Missed the action at the 2018 Chrome Dev Summit? Catch up with our playlist on the Google Chrome Developers channel on YouTube. Watch now.

Najczęściej spotykane ataki spamerskie

Zrozumienie, jak doszło do naruszenia witryny, stanowi ważny element jej ochrony. W tym artykule znajdziesz informacje o niektórych lukach w zabezpieczeniach, które mogą ułatwić atak na Twoją witrynę.

Przejęte hasła

Hakerzy mogą posługiwać się technikami odgadywania haseł i próbować użyć różnych ciągów znaków, aż trafią na właściwy. Ataki polegające na odgadnięciu hasła mogą polegać na wpisywaniu powszechnie stosowanych haseł lub losowych kombinacji liter i cyfr do chwili odkrycia hasła. Aby do tego nie dopuścić, utwórz silne hasło, które trudno będzie odgadnąć. Wskazówki na temat tworzenia silnego hasła znajdziesz w Centrum pomocy Google.

Musisz zapamiętać dwie ważne zasady. Po pierwsze, nie stosuj tych samych haseł w różnych usługach. Gdy hakerzy odkryją działającą kombinację nazwy użytkownika i hasła, spróbują jej użyć w tylu usługach, w ilu tylko zdołają. Jeśli więc użyjesz różnych haseł w poszczególnych usługach, ochronisz pozostałe konta w innych miejscach.

Po drugie, jeśli tylko możesz, korzystaj z uwierzytelniania dwuskładnikowego, np. weryfikacji dwuetapowej w Google. Ta metoda pozwala uzyskać drugą warstwę danych uwierzytelniających logowanie, zwykle w postaci kodu przesyłanego SMS-em lub kodu PIN generowanego dynamicznie w inny sposób. Utrudnia to hakerom dostęp do konta przy pomocy skradzionego hasła. Niektóre systemy CMS oferują wskazówki dotyczące konfigurowania uwierzytelniania dwuskładnikowego. Więcej informacji znajdziesz np. w dokumentacji systemów Joomla!, WordPress lub Drupal.

Brak aktualizacji zabezpieczeń

Oprogramowanie w starszej wersji może mieć groźne luki w zabezpieczeniach, które ułatwią hakerom zaatakowanie całej witryny. Hakerzy aktywnie szukają starego oprogramowania z lukami. Ignorowanie luk w witrynie zwiększa niebezpieczeństwo.

Uwaga: aby usuwać luki w zabezpieczeniach, trzeba okresowo sprawdzać aktualizacje oprogramowania. Jeszcze lepiej jest ustawić automatyczne aktualizowanie oprogramowania, jeśli tylko jest to możliwe, i subskrybować powiadomienia na temat bezpieczeństwa używanego aktywnie oprogramowania.

Przykłady oprogramowania, które warto regularnie aktualizować:

  • Oprogramowanie serwerów WWW, jeśli masz własne.
  • System zarządzania treścią. Przykład: aktualizacje bezpieczeństwa w systemach Wordpress, Drupal i Joomla!.
  • Wszystkie wtyczki i dodatki w witrynie.

Niezabezpieczone motywy i wtyczki

Wtyczki i motywy stanowią cenne uzupełnienie funkcji systemu CMS. Jednak nieaktualne lub bez poprawek mogą być groźną luką w zabezpieczeniach witryny. Jeśli używasz w witrynie motywów lub wtyczek, pamiętaj, by zawsze były aktualne. Motywy i wtyczki, którymi deweloperzy już się nie zajmują, po prostu usuń.

Uważaj szczególnie na darmowe wtyczki i motywy z niezaufanych witryn. Hakerzy często dodają złośliwy kod do darmowych wersji płatnych wtyczek i motywów. Jeśli usuwasz wtyczkę, pamiętaj, by usunąć wszystkie jej pliki z serwera, a nie tylko ją wyłączyć.

Inżynieria społeczna

Inżynieria społeczna oznacza wykorzystywanie natury ludzkiej do obchodzenia zaawansowanej infrastruktury zabezpieczeń. W takich atakach autoryzowani użytkownicy są nakłaniani do przekazywania poufnych danych, np. haseł. Formą inżynierii społecznej jest wyłudzanie informacji. Podczas próby takiego wyłudzenia haker, podszywając się pod wiarygodną organizację, wysyła e-maila z prośbą o poufne dane.

Uwaga: według danych z badań Google nad inżynierią społeczną niektóre z najskuteczniejszych kampanii wyłudzania informacji odnoszą sukces aż w 45% przypadków.

Pamiętaj, by nigdy nie podawać żadnych poufnych danych (np. haseł, numerów kart kredytowych, danych bankowych, a nawet daty urodzenia), jeśli nie masz pewności, kto o nie prosi. Jeśli Twoją witryną zarządza kilka osób, zastanów się nad szkoleniem, które uświadomiłoby im ryzyko ataków metodami opartymi na inżynierii społecznej. W Centrum pomocy Gmaila znajdziesz podstawowe wskazówki dotyczące ochrony przed wyłudzeniem informacji.

Luki w polityce bezpieczeństwa

Jeśli jesteś administratorem systemu lub prowadzisz własną witrynę, pamiętaj, że niedopracowana polityka bezpieczeństwa może ułatwić hakerom atak. Oto kilka przykładów:

  • Umożliwianie użytkownikom tworzenie słabych haseł.
  • Przekazywanie dostępu administracyjnego użytkownikom, którzy go nie potrzebują.
  • Niekorzystanie w witrynie z protokołu HTTPS i umożliwienie logowania za pomocą HTTP.
  • Umożliwienie przesyłania plików od nieuwierzytelnionych użytkowników lub bez sprawdzenia typu.

Kilka podstawowych wskazówek na temat ochrony witryny:

  • Upewnij się, że konfiguracja witryny jest bezpieczna, a zbędne usługi są wyłączone.
  • Zweryfikuj kontrolę dostępu i uprawnienia użytkowników.
  • Stosuj szyfrowanie na stronach z poufnymi informacjami, na przykład na stronach logowania.
  • Regularnie sprawdzaj dzienniki pod kątem podejrzanej aktywności.

Wyciek danych

Dane mogą wyciec, jeśli nieprawidłowa konfiguracja spowoduje ich publiczne udostępnienie po przesłaniu. Na przykład obsługa błędów oraz wiadomości w aplikacji internetowej może doprowadzić do wycieku informacji o konfiguracji w nieobsługiwanym komunikacie o błędzie. Posługując się metodą nazywaną dorkingiem, hakerzy mogą znaleźć takie dane za pomocą wyszukiwarki.

Upewnij się, że witryna nie ujawnia nieupoważnionym użytkownikom poufnych danych. Przeprowadzaj okresowe kontrole, a poufne dane powierzaj tylko zaufanym podmiotom, stosując odpowiednią politykę bezpieczeństwa. Jeśli odkryjesz, że w witrynie wyświetlane są poufne informacje, które powinny natychmiast zniknąć z wyników wyszukiwania Google, możesz usunąć z wyszukiwarki poszczególne adresy URL za pomocą narzędzia do usuwania adresów URL.