Missed the action at the 2018 Chrome Dev Summit? Catch up with our playlist on the Google Chrome Developers channel on YouTube. Watch now.

वे शीर्ष तरीके जिनसे स्पैमर वेबसाइटों को हैक करते हैं

आपकी साइट से छेड़छाड़ कैसे की गई थी, इस बात को समझना अपनी साइट पर होने वाले हमलों से बचाव का एक महत्वपूर्ण हिस्सा है. इस लेख में, हम कुछ सुरक्षा कमज़ोरियों को शामिल करेंगे, जिनके कारण आपकी साइट के साथ छेड़छाड़ किया जा सकता है.

छेड़छाड़ किए गए पासवर्ड

हमलावर पासवर्ड का अनुमान लगाने की तकनीक का उपयोग करके तब तक अलग-अलग पासवर्ड से कोशिश कर सकते हैं, जब तक कि वे एक सही अनुमान न लगा लें. पासवर्ड अनुमान लगाने वाले हमलों को विभिन्न तरीकों से संचालित किया जा सकता है जैसे कि सामान्य पासवर्ड की कोशिश करना या तब तक अक्षरों और संख्याओं के बेतरतीब संयोजनों को स्कैन करते रहना जब तक पासवर्ड नहीं मिल जाता. इसे रोकने के लिए, एक मजबूत पासवर्ड बनाएं जिसका अनुमान लगाना मुश्किल हो. आपको Google के सहायता केंद्र लेख में एक मजबूत पासवर्ड बनाने की सलाह मिल सकती है.

दो महत्वपूर्ण बातों को याद रखें. सबसे पहले, सभी सेवाओं में पासवर्ड का दोबारा से उपयोग करने से बचना महत्वपूर्ण है. एक बार हमलावर एक कार्यशील उपयोगकर्ता नाम और पासवर्ड संयोजन की पहचान करने में सक्षम हो जाएं, तो वे जितनी संभव हो सके उतनी सेवाओं पर उपयोगकर्ता नाम और पासवर्ड संयोजन का उपयोग करने की कोशिश करेंगे. इसलिए, अलग-अलग सेवाओं पर अलग-अलग पासवर्ड का उपयोग करना अन्य सेवाओं पर अन्य खातों के साथ छेड़छाड़ किए जाने को रोक सकता है.

दूसरा, अगर विकल्प उपलब्ध है, तो Google 2-चरण में पुष्टि जैसे दो-तरीकों से पुष्टि (2FA) का लाभ उठाएं. 2FA लॉग इन क्रेडेंशियल्स की एक दूसरी परत की अनुमति देता है, आमतौर पर लेख संदेश कोड या अन्य डायनामिक रूप से जनरेट किए गए पिन के माध्यम से, जो आपके खाते को चोरी किए गए पासवर्ड से एक्सेस करने की हमलावर की क्षमता को कम करता है. कुछ CMS प्रदाताओं को 2FA कॉन्फ़िगर करने पर मार्गदर्शन दिया गया है: Joomla! , WordPress या Drupal लिए दस्तावेज देखें.

सुरक्षा अपडेट अनुपलब्ध

सॉफ़्टवेयर के पुराने वर्शन को ज़्यादा-जोखिम वाली सुरक्षा कमज़ोरियों से प्रभावित किया जा सकता है जो हमलावरों को एक पूरी साइट के साथ छेड़छाड़ करने के लिए सक्षम बनाते हैं. हमलावर सक्रिय रूप से सुरक्षा में कमज़ोरियों वाले पुराने सॉफ़्टवेयर का पता लगाते हैं. अपनी साइट पर किसी सुरक्षा कमज़ोरी को अनदेखा करने से आपकी साइट पर हमला होने की संभावना बढ़ जाती है.

नोट: कमज़ोरियों को ठीक करने के लिए समय-समय पर अपनी साइट के लिए सॉफ़्टवेयर अपडेट की जांच करना आवश्यक है. बेहतर होगा, जहां संभव हो, वहां अपने सॉफ़्टवेयर के लिए अपने आप अपडेट होना सेट अप करें और अपने किसी भी सक्रिय चल रहे सॉफ़्टवेयर के लिए सुरक्षा घोषणा सूचियों के लिए साइन अप करें.

सॉफ़्टवेयर के कुछ उदाहरण जिनके लिए आप अपडेट रहना चाहेंगे:

  • वेब सर्वर सॉफ़्टवेयर, अगर आप अपने सर्वर चलाते हैं
  • सामग्री प्रबंधन सिस्टम. उदाहरण: Wordpress, Drupal और Joomla! से सुरक्षा रिलीज़.
  • आपके ज़रिए अपनी साइट पर उपयोग किए जाने वाले सभी प्लग-इन और ऐड-ऑन

असुरक्षित थीम और प्लग इन

प्लग-इन और किसी CMS पर थीम मूल्य, बेहतर कार्यक्षमता जोड़ते हैं. हालांकि, पुरानी या अनपेक्षित थीम और प्लग इन, वेबसाइटों पर कमज़ोरियों का एक प्रमुख स्रोत हैं. अगर आप अपनी साइट पर थीम या प्लग इन का उपयोग करते हैं, तो उन्हें अपडेट रखना न भूलें. वे थीम या प्लग इन निकालें जो अब उनके डेवलपर के ज़रिए बनाए नहीं रखे जाते.

