Reklama
Gdybym ci powiedział, że jest jedno miejsce, w którym możesz się upewnić, że witryna jest bezpieczna, uwierzyłbyś mi? Powinieneś, bo jest. To jest nazwane Wykryj.
Jestem rodzajem właściciela witryny, który zawsze był w stanie zaprzeczać. To mi się nie przydarza. Dlaczego ktokolwiek miałby chcieć zhakować moją stronę?
Cóż, wszystkie te złudzenia zawaliły się wokół mojej głowy w 2011 roku, kiedy główny plik PHP mojej strony głównej został zastąpiony stroną internetową informującą o tym, że witryna została pomyślnie zhakowana. Wstrząs nie tylko uświadomił sobie, że ktoś rzeczywiście zastąpił plik na moim serwerze internetowym, ale był to bardzo duży cios dla mojej dumy. Jaki idiota pozwala na włamanie się na jego stronę internetową?
W rzeczywistości mój blog WordPress z czasem stał się przestarzały i coraz bardziej narażony na ataki gdy hakerzy przeszukali Internet w poszukiwaniu starszej wersji WordPressa ze znaną, niezałataną podatności. Poważna porażka z mojej strony. Niedawno w końcu skończyłem aktualizować mojego bloga do nowego, charakterystycznego dla marki motywu. Przekonany, że nie miałem się czym martwić w dziale bezpieczeństwa, nawet nie zadałem sobie trudu, by sprawdzić, czy w temacie lub którejkolwiek z zainstalowanych wtyczek występują znane problemy z bezpieczeństwem. Dopiero kiedy natknąłem się na Detectify, zdałem sobie sprawę, jak blisko mojego bloga było atakowanie i potencjalne włamanie,
jeszcze raz.Instalowanie Wykryj
Jasne, są inne wtyczki skanowania bezpieczeństwa Dokładnie sprawdź swoją witrynę internetową za pomocą HackerTargetGdy internet ewoluuje, a systemy, na których działa, stają się coraz trudniejsze do zhakowania, można by pomyśleć, że witryny będą mniej hakowane! W rzeczywistości jest odwrotnie, ponieważ problem numer jeden nie leży w ... Czytaj więcej możesz używać w swojej witrynie, ale Detectify jest tak łatwy w konfiguracji i obsłudze, nawet dla początkujących. Detectify to połączenie wtyczki i usługi internetowej. Pierwszy krok, jak zwykle w przypadku usług sieciowych - musisz się zarejestrować.
Następnym krokiem jest pobranie i instalacja Wykryj wtyczkę. Jest to dość prosta wtyczka, ale daje internetowej aplikacji zabezpieczającej możliwość korzystania z każdego aspektu bloga i analizowania go pod kątem wad bezpieczeństwa. Wykrywanie wyszukiwań takich rzeczy, jak lokalne i zdalne dołączanie plików, DOM lub inne problemy ze skryptami między witrynami, problemy ze ścieżką tablicy PHP, zdalne wykonywanie poleceń i wiele więcej. Wszystkie luki w zabezpieczeniach wykrywanych podczas wyszukiwania można zobaczyć na stronie wtyczki.
Po zarejestrowaniu się w usłudze i zainstalowaniu wtyczki ostatnim krokiem jest potwierdzenie instalacji, wpisując klucz weryfikacyjny otrzymany pocztą e-mail w polu we wtyczce. Wtedy wszyscy jesteście połączeni i gotowi do wdrożenia.
Uruchamianie skanowania wykrywającego
Po połączeniu witryny zobaczysz ją na liście dostępnych domen na Twoim internetowym koncie Detectify. Możesz się zarejestrować, aby skanować wiele domen, jeśli chcesz.
Aby rozpocząć skanowanie w poszukiwaniu luk w witrynie, po prostu kliknij przycisk Skanuj i pozwól mu wykonać swoje zadanie. Kilka zaleceń na tym etapie: spróbuj uruchomić skanowanie w czasie, gdy Twoja witryna ma najmniejszy ruch. Detectify będzie indeksował i skanował pliki w Twojej witrynie, więc wydajność będzie nieco mniejsza z powodu tego przetwarzania.
