在本教程中,我们将研究用于破坏网站的几种方法。 在当今世界,网站使用代表现代企业核心功能的多种程序。 无论您拥有电子商务网站还是名片网站,网站对于推动业务增长都是必不可少的。 我们可以有把握地说,网站是您各自业务的独特形象。
随着技术的进步,它也带来了新的威胁和攻击。 特定的个人或团体可以利用企业主造成严重破坏或经济利益。 有这么多网站,企业很有可能很快成为恶意个人的目标。 本文将深入了解网站是如何被破坏的,以及您可以采取哪些措施来防止它。
想象一个场景,您醒来并访问您的网站,但在那里一无所获。 或者,您会看到一条消息,说您需要付费才能取回数据。 确实很可怕的东西,那么它哪里出错了?
一种虚假的安全感
这个很简单。 我们经常读到黑客针对政府和大公司的报道。 你可能会想,“我太小了,不会被黑客入侵。” 好吧,那是错误的。 2019 年,43% 的攻击针对小企业,不仅在美国,而且在全球范围内。
这背后的逻辑很简单:大公司和政府往往会在网络安全方面投入更多。 他们有一个完整的 IT 安全团队持续监控该站点。 他们不断地跟上新的漏洞。 因此,当看到这样的情况时,黑客需要更少的努力来闯入小公司并窃取登录凭据、卡号或安装勒索软件。 因此,总而言之,没有一家企业太小而不会被黑客入侵。
本地计算机感染
当发生违规行为时,人们倾向于查看服务器。 这似乎是合乎逻辑的,但如果得到适当的保护,服务器就不容易被破坏。 人们经常忘记妥协的可能性,如果单击电子邮件中来源不明的随机链接,就会发生这种情况。 此操作可能会危及计算机并允许恶意方访问整个网站。
为防止这种情况发生,请确保您仅访问来自受信任来源的文件。 使您的防病毒软件保持最新并在本地计算机上运行定期扫描。 为防止智能手机、笔记本电脑和其他无线设备受到感染,请仅使用受信任的无线网络。 限制通过机场或咖啡店使用的开放网络发送的个人信息。 为您不确定的任何连接使用 VPN。 像这样的开放网络在穿越不安全的网络时存在被拦截的真正危险。 这给我们带来了另一种可能的攻击向量,称为“中间人”攻击。
中间人攻击
“中间人”攻击向量被认为是最古老的秘密获取信息的手段之一。 这种方法包括攻击者窃听两台计算机之间的操纵连接。 此攻击向量收集在用户和非 SSL 保护网站之间传输的登录信息。 有多种 SSL 解决方案可用于保护和加密数据,这有助于防止此类攻击。
CMS 漏洞
内容管理系统 (CMS) 允许我们管理您网站的多个方面。 有许多 CMS 系统,如 WordPress、Magento、Joomla、Drupal 和 WooCommerce,应该定期更新。 这些更新纠正了许多安全问题,因此使您的 CMS 保持最新状态至关重要。
另一个攻击媒介是通过受损或编写不佳的插件。 虽然插件可以改善网站的整体功能和外观,但它们需要来自受信任的来源。 创建免费插件的私人或小公司通常没有像付费插件那样的核心开发人员支持。 此外,恶意个人可以下载和修改许多免费插件。 然后,他们将其重新上传回网络,毫无戒心的用户将其放置在他们的网站上,结果却遭到入侵。 我们不提倡只使用付费插件。 我们说插件需要从受信任的来源安装。 要防御此类威胁,请确保您的 CMS、主题和插件来自受信任的来源并且是最新的。
蛮力攻击
这种攻击媒介包括一种快速试错方法来获得对站点的访问权限。 蛮力依靠弱用户名和密码来访问网站。 黑客使用自动化脚本尝试各种用户名和密码组合。 一个 example 这将是在使用 WordPress 作为您的 CMS 时。 默认用户名是 admin,如果不修改该选项,黑客可以猜测用户名,然后尝试不同的密码。
防止暴力攻击的最有效方法是限制最大登录尝试次数。 必须使用 12-16 个字符的强密码。 密码也应该是大小写字母、数字和特殊符号的组合。 您可以使用网络上的许多强密码生成器。 最后,NIST 已批准使用密码管理器来安全地存储密码。
自动填写表格
使用表单自动填充对用户来说非常方便,但这可能会带来安全风险。 如果用户的本地计算机被感染,则可以使用自动填写表单毫无问题地访问网站。 最佳实践表明我们应该删除这些并让用户手动输入他们的用户名和密码。
远程代码执行
远程代码执行是一种攻击媒介,黑客可以在其中运行未知的恶意代码,注入站点并可能注入服务器。 到目前为止,这仍然是更常见的攻击媒介之一。 为简化起见,恶意代码向服务器显示为有效代码,然后服务器运行它并授予或提高权限以允许某人获得访问权限。 有多种可利用的代码注入方法。 防御此类攻击的最佳方法是使您的服务保持最新。
