Zrozumienie, jak doszło do naruszenia witryny, stanowi ważny element jej ochrony. W tym artykule znajdziesz informacje o niektórych lukach w zabezpieczeniach, które mogą ułatwić atak na Twoją witrynę.
Przejęte hasła
Hakerzy mogą posługiwać się technikami odgadywania haseł i próbować użyć różnych ciągów znaków, aż trafią na właściwy. Ataki polegające na odgadnięciu hasła mogą polegać na wpisywaniu powszechnie stosowanych haseł lub losowych kombinacji liter i cyfr do chwili odkrycia hasła. Aby do tego nie dopuścić, utwórz silne hasło, które trudno będzie odgadnąć. Wskazówki na temat tworzenia silnego hasła znajdziesz w Centrum pomocy Google.
Musisz zapamiętać dwie ważne zasady. Po pierwsze, nie stosuj tych samych haseł w różnych usługach. Gdy hakerzy odkryją działającą kombinację nazwy użytkownika i hasła, spróbują jej użyć w tylu usługach, w ilu tylko zdołają. Jeśli więc użyjesz różnych haseł w poszczególnych usługach, ochronisz pozostałe konta w innych miejscach.
Po drugie, jeśli tylko możesz, korzystaj z uwierzytelniania dwuskładnikowego, np. weryfikacji dwuetapowej w Google. Ta metoda pozwala uzyskać drugą warstwę danych uwierzytelniających logowanie, zwykle w postaci kodu przesyłanego SMS-em lub kodu PIN generowanego dynamicznie w inny sposób. Utrudnia to hakerom dostęp do konta przy pomocy skradzionego hasła. Niektóre systemy CMS oferują wskazówki dotyczące konfigurowania uwierzytelniania dwuskładnikowego. Więcej informacji znajdziesz np. w dokumentacji systemów Joomla!, WordPress lub Drupal.
Brak aktualizacji zabezpieczeń
Oprogramowanie w starszej wersji może mieć groźne luki w zabezpieczeniach, które ułatwią hakerom zaatakowanie całej witryny. Hakerzy aktywnie szukają starego oprogramowania z lukami. Ignorowanie luk w witrynie zwiększa niebezpieczeństwo.
Uwaga: aby usuwać luki w zabezpieczeniach, trzeba okresowo sprawdzać aktualizacje oprogramowania. Jeszcze lepiej jest ustawić automatyczne aktualizowanie oprogramowania, jeśli tylko jest to możliwe, i subskrybować powiadomienia na temat bezpieczeństwa używanego aktywnie oprogramowania.
Przykłady oprogramowania, które warto regularnie aktualizować:
- Oprogramowanie serwerów WWW, jeśli masz własne.
- System zarządzania treścią. Przykład: aktualizacje bezpieczeństwa w systemach Wordpress, Drupal i Joomla!.
- Wszystkie wtyczki i dodatki w witrynie.
Niezabezpieczone motywy i wtyczki
Wtyczki i motywy stanowią cenne uzupełnienie funkcji systemu CMS. Jednak nieaktualne lub bez poprawek mogą być groźną luką w zabezpieczeniach witryny. Jeśli używasz w witrynie motywów lub wtyczek, pamiętaj, by zawsze były aktualne. Motywy i wtyczki, którymi deweloperzy już się nie zajmują, po prostu usuń.
Uważaj szczególnie na darmowe wtyczki i motywy z niezaufanych witryn. Hakerzy często dodają złośliwy kod do darmowych wersji płatnych wtyczek i motywów. Jeśli usuwasz wtyczkę, pamiętaj, by usunąć wszystkie jej pliki z serwera, a nie tylko ją wyłączyć.
Inżynieria społeczna
Inżynieria społeczna oznacza wykorzystywanie natury ludzkiej do obchodzenia zaawansowanej infrastruktury zabezpieczeń. W takich atakach autoryzowani użytkownicy są nakłaniani do przekazywania poufnych danych, np. haseł. Formą inżynierii społecznej jest wyłudzanie informacji. Podczas próby takiego wyłudzenia haker, podszywając się pod wiarygodną organizację, wysyła e-maila z prośbą o poufne dane.
Uwaga: według danych z badań Google nad inżynierią społeczną niektóre z najskuteczniejszych kampanii wyłudzania informacji odnoszą sukces aż w 45% przypadków.
Pamiętaj, by nigdy nie podawać żadnych poufnych danych (np. haseł, numerów kart kredytowych, danych bankowych, a nawet daty urodzenia), jeśli nie masz pewności, kto o nie prosi. Jeśli Twoją witryną zarządza kilka osób, zastanów się nad szkoleniem, które uświadomiłoby im ryzyko ataków metodami opartymi na inżynierii społecznej. W Centrum pomocy Gmaila znajdziesz podstawowe wskazówki dotyczące ochrony przed wyłudzeniem informacji.
Luki w polityce bezpieczeństwa
Jeśli jesteś administratorem systemu lub prowadzisz własną witrynę, pamiętaj, że niedopracowana polityka bezpieczeństwa może ułatwić hakerom atak. Oto kilka przykładów:
- Umożliwianie użytkownikom tworzenie słabych haseł.
- Przekazywanie dostępu administracyjnego użytkownikom, którzy go nie potrzebują.
- Niekorzystanie w witrynie z protokołu HTTPS i umożliwienie logowania za pomocą HTTP.
- Umożliwienie przesyłania plików od nieuwierzytelnionych użytkowników lub bez sprawdzenia typu.
Kilka podstawowych wskazówek na temat ochrony witryny:
- Upewnij się, że konfiguracja witryny jest bezpieczna, a zbędne usługi są wyłączone.
- Zweryfikuj kontrolę dostępu i uprawnienia użytkowników.
- Stosuj szyfrowanie na stronach z poufnymi informacjami, na przykład na stronach logowania.
- Regularnie sprawdzaj dzienniki pod kątem podejrzanej aktywności.
Wyciek danych
Dane mogą wyciec, jeśli nieprawidłowa konfiguracja spowoduje ich publiczne udostępnienie po przesłaniu. Na przykład obsługa błędów oraz wiadomości w aplikacji internetowej może doprowadzić do wycieku informacji o konfiguracji w nieobsługiwanym komunikacie o błędzie. Posługując się metodą nazywaną dorkingiem, hakerzy mogą znaleźć takie dane za pomocą wyszukiwarki.
Upewnij się, że witryna nie ujawnia nieupoważnionym użytkownikom poufnych danych. Przeprowadzaj okresowe kontrole, a poufne dane powierzaj tylko zaufanym podmiotom, stosując odpowiednią politykę bezpieczeństwa. Jeśli odkryjesz, że w witrynie wyświetlane są poufne informacje, które powinny natychmiast zniknąć z wyników wyszukiwania Google, możesz usunąć z wyszukiwarki poszczególne adresy URL za pomocą narzędzia do usuwania adresów URL.