The #ChromeDevSummit site is live, happening Nov 12-13 in San Francisco, CA
Check it out for details and request an invite. We'll be diving deep into modern web tech & looking ahead to the platform's future.

أهم الطرق التي يستولي بها أصحاب الأسلوب غير المرغوب فيه على مواقع الويب

يُمثل فهم الآلية التي تم بها اختراق موقعك الإلكتروني جزءًا مهمًا من حماية موقعك من الهجمات، وسنتناول -في هذه المقالة- بعض الثغرات الأمنية التي يمكن أن تؤدي إلى اختراق موقعك.

اختراق كلمات المرور

يمكن للمهاجمين الاستعانة بتقنيات تخمين كلمات المرور من خلال تجربة كلمات مختلفة إلى أن يصلوا إلى التخمين الصحيح، هذا ويمكن إجراء الهجمات باستخدام تخمين كلمات المرور بأساليب متنوعة مثل تجربة كلمات المرور الشائعة أو التدقيق في التراكيب العشوائية للحروف والأرقام إلى أن يتم اكتشاف كلمة المرور. ولمنع هذا أنشئ كلمة مرور قوية يصعب تخمينها، ويمكنك العثور على نصائح لإنشاء كلمة مرور قوية في مركز مساعدة Google.

هناك نقطتان مهمتان يجب عليك تذكرهما، أولاً، من الضروري أن تتجنب إعادة استخدام كلمات المرور على خدمات مختلفة؛ لأنه إذا تمكن المهاجم من معرفة اسم مستخدم وكلمة مرور عاملة، فسيتمكن من استخدامهما على أكبر قدر ممكن من الخدمات؛ لذا فإن استخدام كلمات مرور مختلفة على الخدمات المختلفة يمكنه الحيلولة دون اختراق الحسابات الأخرى في الخدمات الأخرى.

ثانيًا، استفد من المصادقة الثنائية مثل التحقق بخطوتين من Google إذا كان هذا الخيار متوفرًا، فهي تتيح طبقة ثانية من بيانات اعتماد تسجيل الدخول تتم في الغالب عبر رمز رسالة نصية أو رقم تعريف شخصي آخر يتم إنشاؤه ديناميكيًا، وهو ما يحد من قدرة المهاجم على الوصول إلى حسابك بمجرد كلمة مرور مسروقة. يقدم بعض موفري نظام إدارة المحتوى الإرشاد بشأن تهيئة المصادقة الثانية: انظر وثائق Joomla! أو WordPress أو Drupal.

تفويت تحديثات الأمان

يمكن أن تُصاب الإصدارات القديمة من البرامج بالثغرات الأمنية ما يمكّن المهاجمين من اختراق الموقع بأكمله، فهم يبحثون بجد عن البرامج القديمة التي تعاني ثغرات أمنية؛ لذا فإن تجاهل وجود ثغرة على موقعك يزيد من احتمال مهاجمته.

ملاحظة: من الضروري التحقق دوريًا من وجود تحديثات للبرامج على موقعك لإصلاح الثغرات، ومن الأفضل إعداد التحديثات التلقائية للبرامج متى أمكن والاشتراك في قوائم الإعلان المعنية بالأمان لجميع البرامج العاملة النشطة.

تشمل أمثلة البرامج التي يلزمك الحفاظ على تحديثها ما يلي:

  • برنامج خادم الويب إذا كنت تُشّغل خوادم مملوكة لك.
  • نظام إدارة المحتوى مثل: إصدارات الأمان من Wordpress وDrupal وJoomla!.
  • جميع المكونات الإضافية والإضافات التي تستخدمها على موقعك.

المظاهر والمكونات الإضافية غير الآمنة

تضيف المكونات الإضافية والمظاهر إلى نظام إدارة المحتوى وظائف قيّمة ومعززة، ولكن إذا كانت قديمة أو غير مزودة بتصحيحات، فإنها تكون مصدرًا رئيسيًا للثغرات على المواقع الإلكترونية. إذا كنت تستخدم مكونات إضافية أو مظاهر على موقعك، فتأكد من الحفاظ على تحديثها، وأزل ما لم يعد يوفر له مطوروه الصيانة.

