9 種常見的網站安全威脅(以及如何應對)
已發表: 2023-10-25很抱歉打擾您,但您的網站並不安全。 這不一定是因為您做了什麼,而只是因為網路上沒有任何東西是完全安全的。 每個網站都面臨安全威脅,這些威脅可能會導致網站癱瘓、損壞,甚至更糟。
這是壞消息。 一線希望是,您可以採取許多措施來應對這些威脅,而第一步就是意識到它們的存在。 畢竟,您只能保護自己免受已知可能帶來風險的事物的影響。
為了幫助您做到這一點,本文將介紹 WordPress 及其他平台的常見網站安全威脅。 我們將討論威脅是什麼、它們如何運作以及您可以採取哪些措施來防止它們發生。 當您完成閱讀後,我們希望您感到有能力保證您的 WordPress 網站安全並免受傷害,這樣您就可以專注於真正重要的事情。
為什麼關心網站安全威脅?
您的第一個反應可能是問自己這是否與您有關。 當然,你經常聽說這些大資料外洩和駭客攻擊,但這種事情通常不是只發生在大公司身上嗎? 您知道,您的 Facebook、Twitter、Equifaxes 和 Yahoos 等企業擁有值得竊取的資訊。
很抱歉打破了你的幻想,但僅僅因為你不是一家價值百萬美元的公司,仍然有很多人有興趣摧毀或破壞你的網站。
光是 2022 年,全球網路攻擊就增加了 38%,根據 Verizon 2019 年的報告,小型企業是第一目標,佔所有資料外洩事件的 43%。 當這些企業成為網路攻擊的受害者時,平均會損失 25,000 美元。 事實上,根據 FBI 的數據,2022 年,網路犯罪僅在美國造成的損失就達 102 億美元。
然而,這不僅僅是處理和清理攻擊的直接成本。 您還需要付出客戶流失、停機、工作中斷、客戶之間失去信任、被搜尋引擎屏蔽等代價。
因此,即使是一個小網站,您也可能成為目標。 這尤其因為大多數攻擊都是由掃描網路漏洞的程式自動發起的,直到找到漏洞為止。 因此,如果你給他們留了一個空缺,有人就會試圖利用它。
想知道如何保護自己嗎? 讓我們回顧一下一些最常見的安全威脅。
網站安全威脅#1:網路釣魚
資料來源:安德魯·萊文
網路釣魚是指駭客試圖讓您存取惡意網站、點擊危險連結、下載受感染的附件或洩露網站登入資訊等敏感資訊。 大多數釣魚郵件以假裝來自合法來源的電子郵件的形式發生,但是,您也可以透過文字、即時通訊應用程式或虛假的社交登入頁面接收網路釣魚訊息。
網路釣魚的潛在危險
透過網路釣魚取得您的登入資訊可以為攻擊者節省大量時間。 他們不必費力地嘗試猜測和暴力進入您的網站,只需使用絕對有效的憑證即可。
有了這些,他們就可以在您的網站上自由統治,特別是當憑證具有高使用者權限時。 他們可以創建新用戶、添加內容和連結、操作文件、創建後門,甚至運行程式碼。 另外,如果您的網站上保存了敏感訊息,例如線上商店中的客戶數據,駭客也可以存取該資訊。
當然,如果這種情況發生並被公開,這對你的聲譽來說是一個真正的打擊。 另外,根據您所遵循的隱私權法,可能會產生額外的罰款。
如何應對
預防網路釣魚攻擊的最佳方法是提高對網路釣魚攻擊的認識。 如果您收到任何要求您提供敏感資訊的訊息,您應該立即暫停。 不要發回任何內容,不要點擊任何鏈接,也不要下載並執行附件。 至少,檢查寄件者電子郵件地址是否合法。 此外,您還應該學習網路釣魚策略,並對公司中的其他人進行相同的培訓。
資料來源:科技百科
網站安全威脅 #2:(D)DoS 攻擊
DoS 代表“拒絕服務”,即有人試圖透過非法流量淹沒您的網站來摧毀您的網站。 目標是用請求淹沒您的伺服器,使其無法再處理並停止工作。
DoS 攻擊通常透過殭屍網路進行,這意味著電腦已被病毒或特洛伊木馬滲透,駭客可以遠端控制。 在這種情況下,您也談到「分散式阻斷服務」或 DDoS。
來源:Everaldo Coelho 和 YellowIcon / LGPL
此類攻擊旨在損害企業或網站或勒索他們以獲取金錢。 它們也是出於意識形態原因而進行的,因為攻擊者不同意相關網站所代表的內容,或因為企業發表的公開聲明。 然而,在其他情況下,當駭客試圖闖入您的網站時,DDoS 攻擊也可以用來分散您的注意力。
結果是什麼?
