瞭解網站遭到入侵的方式,是保護網站免受攻擊的重要一環。本頁說明瞭一些可能導致網站遭到入侵的安全漏洞。
下方影片將概述不同類型的駭客攻擊,以及駭客可控管網站的方式。
密碼遭到破解
攻擊者可利用密碼猜測技術,嘗試使用不同的密碼,直到他們猜對正確的密碼為止。密碼猜測攻擊可透過各種方法執行,例如嘗試常見的密碼,或是掃描字母和數字的隨機組合,直到找到密碼為止。如要避免這種情況發生,請設定不容易猜到的高強度密碼。 如需建立高強度密碼的提示,請參閱 Google 的說明中心文章。
請謹記兩個重點。首先,請避免在不同服務中重複使用密碼。一旦攻擊者找到有效的使用者名稱和密碼組合,就會盡可能在眾多服務中使用該使用者名稱和密碼組合。因此,在不同服務中使用不同密碼,可防止其他服務的其他帳戶遭到入侵。
其次,請盡量善用雙重驗證 (2FA),例如 Google 兩步驟驗證機制。2FA 提供第二層登入憑證 (通常是透過簡訊代碼或其他動態產生的 PIN 碼),避免攻擊者只使用遠大的密碼存取帳戶。部分 CMS 供應商會引導您設定 2FA:請參閱 Joomla!、WordPress 或 Drupal。
未收到安全性更新
舊版軟體可能會受到高風險安全漏洞的影響,讓攻擊者能入侵整個網站。攻擊者會主動尋找有漏洞的舊軟體。忽略網站上的安全漏洞會讓網站更容易遭到攻擊。
建議持續更新的一些軟體包括:
不安全的主題和外掛程式
CMS 上的外掛程式和主題可提供實用的進階功能。然而,過時或未修補的主題和外掛程式是網站的主要安全漏洞來源。如果您在網站上使用主題或外掛程式,請務必保持最新版本。移除開發人員不再維護的主題或外掛程式。
請務必留意來自不信任網站的免費外掛程式或主題。攻擊者常會在付費外掛程式或主題的免費版本中加入惡意程式碼。移除外掛程式時,請務必從伺服器中移除其所有檔案,而非只停用外掛程式。
社交工程
社交工程是指利用人性化的手段,規避複雜的安全性基礎架構。這類攻擊會誘騙獲授權的使用者提供機密資訊,例如密碼。常見的社交工程之一是網路釣魚在網路釣魚攻擊期間,攻擊者會傳送電子郵件,偽裝成合法機構並要求提供機密資訊。
除非您確定要求者的身分,否則切勿提供任何機密資訊 (例如密碼、信用卡號碼、銀行資訊,甚至是出生日期)。如果您的網站由多人管理,建議您提供訓練,提高大眾對社交工程攻擊的安全意識。如需基本網路釣魚防護提示,請參閱 Gmail 說明中心。
安全性政策漏洞
如果您是系統管理員或自行管理網站,請記得,不良的安全性政策可能會導致攻擊者入侵您的網站。 以下列舉幾個例子:
- 允許使用者建立低強度密碼。
- 將管理權限授予不需要的使用者。
- 網站未啟用 HTTPS,且允許使用者使用 HTTP 登入。
- 允許未經驗證或未經檢查的使用者上傳檔案。
確保網站安全的一些基本提示:
- 停用不必要的服務,確保網站受到高安全控管的設定。
- 測試存取權控管與使用者權限。
- 請為處理機密資訊的網頁 (例如登入頁面) 使用加密功能。
- 建議您定期查看記錄中是否有可疑活動。
資料外洩
上傳機密資料時,如果因設定錯誤導致機密資訊公開,就有可能發生資料外洩。舉例來說,在網頁應用程式中進行錯誤處理和訊息傳遞作業,可能會在未處理的錯誤訊息中洩露設定資訊。惡意人士會利用搜尋引擎功能尋找這類資料。
建議您定期進行檢查,並透過安全性政策將機密資料限制為可信任的實體,確保網站不會向未經授權的使用者透露機密資訊。如果您發現網站上顯示的機密資訊需要緊急從 Google 搜尋結果中移除,可以使用網址移除工具,要求我們從 Google 搜尋結果中移除個別網址。