基本的钓鱼式攻击防护提示,请参阅 Gmail 帮助中心。
安全政策漏洞
如果您是系统管理员或运营着自己的网站,请注意,安全政策不当可能会导致攻击者能够入侵您的网站。部分示例如下:
- 允许用户创建安全系数低的密码。
- 为不需要管理员权限的用户授予管理员权限。
- 不在网站上启用 HTTPS,并允许用户使用 HTTP 登录。
- 允许未经身份验证的用户上传文件,或不检查类型。
有关如何保护您网站的几个基本提示:
- 通过停用不必要的服务,确保为网站配置了高安全控制措施。
- 测试访问权限控制和用户权限。
- 对处理敏感信息的网页(如登录页面)采用加密技术。
- 请定期检查您的日志,看看其中是否存在可疑活动。
数据泄露
在上传机密数据后,如果一项错误配置会导致这些机密信息被公开,就可能发生数据泄露。例如,Web 应用中的错误处理和消息传递可能会导致未处理的错误消息中泄露配置信息。通过使用“dorking”方法,恶意行为者可利用搜索引擎功能来查找这些数据。
定期检查您的网站,并通过安全政策将机密数据限制为仅向可信实体提供,从而确保您的网站不会向未经授权的用户透露敏感信息。如果您确实发现了您网站上显示的任何敏感信息,并急需从 Google 搜索结果中移除这些信息,可以使用网址移除工具从 Google 搜索结果中移除具体网址。