在本教程中,我们将研究用于破坏网站的几种方法。 在当今世界,网站使用多个代表现代企业核心功能的程序。 无论您拥有电子商务网站还是名片网站,网站对于推动业务增长都是必不可少的。 我们可以肯定地说,网站是您各自业务的独特形象。
随着技术的进步,它也带来了新威胁和漏洞利用的增加。 特定的个人或团体可以利用企业主造成破坏或经济利益。 有这么多网站,企业很有可能很快成为恶意个人的目标。 本文将深入了解站点是如何遭到破坏的,以及您可以采取哪些措施来阻止它。
想象一个场景,您醒来并访问您的网站,却一无所获。 或者,您会看到一条消息,提示您需要付费才能取回数据。 确实很吓人,到底哪里出错了?
虚假的安全感
这个很简单。 我们经常阅读有关黑客针对政府和大公司的报道。 您可能会想,“我太小了,不会被黑客入侵。” 嗯,这是错误的。 2019 年,43% 的攻击针对的是小型企业,不仅在美国,而且在全球范围内。
这背后的逻辑很简单:大公司和政府倾向于在网络安全方面投入更多。 他们有一个完整的 IT 安全团队,持续监控站点。 他们不断地跟上现有的新漏洞。 因此,当看到这样的情况时,黑客需要更少的努力来闯入较小的公司并窃取登录凭据、卡号或安装勒索软件。 因此,总而言之,任何企业都不会太小而不会被黑客入侵。
本地计算机感染
当数据泄露发生时,人们倾向于查看服务器。 这似乎是合乎逻辑的,但如果得到适当的保护,服务器就不容易被破坏。 人们经常忘记妥协的可能性,如果点击电子邮件中来源不明的随机链接,就会发生妥协。 此操作可能会危及计算机并允许恶意方访问整个网站。
为防止发生这种情况,请确保您仅访问来自受信任来源的文件。 使您的防病毒软件保持最新状态,并在您的本地计算机上运行定期扫描。 为防止感染智能手机、笔记本电脑和其他无线设备,请仅使用受信任的无线网络。 限制通过机场或咖啡店使用的开放网络发送的个人信息。 为您不确定的任何连接使用 VPN。 如果它穿越不安全的网络,像这样的开放网络存在被拦截的真正危险。 这给我们带来了另一种可能的攻击向量,称为“中间人”攻击。
中间人攻击
“中间人”攻击向量被认为是最古老的秘密获取信息的手段之一。 这种方法包括攻击者窃听两台计算机之间被操纵的连接。 该攻击媒介收集在用户和不受 SSL 保护的网站之间传输的登录信息。 有多种 SSL 解决方案可用于保护和加密数据,这有助于防止此类攻击。
CMS 漏洞
内容管理系统 (CMS) 允许我们管理您网站的多个方面。 有许多 CMS 系统,如 WordPress、Magento、Joomla、Drupal 和 WooCommerce,应该定期更新。 这些更新纠正了许多安全问题,因此使您的 CMS 保持最新状态至关重要。
另一个攻击媒介是通过受损或编写不当的插件。 虽然插件可以改善网站的整体功能和外观,但它们需要来自可信赖的来源。 创建免费插件的个人或小公司通常没有像付费插件那样的核心开发人员支持。 此外,恶意个人可以下载和修改许多免费插件。 然后他们将其重新上传回网络,在那里毫无戒心的用户将其放置在他们的网站上,结果却遭到了破坏。 我们不提倡只使用付费插件。 我们说插件需要从受信任的来源安装。 要防御此类威胁,请确保您的 CMS、主题和插件来自受信任的来源并且是最新的。
蛮力攻击
此攻击向量包括快速试错方法以获取对站点的访问权限。 蛮力依靠弱用户名和密码来访问站点。 黑客使用自动脚本来尝试用户名和密码的各种组合。 这方面的一个例子是使用 WordPress 作为您的 CMS。 默认用户名是 admin,如果不修改该选项,黑客可以猜测用户名,然后尝试不同的密码。
防止蛮力攻击的最有效方法是限制最大登录尝试次数。 必须使用 12-16 个字符的强密码。 密码也应该是大小写字母、数字和特殊符号的组合。 网络上有许多强大的密码生成器可供您使用。 最后,NIST 已批准使用密码管理器来安全地存储密码。
自动填写表格
使用表单自动填充对用户来说非常方便,但这会带来安全风险。 如果用户的本地计算机受到感染,则可以使用自动填写表单毫无问题地访问网站。 最佳实践表明我们应该删除它们并让用户手动输入他们的用户名和密码。
远程代码执行
远程代码执行是一种攻击媒介,黑客可以在其中运行未知的恶意代码,注入站点并可能注入服务器。 到目前为止,这仍然是更常见的攻击媒介之一。 为简化起见,恶意代码向服务器显示为有效,然后服务器运行它并授予或提升允许某人访问的权限。 有多种可利用的代码注入方法。 防御此类攻击的最佳方法是使您的服务保持最新。
