The #ChromeDevSummit site is live, happening Nov 12-13 in San Francisco, CA
Check it out for details and request an invite. We'll be diving deep into modern web tech & looking ahead to the platform's future.

垃圾內容發佈者入侵網站的常見方式

瞭解網站遭到入侵的方式相當重要,如此才能確保網站日後不受攻擊。本文將說明一些可能導致網站遭到入侵的安全性漏洞。

密碼遭到破解

攻擊者可能會使用密碼猜測手法,不斷嘗試不同密碼,直到猜對為止。密碼猜測攻擊的執行方法眾多,例如嘗試常用密碼或掃描隨機字母和數字組合,直到發現正確密碼為止。防範之道是建立不容易被猜到的高強度密碼。如需建立高強度密碼的提示,請參閱 Google 的說明中心文章。

請謹記兩個重點。首先,請避免在不同服務中使用相同的密碼。一旦攻擊者成功找到有效的使用者名稱和密碼組合,就會儘可能在眾多服務嘗試使用該組合。因此,在不同服務使用不同密碼可避免其他服務的帳戶遭到入侵。

其次,請儘量善用雙重驗證 (2FA),例如 Google 兩步驟驗證機制。2FA 通常會要求提供簡訊驗證碼或其他動態產生的 PIN 碼,讓登入憑證多一層安全防護。即使攻擊者竊取了密碼,仍不易存取帳戶。部分 CMS 供應商會引導您設定 2FA:請參閱 Joomla!WordPressDrupal 的專屬說明文件。

未安裝安全性更新

版本較舊的軟體可能會受到高風險的安全性漏洞影響,讓攻擊者乘機入侵整個網站。攻擊者會主動尋找有安全性漏洞的舊版軟體。忽略網站上的安全性漏洞會讓網站更容易遭到攻擊。

Note: 請務必為您的網站定期檢查軟體更新,以修補安全性漏洞。您甚至可以為您的軟體設定自動更新,並針對您網站目前執行的所有軟體申請訂閱安全性宣告清單。

建議保持最新版本的一些軟體範例包括:

  • 網路伺服器軟體 (如果您執行自己的伺服器)
  • 內容管理系統。例如:WordpressDrupalJoomla! 發佈的安全性更新。
  • 您在網站上使用的所有外掛程式

主題和外掛程式不安全

在 CMS 上使用外掛程式和主題可增添實用的強大功能。不過,一旦主題和外掛程式版本過舊或未修補漏洞,就會成為網站上的重大安全性漏洞。如果您在網站上使用主題或外掛程式,請務必保持最新版本。請移除開發人員已停止維護的主題或外掛程式。

如果是不信任的網站免費提供的外掛程式或主題,請格外小心。在付費外掛程式或主題的免費版本中加入惡意程式碼是攻擊者常用的手段。移除外掛程式時,請確實將所有相關檔案從您的伺服器上移除,而不要只停用外掛程式。

社交工程

社交工程一種是利用人性弱點而規避精密安全性基礎架構的手法。這類攻擊會誘使經過授權的使用者提供密碼之類的機密資訊。舉例來說,網路詐騙就是常見的社交工程型態。攻擊者試圖進行網路詐騙時,會假冒合法機構的身分傳送電子郵件,請使用者提供機密資訊。

Note: 根據 Google 對社交工程的研究,部分最有效率的網路詐騙活動的成功率可達到 45%!

提醒您,除非您確定要求者的身分,否則切勿提供任機密資訊 (例如密碼、信用卡號碼、銀行資訊,甚至是出生日期)。如果您的網站由多人共同管理,建議您提供合理的訓練,提升管理員對於社交功能攻擊的安全防範意識。請參閱 Gmail 說明中心提供的基本網路詐騙防範提示

安全性政策漏洞

系統管理員或自行管理網站營運者請謹記,不完善的安全性政策會讓攻擊者入侵您的網站。容易遭入侵的政策範例如下:

  • 允許使用者建立低強度密碼
  • 將管理權限授予不需要的使用者
  • 網站未啟用 HTTPS,且允許使用者使用 HTTP 登入
  • 允許未經驗證的使用者上傳檔案,或未檢查檔案類型

確保網站安全的一些基本提示:

  • 停用不需要服務,確保網站受到高度安全防護
  • 測試存取權控管與使用者權限
  • 針對處理機密資訊的網頁 (例如登入頁面) 使用加密保護措施
  • 定期檢查紀錄中有無任何可疑的活動

資料外洩

上傳機密資料時,如果因設定錯誤導致機密資訊公開,資料就可能外洩。舉例來說,在網路應用程式中發生處理錯誤或訊息傳送錯誤時,未經處理的錯誤訊息可能會洩漏設定資訊。惡意操作者會利用搜尋引擎的功能,透過所謂的「Dorking」方式找到這類資料。

您可以定期進行檢查,並透過安全性政策將機密資料傳送對象限定為信任的實體,確保網站不會洩漏機密資訊給未經授權的使用者。如果您發現網站上洩露了機密資訊,需要緊急從 Google 搜尋結果中移除,可以使用網址移除工具,要求我們從 Google 搜尋服務中移除個別網址。