跨站脚本 (XSS)
XSS 攻击包括攻击者通过围绕“同源”策略导航来利用用户和易受攻击的站点之间的交互。 简而言之,同源策略限制了不同网站或 Web 应用程序之间对数据的访问。 该规则由浏览器强制执行,旨在防止未经授权的站点访问。 攻击者将尝试操纵易受攻击的站点,将恶意 JavaScript 代码返回给用户。
当用户运行代码时,它可能会破坏他们与网站或 Web 应用程序的交互,从而允许攻击者收集敏感数据、注入恶意软件或冒充用户。 这种攻击可能特别难以防御。 尽管如此,还是有一些方法可以提高我们的防御能力。 我们可以在到达时过滤输入数据,使用适当的响应头,应用内容安全策略,并对输出数据进行编码。 如果您使用的是 WordPress,Liquid Web KB 提供了防止 secusame-originevent XSS 攻击的指南。
DNS 欺骗(DNS 缓存中毒)
这种类型的攻击包括将损坏的 DNS 数据注入解析器。 然后,中毒的解析器将流量从合法网站发送到恶意网站。 乍一看,这似乎与网站妥协无关。 尽管如此,在恶意网站中输入其凭据的合法用户仍会为攻击者打开访问该网站的路径。 虽然不常见,但许多小型网站将使用自定义解析器来防御此问题。 他们设置了一个较短的 TTL 时间,然后定期清除缓存。
社会工程技术
有时最容易受到攻击的因素是人为因素,因此,攻击者会尝试利用它来访问敏感数据。 虽然这种技术不是很技术,但它确实对安全构成了真正的威胁。 典型的攻击类型有:
- 网络钓鱼: 此方法包括攻击者发送看起来像是来自可信来源的电子邮件。 它会感染受害者的计算机或欺骗用户提供凭据。 有一些自动化解决方案可以从社交网络或 LinkedIn 等商业网络收集大量电子邮件地址。 一旦攻击者拥有足够大的潜在受害者数据库,他就会发送电子邮件,直到其中一个被抓住。
- 诱饵: 这是一种“老派”技术,但仍然非常有效。 它包括攻击者将受感染的 USB 设备留在公共场所。 如果有人拿起它并将该设备插入本地计算机,它会将恶意软件传输到本地计算机。 该恶意软件授予攻击者访问权限。 这种类型的攻击主要针对较大的公司,但很高兴知道它的存在。
- 借口: 虽然这次攻击是三者中最不精通技术的,但它仍然会让人感到意外。 攻击者会以其他人为借口联系您或您的员工,并且只是询问信息。
抵御社会工程攻击的最佳方法是让参与日常业务交互的每个人了解这些类型的攻击。
非目标网站攻击
这种攻击涉及到本文的第一步。 您的网站可能不是直接目标,但它可能成为其使用的易受攻击软件的受害者。 攻击者可以创建和利用在互联网上搜索插件、主题或 CMS 中的特定漏洞的软件。 由于这些类型的入侵是专门为针对性攻击而开发的,因此您的网站可以成为该攻击的目标。 同样,最好的防御措施是让您的 CMS、插件和主题保持最新,并且只安装来自受信任的开发人员的信誉良好的软件。
结论
虽然在野外有许多类型的攻击和利用,但其中绝大多数都是利用人类的弱点。 依赖更新服务的元素可能不会更新,因此允许各种攻击。 如前所述,网站是您业务的反映,因此,它在当今世界至关重要,因此它的安全性也应该是必要的。
是否有 100% 的服务器安全解决方案? 很不幸的是,不行。 但是可以引入一些防御方法。 与往常一样,Liquid Web 为您和您的企业提供我们的服务器保护包。 如果其他一切都失败并且您的网站仍然受到损害,最直接的解决方案是恢复它。 因此,备份是任何托管计划的重要组成部分。 这些将在注入的情况下提供故障保护。 Liquid Web 可以帮助您使用我们广泛的备份选项,例如云服务器备份或专用服务器的 Acronis 网络备份。
我们能帮你什么吗?
我们以成为 Hosting™ 中最有帮助的人而自豪!
我们的支持团队由经验丰富的 Linux 技术人员和才华横溢的系统管理员组成,他们对多种网络托管技术有着深入的了解,尤其是本文中讨论的技术。
如果您对此信息有任何疑问,我们将随时为您解答与本文相关问题的任何询问,每天 24 小时、每周 7 天、每年 365 天。
如果您是完全托管的 VPS 服务器, Cloud 专用,VMWare 私有 Cloud私有父服务器, 托管 Cloud 服务器或专用服务器所有者,并且您对执行概述的任何步骤感到不舒服,可以通过电话@800.580.4985 联系我们, 聊天,或支持票以帮助您完成此过程。