跨站脚本 (XSS)
XSS 攻击包括攻击者通过浏览“同源”策略来利用用户和易受攻击的站点之间的交互。 简而言之,同源策略限制了不同网站或 Web 应用程序之间对数据的访问。 此类规则由浏览器强制执行,旨在防止未经授权的站点访问。 攻击者将尝试操纵易受攻击的站点以将恶意 JavaScript 代码返回给用户。
当用户运行代码时,它可能会破坏他们与网站或 Web 应用程序的交互,从而允许攻击者收集敏感数据、注入恶意软件或冒充用户。 这种攻击可能特别难以防御。 尽管如此,仍有一些方法可以改善我们的防御。 我们可以在到达时过滤输入数据,使用适当的响应头,应用内容安全策略,并对输出数据进行编码。 如果您使用的是 WordPress,Liquid Web KB 提供了有关防止 secusame-originevent XSS 攻击的指南。
DNS 欺骗(DNS 缓存中毒)
这种类型的攻击包括将损坏的 DNS 数据注入解析器。 中毒的解析器然后将流量从合法网站发送到恶意网站。 乍一看,这似乎与网站妥协无关。 尽管如此,在恶意网站中输入其凭据的合法用户将为攻击者打开访问该网站的路径。 虽然不常见,但许多小型网站会使用自定义解析器来防御此问题。 他们设置了一个很短的 TTL 时间,然后定期清除缓存。
社会工程学技术
有时,最易受攻击的因素是人为因素,因此,攻击者会尝试利用人为因素来访问敏感数据。 虽然这种技术不是很技术,但它确实对安全构成了真正的威胁。 典型的攻击类型有:
- 网络钓鱼: 这种方法包括攻击者发送看起来像是来自可信来源的电子邮件。 它会感染受害者的计算机或诱骗用户提供凭据。 有一些自动化解决方案可以从社交网络或 LinkedIn 等商业网络中收集大量电子邮件地址。 一旦攻击者拥有足够大的潜在受害者数据库,他就会发送电子邮件,直到其中一个被抓住。
- 诱饵: 这是一种“老派”技术,但仍然非常有效。 它包括攻击者将受感染的 USB 设备留在公共场所。 如果有人拿起它并将该设备插入本地计算机,它会将恶意软件传输到本地计算机。 该恶意软件授予攻击者访问权限。 这种类型的攻击主要针对较大的公司,但很高兴知道它的存在。
- 借口: 虽然这种攻击是三者中最不精通技术的,但它仍然可以带来惊喜。 攻击者会以其他人为借口与您或您的员工联系,并且只是索取信息。
抵御社会工程攻击的最佳防御措施是让参与日常业务互动的每个人都了解这些类型的攻击。
非针对性网站攻击
这种攻击与本文的第一步有关。 您的网站可能不是直接目标,但它可能成为其使用的易受攻击软件的受害者。 攻击者可以创建和利用软件,在互联网上搜索插件、主题或 CMS 中的特定漏洞。 由于这些类型的入侵是明确针对有针对性的攻击而开发的,因此您的网站可以成为该攻击的目标。 同样,最好的防御是让您的 CMS、插件和主题保持最新,并且只安装来自可信赖开发人员的信誉良好的软件。
结论
虽然在野外有许多类型的攻击和利用,但其中绝大多数利用了人类的弱点。 依赖更新服务的元素可能不会更新,因此允许各种漏洞利用。 如前所述,网站是您业务的反映,因此,它在当今世界至关重要,因此它的安全性也应该是必要的。
是否有 100% 的服务器安全解决方案? 抱歉不行。 但是可以引入一些防御方法。 一如既往,Liquid Web 为您和您的企业提供我们的服务器保护包。 如果其他一切都失败并且您的网站仍然受到损害,最直接的解决方案是恢复它。 因此,备份是任何托管计划的重要组成部分。 这些将在注入的情况下提供故障安全。 Liquid Web 可以为您提供多种备份选项,例如云服务器备份或专用服务器的 Acronis 网络备份。
我们能帮你什么吗?
我们以成为 Hosting™ 中最有帮助的人而自豪!
我们的支持团队由经验丰富的 Linux 技术人员和才华横溢的系统管理员组成,他们对多种网络托管技术(尤其是本文中讨论的技术)有着深入的了解。
如果您对此信息有任何疑问,我们随时可以回答与本文相关问题的任何询问,一年 365 天,一周 7 天,一天 24 小时。
如果您是完全托管的 VPS 服务器, Cloud 专用,VMWare 私有 Cloud, 私有父服务器, 托管 Cloud 服务器或专用服务器所有者,并且您对执行列出的任何步骤感到不舒服,可以通过电话联系我们 @800.580.4985,a 聊天,或支持票以协助您完成此过程。