Michael Fisher
0 
3207
1011
Если бы я сказал вам, что есть одно место, куда вы можете прийти, чтобы получить душевное спокойствие, что ваш сайт защищен, вы бы мне поверили? Ну, вы должны, потому что есть. Это называется Detectify.
Я такой владелец сайта, который всегда отрицал это. Это не может случиться со мной. Почему кто-то захочет взломать мой сайт?
Что ж, все эти заблуждения обрушились на мою голову в 2011 году, когда основной файл PHP моей домашней страницы был заменен веб-страницей, объявляющей об успешном взломе сайта. Мало того, что было потрясением осознать, что кто-то фактически заменил файл на моем веб-сервере, но это было очень большим ударом по моей гордости. Какой идиот позволяет взломать его сайт?
Реальность такова, что со временем мой блог на WordPress устарел и становился все более уязвимым для атак, поскольку хакеры искали в интернете поиски старой версии WordPress с известными, не исправленными уязвимостями. Главный провал с моей стороны. Итак, недавно я наконец-то закончил обновлять свой блог на новую тему. Уверенный в том, что мне не о чем беспокоиться в отделе безопасности, я даже не удосужился проверить, есть ли у темы или любого из моих установленных плагинов какие-либо известные проблемы безопасности. Только когда я столкнулся с Detectify, я понял, насколько близок мой блог к тому, чтобы быть атакованным и потенциально взломанным, снова.
Установка Detectify
Несомненно, существуют другие плагины для сканирования безопасности. Сделайте ваш сайт тщательной проверкой безопасности с помощью HackerTarget. Сделайте ваш сайт тщательной проверкой безопасности с помощью HackerTarget. По мере развития интернета и взлома систем, на которых он работает, вы будете думать, что сайты будут взламываться меньше. ! На самом деле все наоборот: проблема номер один лежит не в… вы можете использовать ее на своем сайте, но Detectify очень прост в настройке и использовании даже для новичка. Detectify представляет собой сочетание плагин и веб-сервис. Первый шаг, как это обычно бывает с веб-сервисами - нужно зарегистрироваться.
Следующим шагом является загрузка и установка плагина Detectify. Это довольно простой плагин, но он дает веб-приложению безопасности возможность задействовать каждый аспект вашего блога и анализировать его на предмет недостатков безопасности. Detectify ищет такие вещи, как локальное и удаленное включение файлов, проблемы с DOM или другими межсайтовыми сценариями, проблемы с путями в массивах PHP, удаленное выполнение команд и многое другое. Вы можете увидеть все уязвимости, которые ищет Detectify на странице плагина.
После того, как вы зарегистрировались в сервисе и установили плагин, последним шагом будет подтверждение вашей установки, введя ключ подтверждения, который вы получите по электронной почте, в поле в плагине. Тогда вы все связаны и готовы к работе.
Выполнение сканирования Detectify
Как только ваш сайт будет связан, вы увидите его в списке доступных доменов в вашей онлайн-учетной записи Detectify. Вы можете зарегистрироваться для сканирования нескольких доменов, если хотите.
Когда вы будете готовы запустить сканирование уязвимостей вашего сайта, просто нажмите кнопку Сканировать и дайте ему выполнить свою работу. Несколько рекомендаций на этом этапе: попробуйте запустить сканирование в то время, когда на вашем сайте меньше всего трафика. Detectify будет сканировать и сканировать файлы на вашем сайте, поэтому из-за этой обработки произойдет небольшое снижение производительности..
Во-вторых, дайте службе время, необходимое для сканирования и сканирования. Это не будет быстрая 30-60 минутная работа, если ваш сайт не будет маленьким. Шансы на блог среднего размера, который вы просматриваете более 6 часов. Для большого блога, еще много.
Лучшим вариантом для большинства людей является запуск сканирования перед сном, и результаты будут ждать вас утром. В моем случае, несмотря на мой бренд, новую блестящую тему и последнюю версию WordPress, я обнаружил, что у меня есть несколько предупреждений, связанных с безопасностью моего блога..
Нажав на кнопку «Отчет», вы попадете на страницу с подробностями сканирования вашего домена..
Понимание результатов сканирования
Первая страница панели инструментов дает вам общее представление о том, сколько файлов было отсканировано, какие типы файлов были отсканированы и сколько времени понадобилось для их сканирования..
Это каждый файл на вашем сервере, поэтому, если у вас много мультимедийных файлов, вам лучше поверить, что сканирование займет много времени. Полученные результаты также детализируют точную разбивку времени сканирования, чтобы вы могли увидеть, какая часть сканирования потребляет больше всего времени обработки. В моем случае тестирование сканирования и эксплуатации составило большую часть времени сканирования.
В отчете также будет представлена история последних выполненных вами проверок с обнаруженными уязвимостями. Когда вы решаете проблемы на своем сайте, вы можете вернуться сюда, чтобы убедиться, что ваши новые просмотры отражают улучшение ситуации с вашим сайтом, а не увеличение числа проблем.