Po drugie, daj tej usłudze tyle czasu, ile potrzeba, aby wykonać całą operację indeksowania i skanowania. Nie będzie to szybkie 30-60 minutowe zadanie, chyba że Twoja witryna jest kiepska. Szanse dotyczą średniego bloga, na który patrzysz przez ponad 6 godzin. W przypadku dużego bloga wiele innych.
Najlepszą opcją dla większości osób jest uruchomienie skanowania przed pójściem spać, a wyniki będą czekały na ciebie rano. W moim przypadku, pomimo mojej marki, nowego, błyszczącego motywu i najnowszej wersji WordPress, odkryłem, że mam kilka ostrzeżeń związanych z bezpieczeństwem mojego bloga.
Kliknięcie przycisku Zgłoś spowoduje przejście do strony ze szczegółami skanowania dla Twojej domeny.
Zrozumienie wyników skanowania
Pierwsza strona panelu kontrolnego w zasadzie zawiera przegląd liczby skanowanych plików, rodzajów skanowanych plików i czasu ich skanowania.
To każdy plik na serwerze, więc jeśli masz dużo plików multimedialnych, lepiej uwierzyć, że skanowanie zajmie dużo czasu. Zgłoszone wyniki wyszczególniają również dokładny podział czasu skanowania, dzięki czemu można zobaczyć, która część skanowania pochłonęła najwięcej czasu przetwarzania. W moim przypadku Czołgać się Jak zbudować podstawowy przeszukiwacz sieci, aby pobierać informacje ze strony internetowejCzy kiedykolwiek chciałeś przechwytywać informacje ze strony internetowej? Oto jak napisać robota, aby poruszać się po witrynie i wyodrębnić to, czego potrzebujesz. Czytaj więcej a testy eksploatacyjne stanowiły większość czasu skanowania.
Raport zawiera także historię ostatnich wykonanych skanów, z wykrytymi lukami w zabezpieczeniach. Po naprawieniu problemów w witrynie możesz wrócić tutaj, aby upewnić się, że nowe skany odzwierciedlają poprawę sytuacji w witrynie, a nie rosnącą liczbę problemów.
Oczywiście najlepszą częścią Detectify (i cały sens korzystania z niego naprawdę) jest sekcja szczegółów, która opisuje bardzo konkretne problemy, które zostały wykryte w Twojej witrynie.
Naprawianie problemów z bezpieczeństwem witryny
Oto rzecz, która mnie uratowała. Było kilka ostrzeżeń, które uświadomiły mi, że moja witryna ma problemy z utrzymaniem się, mimo że właśnie uaktualniłam wszystko i pomyślałam, że jestem wysoka i sucha. Jedno z pierwszych ostrzeżeń nie było zbyt poważne, ale było związane z faktem, że instalacja PHP na moim serwerze Apache oferuje „Jajko wielkanocne 10 zabawnych i zaskakujących systemów operacyjnych PisankiZnajdź ukrytą wesołość i inne dziwne rzeczy, wbudowane bezpośrednio w używany system operacyjny. Ukrywają się na zwykłej stronie, w oprogramowaniu, którego używasz na co dzień, a kiedy je znajdziesz, będziesz zachwycony - ... Czytaj więcej ”, Które mogłyby pozwolić potencjalnym hakerom na określenie, którą wersję PHP prowadzę, poprzez sprawdzenie, która ikona wyświetla się, gdy do adresu URL mojej witryny jest dołączany kod Easter Egg.
Nieświadomie pozwalałem na ujawnienie wersji PHP, która ujawnia również hakerom, gdzie szukać luk w zabezpieczeniach, które można wykorzystać do włamania się na moją stronę. Nie bardzo mnie to cieszyło (nie miałem pojęcia o kodach pisanek).
Zaletą raportu Detectify jest to, że nawet jeśli nie jesteś projektantem stron internetowych ani programistą, wyjaśnienie problem, a zalecane rozwiązanie jest wystarczająco łatwe, aby zrozumieć, że można łatwo naprawić większość odkrytych problemów siebie.
