사이트가 어떻게 손상되었는지 이해하는 것은 공격으로부터 사이트를 보호하는 데 중요한 부분입니다. 이 페이지에서는 사이트 해킹을 야기할 수 있는 몇 가지 보안 취약점을 다룹니다.
다음 동영상에서는 다양한 유형의 해킹과 해커가 사이트를 제어할 수 있는 방법을 간략히 설명합니다.
해킹된 비밀번호
공격자는 올바른 비밀번호를 추측할 때까지 여러 비밀번호를 시도하여 비밀번호 추측 기술을 사용할 수 있습니다. 비밀번호 추측 공격은 일반적인 비밀번호를 시도하거나 비밀번호를 찾을 때까지 임의의 문자와 숫자 조합을 검색하는 등 다양한 방법을 통해 수행할 수 있습니다. 이를 방지하려면 추측하기 어려운 안전한 비밀번호를 만드세요. Google 고객센터 도움말의 안전한 비밀번호를 만들기 위한 팁을 참조하세요.
두 가지 중요한 점을 기억해야 합니다. 첫째, 여러 서비스에서 비밀번호를 재사용하지 않는 것이 중요합니다 공격자는 유효한 사용자 이름과 비밀번호 조합을 식별한 후 가능한 한 많은 서비스에서 이 사용자 이름과 비밀번호 조합을 사용하려고 시도합니다. 따라서 서비스마다 서로 다른 비밀번호를 사용하면 다른 서비스의 다른 계정이 도용되는 것을 방지할 수 있습니다.
둘째, 사용 가능한 경우 Google 2단계 인증과 같은 2FA (2단계 인증)를 활용합니다. 2FA를 사용하면 일반적으로 문자 메시지 코드 또는 기타 동적으로 생성된 PIN을 통해 로그인 사용자 인증 정보의 두 번째 레이어를 사용할 수 있으므로 공격자가 훔친 비밀번호로 계정에 액세스할 수 없습니다. 일부 CMS 제공업체는 2FA 구성에 관한 안내를 제공합니다. Joomla! WordPress 또는 Drupal
보안 업데이트 누락
이전 버전의 소프트웨어는 공격자가 전체 사이트를 해킹할 수 있게 하는 고위험 보안 취약점의 영향을 받을 수 있습니다. 공격자들은 취약성이 있는 오래된 소프트웨어를 적극적으로 찾습니다. 사이트의 취약성을 무시하면 사이트가 공격받을 가능성이 높아집니다.
지속적으로 업데이트해야 하는 소프트웨어의 예는 다음과 같습니다.
- 웹 서버 소프트웨어(자체 서버를 운영하는 경우)
- 콘텐츠 관리 시스템 (CMS) 예: Wordpress, Drupal, Joomla!의 보안 출시
- 사이트에서 사용하는 모든 플러그인 및 부가기능입니다.
안전하지 않은 테마 및 플러그인
CMS의 플러그인과 테마는 유용한 고급 기능을 추가합니다. 그러나 오래되거나 패치가 적용되지 않은 테마와 플러그인은 웹사이트 취약점의 주요 원인입니다. 사이트에서 테마나 플러그인을 사용한다면 최신 상태로 유지하세요. 개발자가 더 이상 관리하지 않는 테마나 플러그인을 삭제합니다.
신뢰할 수 없는 사이트의 무료 플러그인이나 테마에 특히 주의하세요. 공격자가 무료 버전의 유료 플러그인 또는 테마에 악성 코드를 추가하는 것이 일반적입니다. 플러그인을 삭제할 때는 사용 중지만 하지 말고 서버에서 모든 파일을 삭제해야 합니다.
소셜 엔지니어링
소셜 엔지니어링은 정교한 보안 인프라를 우회하기 위해 인간의 본성을 이용하는 것입니다. 이러한 유형의 공격은 승인된 사용자를 속여 비밀번호와 같은 기밀 정보를 제공하도록 합니다. 사회 공학의 한 가지 일반적인 형태는 피싱입니다 피싱을 시도하는 동안 공격자는 합법적인 조직을 가장하여 이메일을 보내 기밀 정보를 요청합니다.
요청자의 신원이 확실하지 않으면 민감한 정보 (예: 비밀번호, 신용카드 번호, 은행 정보, 생년월일)를 제공하지 마세요. 여러 사람이 사이트를 관리하는 경우 소셜 엔지니어링 공격에 대한 보안 인식을 높이는 교육을 제공하는 것이 좋습니다. 기본 피싱 방지 팁은 Gmail 고객센터를 참조하세요.
보안 정책의 허점
시스템 관리자이거나 자체 사이트를 운영하는 경우 취약한 보안 정책으로 인해 공격자가 사이트를 해킹할 수 있습니다. 다음은 몇 가지 예입니다.
- 사용자가 취약한 비밀번호를 만들도록 허용
- 필요하지 않은 사용자에게 관리 액세스 권한 부여
- 사이트에서 HTTPS를 사용 설정하지 않고 사용자가 HTTP를 사용하여 로그인할 수 있도록 허용합니다.
- 인증되지 않은 사용자의 파일 업로드 또는 유형 확인 없이 파일 업로드 허용
사이트 보호를 위한 몇 가지 기본 팁입니다.
- 불필요한 서비스를 사용 중지하여 웹사이트에 높은 보안 제어 기능을 설정합니다.
- 액세스 제어 및 사용자 권한을 테스트합니다.
- 로그인 페이지와 같이 민감한 정보를 처리하는 페이지에는 암호화를 사용합니다.
- 의심스러운 활동이 있는지 정기적으로 로그를 확인합니다.
데이터 유출
기밀 데이터가 업로드되고 구성 오류로 인해 기밀 정보가 공개적으로 사용 가능하게 되면 데이터 유출이 발생할 수 있습니다. 예를 들어 웹 애플리케이션의 오류 처리 및 메시지 기능은 처리되지 않은 오류 메시지에서 구성 정보를 유출할 수 있습니다. '도킹'이라는 방법을 사용하는 악의적인 행위자가 검색엔진 기능을 악용하여 이 데이터를 찾을 수 있습니다.
주기적으로 확인하고 보안 정책을 통해 신뢰할 수 있는 대상에게만 기밀 데이터를 제한하여 사이트에서 승인되지 않은 사용자에게 민감한 정보를 공개하지 않도록 합니다. 사이트에 표시된 민감한 정보 중 Google 검색결과에서 긴급하게 삭제해야 하는 정보를 발견하면 URL 삭제 도구를 사용하여 Google 검색에서 개별 URL을 삭제할 수 있습니다.