The #ChromeDevSummit site is live, happening Nov 12-13 in San Francisco, CA
Check it out for details and request an invite. We'll be diving deep into modern web tech & looking ahead to the platform's future.

垃圾内容发布者最常用的网站入侵方法

了解您的网站遭到入侵的方式是保护网站免遭入侵的关键步骤之一。在本文中,我们将介绍一些可能会导致您的网站遭到入侵的安全漏洞。

密码被盗用

攻击者会使用密码猜测技术,即通过尝试不同的密码,直到猜出正确的密码为止。攻击者可通过各种方法进行密码猜测攻击,例如尝试使用常用密码,或扫描随机组合的字母和数字,直到猜对密码为止。为了防止出现这种情况,请创建难以猜测的安全系数高的密码。要查找有关如何创建安全系数高的密码的提示,请参阅 Google 帮助中心的文章。

您需要注意两个要点。第一,务必避免针对多种服务重复使用相同的密码。一旦攻击者能够识别出一个有效的用户名和密码组合,他们便会尝试针对尽可能多的服务使用此用户名和密码组合。因此,针对不同的服务使用不同的密码可以防止用于其他服务的其他帐号被盗用。

第二,利用双重身份验证 (2FA),例如 Google 两步验证(如果有相应选项的话)。借助双重身份验证,您可以增加一道登录凭据安全保障,而这通常是通过短信验证码或其他动态生成的 PIN 码实现的;这样一来,攻击者使用被盗的密码访问您的帐号的能力便会削弱。有些内容管理系统提供商提供了有关如何配置双重身份验证的指南:请参阅 Joomla!WordPressDrupal 文档。

缺少安全更新

较旧版本的软件可能会受到高风险安全漏洞的影响,这些漏洞会导致攻击者能够入侵整个网站。攻击者会积极寻找具有漏洞的旧软件。忽略网站上存在的漏洞会提高网站遭到攻击的几率。

注意:定期检查适用于您网站的软件更新以使用补丁程序消除漏洞至关重要。最好尽可能为您的软件设置自动更新,并针对所有正在运行的有效软件注册安全通知邮寄名单。

以下是您应该保持更新的一些软件示例:

  • 网络服务器软件(如果您运行自己的服务器的话)
  • 内容管理系统。示例:来自 WordpressDrupalJoomla! 的安全更新版本。
  • 您在您网站上使用的所有插件

不安全的主题背景和插件

内容管理系统上的插件和主题背景可以带来有价值的增强功能。不过,过期或未安装补丁程序的主题背景和插件是网站的一项主要漏洞来源。如果您在网站上使用了主题背景或插件,请务必使其保持最新版本。请移除开发者已不再维护的主题背景或插件。

请格外警惕来自不受信任的网站的免费插件或主题背景。向付费插件或主题背景的免费版本添加恶意代码是攻击者的一种常用手段。在移除插件时,请务必从服务器中移除其所有文件,而不是仅将其停用。

社交工程

社交工程是指利用人性绕过复杂的安全基础架构。此类攻击会诱使经授权的用户提供密码等机密信息。例如,网上诱骗便是一种常见的社交工程形式。在试图进行网上诱骗时,攻击者会冒充合法组织发送电子邮件并索取机密信息。

注意:根据 Google 针对社交工程展开的一项调查,某些最有效的网上诱骗活动的成功率竟高达 45%!

请注意,除非您可以确定请求者的身份,否则切勿交出任何敏感信息(例如密码、信用卡号、银行信息,甚至是出生日期)。如果您的网站是由多人共同管理的,请考虑提供相关培训以提高大家应对社交工程袭击的安全意识。要了解基本的网上诱骗保护提示,请参阅 Gmail 帮助中心。

安全政策漏洞

如果您是系统管理员或运营着自己的网站,请注意,安全政策不当可能会导致攻击者能够入侵您的网站。以下是一些示例:

  • 允许用户创建安全系数低的密码
  • 将管理员权限授予并不需要此权限的用户
  • 不在网站上启用 HTTPS,并允许用户使用 HTTP 进行登录
  • 允许未经身份验证的用户上传文件,或不检查所上传的文件类型

有关如何保护您网站的几个基本提示:

  • 停用不必要的服务,以确保为您的网站配置较强的安全控制措施
  • 测试访问控制措施和用户权限
  • 对处理敏感信息的网页(如登录页)采用加密技术
  • 定期检查日志中是否存在任何可疑活动

数据泄露

如果在上传机密数据后,配置错误导致机密信息被公开,便可能发生数据泄露问题。例如,网络应用中的错误处理和消息传递功能便有可能在未处理的错误消息中泄露配置信息。利用“dorking”这种方法,恶意行为者可利用搜索引擎功能来查找此类数据。

请定期检查您的网站,并借助安全政策将机密数据限制在受信任的实体范围内,以确保网站不会向未经授权的用户透露敏感信息。如果您的确发现您的网站上显示了任何敏感信息,并急需从 Google 搜索结果中将其移除,您可以使用网址移除工具从 Google 搜索结果中移除单个网址。