DDoS 攻擊的影響是,相關網站變得無回應且真實客戶和訪客無法存取。 伺服器有太多工作要做,無法正確處理訪問,並且對於合法訪問者來說加載速度非常慢或根本不加載。
當然,對於大多數企業來說,網站是他們的主要資產之一。 當它變得無法訪問時,就會導致業務和收入損失。 DDoS 攻擊也會損害您的聲譽,因為有些訪客會認為您網站的品質不好。
如何防止 DDoS 攻擊
應對此類網站威脅的最佳方法之一是以防火牆或 Web 應用程式防火牆的形式添加另一個安全層。 這些旨在在惡意流量到達您的網站之前將其過濾掉。 這樣,攻擊甚至不會到達您的網站,也不會造成傷害。 另外,如果 DDoS 攻擊只是乾擾入侵,防火牆也可以提供保護。 Sucuri 和 Cloudflare 是不錯的提供者。
來源:Cloudflare
保護自己免受網站安全威脅的另一個不錯的投資是內容交付網路或 CDN。 它將您網站的副本放置在不同的伺服器上,這使得將其完全從網路中刪除變得更加困難。 它還可以使攻擊遠離您的主伺服器。 許多 CDN 都包含 DDoS 保護。
如果您在 WP Engine 上託管網站,則可以使用 Global Edge Security 同時利用這兩種方法。 它是一個企業級效能和安全附加元件,包括託管 Web 應用程式防火牆、進階 DDoS 防護和全球 CDN。 簡而言之,擁有抵禦外部安全威脅所需的一切。
另外,它非常方便。 您只需將其添加到您的計劃中,將您的 DNS 記錄指向正確的伺服器,剩下的事情就會為您處理。 十分簡單。 最後,最好設定正常運行時間監控,例如使用 UptimeRobot。 這樣,當您的網站無法訪問時,您會很快收到警報,以便您可以立即採取行動。
網站安全威脅#3:暴力攻擊與撞庫
暴力攻擊與 DDoS 攻擊有些相似,因為它們會自動攻擊網站的一部分。 然而,他們並沒有阻止流量,而是瞄準您的登入頁面,並嘗試透過猜測您的登入資訊來訪問該網站。 此類程式每秒嘗試許多不同的常見密碼和使用者名稱組合,直到成功進入。
稍微複雜一點的變種是所謂的撞庫。 在這裡,攻擊者使用從其他資料外洩中已知的電子郵件/密碼組合,而不是隨機登入資訊。 這些攻擊利用了許多人重複使用其登入資訊的事實。
如果攻擊者確實成功猜測了您的登入憑證,則結果與「網路釣魚」部分中討論的結果幾乎相同。
阻止登入攻擊
您可以透過多種方法保護自己免受登入頁面的攻擊:
- 限制登入嘗試並鎖定經常失敗的用戶,例如透過限制登入嘗試重新加載
- 不要重複使用您的憑證,為您擁有的每個帳戶設定單獨的密碼
- 限制 WordPress 網站上的使用者數量,並僅向他們提供工作所需的功能
- 強制使用強密碼,例如透過密碼原則管理器
- 更好的是,使用多重身份驗證
- 關閉主題和外掛編輯器,以便攻擊者無法從 WordPress 儀表板內部操縱您的文件
網站安全威脅#4:跨站腳本 (XSS)
在跨站點腳本編寫中,駭客誘騙網站向受害者的瀏覽器傳送惡意腳本。 由於來源的原因,瀏覽器信任並執行該腳本。 這通常是透過輸入欄位發生的,例如在聯絡表單中。 但是,攻擊也可能來自受感染網站的資料庫。
