The #ChromeDevSummit site is live, happening Nov 12-13 in San Francisco, CA
Check it out for details and request an invite. We'll be diving deep into modern web tech & looking ahead to the platform's future.

Najczęściej spotykane ataki spamerskie

Zrozumienie, jak doszło do naruszenia witryny, stanowi ważny element jej ochrony. W tym artykule znajdziesz informacje o niektórych lukach w zabezpieczeniach, które mogą ułatwić atak na Twoją witrynę.

Przejęte hasła

Hakerzy mogą posługiwać się technikami odgadywania haseł i próbować użyć różnych ciągów znaków, aż trafią na właściwy. Ataki polegające na odgadnięciu hasła mogą polegać na wpisywaniu powszechnie stosowanych haseł lub losowych kombinacji liter i cyfr do chwili odkrycia hasła. Aby do tego nie dopuścić, utwórz silne hasło, które trudno będzie odgadnąć. Wskazówki na temat tworzenia silnego hasła znajdziesz w Centrum pomocy Google.

Musisz zapamiętać dwie ważne zasady. Po pierwsze, nie stosuj tych samych haseł w różnych usługach. Gdy hakerzy odkryją działającą kombinację nazwy użytkownika i hasła, spróbują jej użyć w tylu usługach, w ilu tylko zdołają. Jeśli więc użyjesz różnych haseł w poszczególnych usługach, ochronisz pozostałe konta w innych miejscach.

Po drugie, jeśli tylko możesz, korzystaj z uwierzytelniania dwuskładnikowego, np. weryfikacji dwuetapowej w Google. Ta metoda pozwala uzyskać drugą warstwę danych uwierzytelniających logowanie, zwykle w postaci kodu przesyłanego SMS-em lub kodu PIN generowanego dynamicznie w inny sposób. Utrudnia to hakerom dostęp do konta przy pomocy skradzionego hasła. Niektóre systemy CMS oferują wskazówki dotyczące konfigurowania uwierzytelniania dwuskładnikowego. Więcej informacji znajdziesz np. w dokumentacji systemów Joomla!, WordPress lub Drupal.

Brak aktualizacji zabezpieczeń

Oprogramowanie w starszej wersji może mieć groźne luki w zabezpieczeniach, które ułatwią hakerom zaatakowanie całej witryny. Hakerzy aktywnie szukają starego oprogramowania z lukami. Ignorowanie luk w witrynie zwiększa niebezpieczeństwo.

Uwaga: aby usuwać luki w zabezpieczeniach, trzeba okresowo sprawdzać aktualizacje oprogramowania. Jeszcze lepiej jest ustawić automatyczne aktualizowanie oprogramowania, jeśli tylko jest to możliwe, i subskrybować powiadomienia na temat bezpieczeństwa używanego aktywnie oprogramowania.

Przykłady oprogramowania, które warto regularnie aktualizować:

  • Oprogramowanie serwerów WWW, jeśli masz własne.
  • System zarządzania treścią. Przykład: aktualizacje bezpieczeństwa w systemach Wordpress, Drupal i Joomla!.
  • Wszystkie wtyczki i dodatki w witrynie.

Niezabezpieczone motywy i wtyczki

Wtyczki i motywy stanowią cenne uzupełnienie funkcji systemu CMS. Jednak nieaktualne lub bez poprawek mogą być groźną luką w zabezpieczeniach witryny. Jeśli używasz w witrynie motywów lub wtyczek, pamiętaj, by zawsze były aktualne. Motywy i wtyczki, którymi deweloperzy już się nie zajmują, po prostu usuń.

Uważaj szczególnie na darmowe wtyczki i motywy z niezaufanych witryn. Hakerzy często dodają złośliwy kod do darmowych wersji płatnych wtyczek i motywów. Jeśli usuwasz wtyczkę, pamiętaj, by usunąć wszystkie jej pliki z serwera, a nie tylko ją wyłączyć.

Inżynieria społeczna

Inżynieria społeczna oznacza wykorzystywanie natury ludzkiej do obchodzenia zaawansowanej infrastruktury zabezpieczeń. W takich atakach autoryzowani użytkownicy są nakłaniani do przekazywania poufnych danych, np. haseł. Formą inżynierii społecznej jest wyłudzanie informacji. Podczas próby takiego wyłudzenia haker, podszywając się pod wiarygodną organizację, wysyła e-maila z prośbą o poufne dane.

Uwaga: według danych z badań Google nad inżynierią społeczną niektóre z najskuteczniejszych kampanii wyłudzania informacji odnoszą sukces aż w 45% przypadków.

Pamiętaj, by nigdy nie podawać żadnych poufnych danych (np. haseł, numerów kart kredytowych, danych bankowych, a nawet daty urodzenia), jeśli nie masz pewności, kto o nie prosi. Jeśli Twoją witryną zarządza kilka osób, zastanów się nad szkoleniem, które uświadomiłoby im ryzyko ataków metodami opartymi na inżynierii społecznej. W Centrum pomocy Gmaila znajdziesz podstawowe wskazówki dotyczące ochrony przed wyłudzeniem informacji.

Luki w polityce bezpieczeństwa

Jeśli jesteś administratorem systemu lub prowadzisz własną witrynę, pamiętaj, że niedopracowana polityka bezpieczeństwa może ułatwić hakerom atak. Oto kilka przykładów:

  • Umożliwianie użytkownikom tworzenie słabych haseł.
  • Przekazywanie dostępu administracyjnego użytkownikom, którzy go nie potrzebują.
  • Niekorzystanie w witrynie z protokołu HTTPS i umożliwienie logowania za pomocą HTTP.
  • Umożliwienie przesyłania plików od nieuwierzytelnionych użytkowników lub bez sprawdzenia typu.

Kilka podstawowych wskazówek na temat ochrony witryny:

  • Upewnij się, że konfiguracja witryny jest bezpieczna, a zbędne usługi są wyłączone.
  • Zweryfikuj kontrolę dostępu i uprawnienia użytkowników.
  • Stosuj szyfrowanie na stronach z poufnymi informacjami, na przykład na stronach logowania.
  • Regularnie sprawdzaj dzienniki pod kątem podejrzanej aktywności.

Wyciek danych

Dane mogą wyciec, jeśli nieprawidłowa konfiguracja spowoduje ich publiczne udostępnienie po przesłaniu. Na przykład obsługa błędów oraz wiadomości w aplikacji internetowej może doprowadzić do wycieku informacji o konfiguracji w nieobsługiwanym komunikacie o błędzie. Posługując się metodą nazywaną dorkingiem, hakerzy mogą znaleźć takie dane za pomocą wyszukiwarki.

Upewnij się, że witryna nie ujawnia nieupoważnionym użytkownikom poufnych danych. Przeprowadzaj okresowe kontrole, a poufne dane powierzaj tylko zaufanym podmiotom, stosując odpowiednią politykę bezpieczeństwa. Jeśli odkryjesz, że w witrynie wyświetlane są poufne informacje, które powinny natychmiast zniknąć z wyników wyszukiwania Google, możesz usunąć z wyszukiwarki poszczególne adresy URL za pomocą narzędzia do usuwania adresów URL.