Конечно, лучшая часть Detectify (и весь смысл его использования на самом деле) - это подробный раздел, в котором описываются очень специфические проблемы, обнаруженные на вашем сайте..
Исправление проблем безопасности вашего сайта
Итак, вот что спасло меня. Было несколько предупреждений, которые заставили меня осознать, что на моем сайте остались проблемы, несмотря на тот факт, что я только что обновил все и думал, что у меня высокая и сухость. Одно из первых предупреждений не было слишком серьезным, но было связано с тем, что установка PHP на моем сервере Apache предлагает “Easter Egg 10 Операционная система Fun & Surprising Easter Eggs 10 Операционная система Fun & Surprising Easter Eggs Найдите скрытые веселые и странные вещи, встроенные прямо в используемую вами операционную систему. Они прячутся на простом сайте, в программном обеспечении, которое вы используете каждый день, и когда вы их найдете, вы будете в восторге… ” это могло бы позволить потенциальным хакерам определить, какая версия PHP запущена, проверив, какая иконка отображается, когда код пасхального яйца добавляется к URL моего сайта..
Я по незнанию позволил раскрыть версию PHP, которая также показывает хакерам, где искать уязвимости, которые можно использовать для взлома моего сайта. Я не был очень рад видеть это (я понятия не имел об этих кодах пасхального яйца).
Хорошая особенность отчета Detectify заключается в том, что даже если вы не являетесь веб-дизайнером или программистом, объяснение проблемы и рекомендуемое решение достаточно просты, чтобы понять, что вы можете легко исправить большинство обнаруженных проблем самостоятельно..
Detectify обнаружил вторую уязвимость, связанную с тем, что я оставил постоянную ссылку «Имя пользователя» в WordPress для перечисления значений, позволяя хакерам легко извлекать пользовательские ссылки и использовать алгоритмы взлома паролей для обнаружения учетной записи со слабым паролем..
Третья уязвимость, обнаруженная Detectify, была связана со старым плагином, который я установил на сайте, и уязвимостью библиотеки JavaScript, спрятанной глубоко внутри одной из демонстрационных папок внутри этого плагина. Я понятия не имел, что эта папка даже существует на сервере - но там она была, уязвимость, просто ожидающая, что какой-нибудь хакер придет и воспользуется.
И там я думал, что стою с непроницаемым сайтом. Опять же, Detectify предоставил очень четкие и простые для понимания решения для каждого предупреждения об уязвимости.
Вопросы информационной безопасности
Detectify делает шаг вперед в обеспечении безопасности, предоставляя вам проблемы информационной безопасности на вашем сайте. Это в основном очень незначительные проблемы, которые не являются проблемами безопасности, но могут быть способом, с помощью которого хакеры могут получить больше информации о вашем веб-сайте, предоставляя им инструменты исследования, чтобы найти известные уязвимости в том, что вы установили на своем веб-сервере..
Вы можете исправить это, если вы действительно приверженец безопасности, но большинство из них просто рекомендации. Вы не находитесь в серьезной опасности, если вы решите отказаться от большинства из них.
Я заметил, что эти результаты даже включали тот факт, что сканер смог обнаружить адреса электронной почты в виде простого текста на моем сайте. Он даже включал в себя список всех найденных адресов - в основном из старых комментариев.
Что было удивительно, так это то, что на протяжении многих лет я думал, что заблокировал все публикации адресов электронной почты на сайте. Detectify посоветовал мне иное, и перечислил каждый обнаруженный адрес электронной почты.
Мог ли мой сайт быть взломан, если бы я не использовал Detectify и не исправил эти предупреждения? Возможно. Это то, что касается безопасности сайта. Вы можете подумать, что проблемы, которые существуют на вашем сервере, не являются “серьезный” достаточно, чтобы тратить ваше время и энергию, но все, что нужно, - это один находчивый и мотивированный хакер, чтобы исследовать эту дыру в безопасности, а затем потратить время на ее использование..
Когда вы тратите бесчисленные часы на создание веб-сайта Как создать свой собственный веб-сайт за считанные минуты без каких-либо навыков кодирования Как создать свой собственный веб-сайт за считанные минуты без каких-либо навыков кодирования По мере роста сети, и это происходит невероятно быстро, потребность в присутствие в сети становится все более актуальным. Во многих частях мира вам просто необходимо иметь присутствие в Интернете для того, чтобы… что вы любили, и вкладывать неоправданно большие суммы денег на веб-хостинг и другие расходы на веб-сайт. Последнее, что вам нужно, - это какой-то слизистый хакер, уничтожающий все, что у вас когда-либо было. встроенный. Итак, установите Detectify. Сканирование вашего сайта. Решите эти проблемы. Поверьте мне, вы будете рады, что сделали. Я знаю я.