可能的結果
成功後,攻擊者可以使用跨站點腳本竊取登入資料、安裝惡意軟體、將使用者重新導向到另一個站點,甚至操縱他們正在查看的頁面。 他們還可以作為其他用戶訪問相關網站並讀取他們的數據。 另外,他們可能能夠在受害者的電腦上安裝軟體。
圖片來源:米歇爾·巴克尼
總的來說,跨站點腳本對訪客來說比網站本身更危險。 但是,如果它源自於您的網路存在,那麼這自然不會給您帶來好印象。 因此,為了您自己和您的訪客,您有責任確保您的網站安全。
如何防止 XSS 攻擊
在技術層面上,防止跨站點腳本編寫的最重要步驟是清理和驗證資料輸入。 這意味著拒絕特殊字元和符號以避免程式碼注入,例如確保輸入不能包含腳本、物件或連結等內容。 PHP 和 JavaScript 等程式語言為此提供了標準函數,WordPress 也有自己的標記用於此目的。
如果您不是開發人員,您的角色是運用良好的判斷力,使不遵守這些規則的程式碼遠離您的網站。 這意味著,從信譽良好的來源獲取主題和插件,並確保它們得到良好的支援和維護。 另外,不要在您的網站上安裝您不理解的程式碼片段。
網站安全威脅#5:SQL 注入
SQL 注入類似於跨站腳本。 他們還透過使用輸入欄位在您的網站上運行惡意 SQL 程式碼並獲得對資料庫的存取權限。
如果您的網站容易受到 SQL 注入攻擊,攻擊者可以使用此技術透過多種方式對其進行破壞:
- 建立具有管理員權限的新身分並獲得對您網站的存取權限
- 直接存取伺服器上的所有數據
- 銷毀/修改資料庫使其無法使用
當然,這都不是好消息。
阻止 SQL 注入
這種網站安全威脅需要像跨站點腳本一樣保持警惕。 清理、過濾、轉義和驗證資料輸入,並確保對機密資訊進行加密。 許多 Web 框架會自動執行此操作。
作為非開發人員,請保持 WordPress 及其元件更新並使用 WordPress 安全性外掛程式。 其中許多都具有防止 SQL 注入的功能。 您可以在專門的 WP Engine 文章中找到有關此主題的更多詳細資訊。
網站安全威脅#6:勒索軟體/破壞
勒索軟體是一種軟體,它會阻止對您的網站或其他企業資產的訪問,並且只有在您向攻擊者付款時才會再次解鎖(有時即使付款也不會)。
污損的類似之處在於,它會弄亂網站的設計或內容,或留下駭客成功入侵的訊息。
在每種情況下,某人都會以某種方式訪問您的網站,這可能會帶來許多負面結果:
- 贖金費用(如果您支付,可能會很昂貴)
- 清理費用
- 銷售損失和聲譽損失
- 員工因無法完成工作而導致生產力損失
- 因被列入黑名單而降低搜尋引擎排名
如何保護自己
防止勒索軟體和篡改攻擊的方法是遵循本指南中提到的其他最佳實踐來鎖定對您的網站和伺服器的存取。 確保您的登入資訊安全,更新您的網站,並制定備份解決方案,以便您可以返回網站的早期版本。
網站安全威脅#7:惡意軟體和間諜軟體
這對網站本身來說並不是一個危險,但可能會發生在您的網站上。 當攻擊者獲得存取權限時,他們可能會安裝惡意軟體和間諜軟體來感染訪客的電腦。 您被入侵的網站最終會成為進一步推進駭客議程的工具。
會發生什麼事?