Detectify odkrył drugą lukę związaną z tym, jak zostawiłem bezpośredni login w WordPress w celu wyliczenia wartości, umożliwiając hakerzy to łatwy sposób na odsysanie linków użytkowników i przeprowadzanie algorytmów hakowania haseł w celu wykrycia konta ze słabym hasłem.
Trzecia luka, którą wykryła aplikacja Detectify, była związana ze starą wtyczką, którą zainstalowałem na witryny, a także luka w bibliotece JavaScript ukryta głęboko w jednym z folderów demonstracyjnych podłącz. Nie miałem absolutnie pojęcia, że ten folder istniał nawet na serwerze - ale tam była luka, która czekała, aż jakiś haker pojawi się i wykorzysta.
I tam myślałem, że stoję mocno z nieprzeniknioną stroną internetową. Ponownie firma Detectify zapewniła bardzo jasne i łatwe do zrozumienia rozwiązania każdego ostrzeżenia o usterce.
Problemy bezpieczeństwa informacyjnego
Detectify przenosi bezpieczeństwo o krok dalej, dostarczając informacji na temat problemów związanych z bezpieczeństwem w Twojej witrynie. Są to głównie bardzo drobne problemy, które nie są dokładnie problemami z bezpieczeństwem, ale mogą być sposobem, w jaki hakerzy mogą uzyskać więcej informacje na temat Twojej witryny, udostępniając im narzędzia badawcze w celu znalezienia znanych luk w zabezpieczeniach zainstalowanych na Twoim komputerze serwer internetowy.
Możesz to naprawić, jeśli jesteś prawdziwym zwolennikiem bezpieczeństwa, ale większość z nich to tylko rekomendacje. Nie grozi ci poważne niebezpieczeństwo, jeśli zdecydujesz się zrezygnować z większości z nich.
Zauważyłem, że te wyniki obejmowały nawet fakt, że robot mógł wykryć adresy e-mail w postaci zwykłego tekstu w mojej witrynie. Zawierała nawet listę wszystkich znalezionych adresów - głównie pobranych ze starych komentarzy.
Niesamowite jest to, że przez lata myślałem, że blokowałem wszystkie wysyłanie adresów e-mail na stronę. Detectify doradził mi inaczej i wymieniał każdy odkryty adres e-mail.
Czy moja witryna mogła zostać zaatakowana przez hakerów, jeśli nie użyłem funkcji Wykryj i nie poprawiłem tych ostrzeżeń? Możliwie. To jest kwestia bezpieczeństwa witryny. Możesz myśleć, że problemy, które występują na twoim serwerze, nie są „wystarczająco poważne”, aby uzasadnić twój czas i energię, ale wszystkie potrzeba jednego pomysłowego i zmotywowanego hakera do zbadania tej dziury w zabezpieczeniach, a następnie poświęcenia czasu na jej faktyczne wykorzystanie to.
Kiedy spędzasz niezliczone godziny budowanie strony internetowej Jak zbudować własną stronę internetową w kilka minut bez żadnych umiejętności kodowaniaGdy sieć rośnie i robi to oszałamiająco szybko, potrzeba obecności w sieci staje się coraz bardziej paląca. W wielu częściach świata wystarczy obecność w Internecie, aby ... Czytaj więcej że kochasz i inwestujesz bezbożne pieniądze w hosting i inne wydatki na stronie, ostatnią rzeczą, jakiej potrzebujesz, jest jakiś oślizgły haker niszczący wszystko, co kiedykolwiek zbudowałeś. Więc zainstaluj Detectify. Przeskanuj swoją stronę. Rozwiąż te problemy. Zaufaj mi, będziesz zadowolony, że to zrobiłeś. Wiem że jestem.
Ryan ma tytuł licencjata z inżynierii elektrycznej. Pracował 13 lat w inżynierii automatyki, 5 lat w IT, a teraz jest inżynierem aplikacji. Były redaktor naczelny MakeUseOf, przemawiał na krajowych konferencjach dotyczących wizualizacji danych i był prezentowany w krajowej telewizji i radiu.