تحل بالحذر الشديد تجاه المكونات الإضافية أو المظاهر من المواقع غير الموثوق بها، فمن الأساليب الشائعة التي يستخدمها المهاجمون إضافة شفرة ضارة إلى الإصدارات المجانية للمكونات الإضافية أو المظاهر المدفوعة. وعند إزالة مكون إضافي، تأكد من إزالة جميع ملفاته من الخادم وليس مجرد تعطيله فحسب.

الهندسة الاجتماعية

تتعلق الهندسة الاجتماعية باستغلال الطبيعة البشرية لحب تجاوز البنية الأساسية الأمنية المعقدة، وتخدع أنواع الهجمات هذه المستخدمين المصرح لهم لتقديم معلومات سرية مثل كلمات المرور، هذا ويُعد التصيّد الاحتيالي شكلاً شائعًا من أشكال الهندسة الاجتماعية حيث يرسل المهاجم أثناء محاولة التصيد الاحتيالي رسالة إلكترونية متظاهرًا بأنه مؤسسة شرعية ويطلب معلومات سرية.

ملاحظة: طبقًا لدراسة أجرتها Google عن الهندسة الاجتماعية، نجد أن تقييم نجاح بعض حملات التصيد الأكثر فاعلية وصل 45%.

تذكر ألا تقدم أبدًا أي معلومات حساسة (مثل كلمات المرور أو أرقام بطاقة الائتمان أو المعلومات المصرفية أو حتى تاريخ ميلادك) إلا إذا كنت واثقًا من هوية الطالب. إذا تولت إدارة موقعك عدة أشخاص، فإننا ننصحك بتقديم تدريب لهم لرفع مستوى الوعي الأمني ضد هجمات الهندسة الاجتماعية، ويمكنك الرجوع إلى مركز مساعدة Gmail للاطلاع على النصائح الأساسية للحماية من التصيّد الاحتيالي.

فجوات السياسة الأمنية

إذا كنت مشرف النظام أو تُشغل موقعك، فتذكر أنه يمكن للسياسات الأمنية الضعيفة السماح للمهاجمين باختراق موقعك، وفي ما يلي بعض الأمثلة:

  • السماح للمستخدمين بإنشاء كلمات مرور ضعيفة.
  • منح حق الوصول المطلق للمستخدمين الذين لا يحتاجون إليه.
  • عدم تمكين HTTPS على موقعك والسماح للمستخدمين بتسجيل الدخول باستخدام HTTP.
  • السماح بتحميل الملفات من مستخدمين لم تتم مصادقتهم أو بدون الخضوع لأي نوع من الفحص.

بعض النصائح الأساسية لحماية موقعك:

  • تأكد من تهيئة موقعك باستخدام عناصر تحكم أمنية عالية وذلك بتعطيل الخدمات غير الضرورية.
  • جرّب عناصر التحكم في الوصول وامتيازات المستخدمين.
  • استخدم الترميز للصفحات التي تعالج معلومات حساسة مثل صفحات تسجيل الدخول.
  • تحقق بانتظام من سجلاتك بحثًا عن أي أنشطة مشبوهة.

تسرُّب البيانات

يحدث تسرُّب البيانات عندما يتم تحميل بيانات سرية ثم تؤدي تهيئة خاطئة إلى إتاحة المعلومات السرية للعامة، فيمكن مثلاً لخطأ في المعالجة والمراسلة في تطبيق ويب أن يؤدي إلى تسريب محتمل لمعلومات التهيئة في رسالة خطأ لم تتم معالجتها. وباستخدام أسلوب يُعرف "باستغلال التطبيقات لإيجاد الثغرات", يمكن للجهات الضارة استغلال وظائف محرك البحث للعثور على هذه المعلومات.

لذا تأكد ألا يكشف موقعك عن معلومات حساسة لمستخدمين غير مصرح لهم من خلال إجراء تحقق دوري وتقييد البيانات السرية على الكيانات الموثوق بها من خلال سياسات الأمان. وإذا حدث أن اكتشفت أي معلومات حساسة معروضة على موقعك، يستلزم هذا إزالتها عاجلاً من نتائج بحث Google ويمكن استخدام أداة إزالة URL لإزالة عناوين URL من بحث Google.