惡意軟體對您的聲譽構成巨大威脅。 當瀏覽器或防毒程式偵測到它時,它們將阻止訪客造訪您的網站。
此外,搜尋引擎可以將您列入黑名單並將您從索引中刪除,因為他們不想將用戶發送到對他們有害的網站。
當然,兩者都會導致大量的流量損失,有時即使您解決了問題也很難將自己從黑名單中刪除。 沒有流量,就沒有收入、沒有潛在客戶、沒有客戶、沒有業務。
防止惡意軟體感染
同樣,請遵循本指南中提到的做法,以將其他網站安全威脅排除在您的網站之外。 特別是,採用強大的憑證和多因素身份驗證,使網站元件保持最新,並對您在網站上安裝的內容保持警惕。
此外,使用防毒軟體保持您自己的電腦清潔,並定期掃描您的網站是否有惡意軟體,例如透過 Sucuri Sitecheck。
網站安全威脅#8:中間人攻擊
此類攻擊在未對其流量使用加密的網站上很常見。 在這裡,攻擊者攔截未受保護的數據,從而獲得登入、支付或其他敏感資訊的存取權。 中間人攻擊也會發生在不安全的 WiFi 網路中。
如何保護自己
在網站上,應對這種威脅的首要方法是使用加密。 在您的網站上安裝 TLS/SSL 協定並將其切換為 HTTPS。 這會自動加密您的網站和訪客瀏覽器之間發送的所有訊息,從而防止中間人攻擊得逞。
此外,使用強密碼和更改預設憑證來保護您的工作和家庭 WiFi。 另外,使用公共 WiFi 時要特別小心。 使用 VPN 來保護您的流量,並且僅在絕對必要時才透過公共 WiFi 登入您的網站。
網站安全威脅#9:供應鏈攻擊
供應鏈攻擊是指攻擊者透過第三方軟體滲透網站。 例如,當有人入侵與許多網站整合的 SaaS 產品,然後在此過程中獲得對這些網站的存取權時。
近年來,我們在 WordPress 中看到了供應鏈攻擊。 在一種情況下,攻擊者故意在插件中註入惡意程式碼。 還有一次,他們闖入了 WordPress 擴充功能的分發伺服器以執行相同的操作。
在大多數情況下,這些攻擊很快就會被發現,並且相關插件已被禁止或修補。 但這仍然是需要注意的事情。
如何預防
防止供應鏈攻擊的最佳方法是遵循在網站上使用外掛程式和第三方程式碼的最佳實踐:
- 僅使用外掛程式和主題等擴充功能的信譽良好的來源
- 將整合保持在最低限度,僅安裝您真正需要的
- 如果所有第三方內容仍然相關,請定期審查您的網站
- 使用活動日誌來發現您網站上發生的可疑行為
遠離網站威脅
安全威脅是每個網站所有者都必須面對的。 它們是在網路上運作的一個不幸的現實。 值得慶幸的是,其中許多問題可以透過實施一些常識性最佳實踐來預防:
- 對您收到的訊息、您點擊的連結以及您下載的附件保持警惕
- 投資防火牆、CDN 和正常運作時間監控
- 使用強密碼,限制使用者能力和登入嘗試,並設定多重身份驗證
- 最大限度地減少網站上插件和主題的數量,並確保從合法來源獲取它們
- 作為開發人員,清理和驗證您的數據
- 讓您的網站及其所屬的所有內容保持最新
- 使用 HTTPS 加密您網站的流量
- 制定備份解決方案,以防出現問題
- 不要在不安全的網路中輸入敏感訊息
遵循這些應該足以保護您免受大多數常見網站安全威脅。 保持警惕!
您建議採取哪些其他方法來保護您的網站免受安全威脅? 在下面的評論中分享您的想法!