अविश्वस्त साइटों से मुफ़्त प्लग इन या थीम को लेकर बेहद सतर्क रहें. सशुल्क प्लग इन या थीम के मुफ़्त वर्शन में दुर्भावनापूर्ण कोड डालने के लिए हमलावरों की यह सामान्य चाल होती है. प्लग इन निकालने पर, उसकी सभी फ़ाइलों को अक्षम करने के बजाय उन्हें अपने सर्वर से निकालना पक्का करें.

सामाजिक इंजीनियरिंग

सामाजिक इंजीनियरिंग परिष्कृत सुरक्षा बुनियादी संरचना को बाईपास करने के लिए मानव प्रकृति का शोषण करने के बारे में है. इन प्रकार के हमलों में अनुमति देने वाले उपयोगकर्ताओं से छल से उनका पासवर्ड जैसी गोपनीय जानकारी ली जाती है. उदाहरण के लिए, सामाजिक इंजीनियरिंग का एक सामान्य रूप फ़िशिंग है. फ़िशिंग की कोशिश के दौरान, एक हमलावर एक वैध संगठन होने का नाटक करने वाला ईमेल भेज देगा और गोपनीय जानकारी का अनुरोध करेगा.

नोट: Google के सामाजिक इंजीनियरिंग के एक अध्ययन के अनुसार, कुछ सबसे प्रभावी फ़िशिंग अभियानों में 45% की सफलता दर है!

याद रखें कभी भी कोई भी संवेदनशील जानकारी (जैसे पासवर्ड, क्रेडिट कार्ड नंबर, बैंकिंग जानकारी या यहां तक कि आपकी जन्मतिथि भी नहीं) तब तक न दें, जब तक कि आपको अनुरोधकर्ता की पहचान के बारे में यकीन न हो. अगर आपकी साइट को कई लोग प्रबंधित करते हैं, तो सामाजिक इंजीनियरिंग हमलों के प्रति सुरक्षा जागरुकता बढ़ाने के लिए प्रशिक्षण प्रदान करने पर विचार करें. आप बुनियादी फ़िशिंग सुरक्षा सलाह लिए Gmail सहायता केंद्र का संदर्भ ले सकते हैं.

सुरक्षा नीति की खामियां

अगर आप सिस्टम व्यवस्थापक हैं या अपनी खुद की साइट को चलाते हैं, तो याद रखें कि खराब सुरक्षा नीतियां हमलावरों को आपकी साइट के साथ छेड़छाड़ करने की अनुमति दे सकती हैं. कुछ उदाहरणों में ये शामिल हैं:

  • उपयोगकर्ताओं को कमज़ोर पासवर्ड बनाने देना
  • उन उपयोगकर्ताओं को व्यवस्थापकीय एक्सेस देना जिनको इसकी आवश्यकता नहीं है
  • अपनी साइट पर HTTPS चालू नहीं करना और उपयोगकर्ताओं को HTTP का उपयोग करके साइन इन करने की अनुमति देना
  • अप्रमाणित उपयोगकर्ता या कोई प्रकार की जांच के बिना फ़ाइल अपलोड की अनुमति देना

आपकी साइट की सुरक्षा के लिए कुछ बुनियादी सलाह:

  • पक्का करें कि आपकी वेबसाइट अनावश्यक सेवाओं को बंद करके उच्च सुरक्षा नियंत्रणों के साथ कॉन्फ़िगर की गई है
  • एक्सेस नियंत्रण और उपयोगकर्ता विशेषाधिकारों का परीक्षण करें
  • ऐसे पेज के लिए एन्क्रिप्शन का उपयोग करें जो संवेदनशील जानकारी संभालते हैं, जैसे लॉग इन पेज
  • नियमित रूप से किसी भी संदिग्ध गतिविधि के लिए अपने लॉग जांचना.

डेटा लीक

डेटा लीक तब हो सकता है जब गोपनीय डेटा अपलोड हो जाता है और किसी गलत कॉन्फ़िगरेशन गोपनीय जानकारी को सार्वजनिक रूप से उपलब्ध करता देता है. उदाहरण के लिए, किसी वेब ऐप्लिकेशन में गड़बड़ी प्रबंधित करना और उससे मैसेज सेवा संभावित रूप से किसी अप्रबंधित गड़बड़ी संदेश में कॉन्फ़िगरेशन जानकारी को लीक कर सकती है. "डोर्किंग" नामक एक तरीके का उपयोग करके, दुर्भावनापूर्ण कलाकार इस डेटा को खोजने के लिए खोज इंजन कार्यक्षमता का फायदा उठा सकते हैं.

समय-समय पर जांच करके और सुरक्षा नीतियों के माध्यम से गोपनीय डेटा को विश्वसनीय इकाइयों तक सीमित करके यह पक्का करें कि आपकी साइट अनधिकृत उपयोगकर्ताओं को संवेदनशील जानकारी प्रकट नहीं करती है. अगर आपको आपकी साइट पर प्रदर्शित की जाने वाली किसी भी संवेदनशील जानकारी को खोजना है, जिसे Google खोज परिणामों से तत्काल निकालने की आवश्यकता है, तो आप Google खोज से अलग-अलग यूआरएल निकालने के लिए यूआरएल निष्कासन टूल का उपयोग कर सकते हैं.