Michael Cain
0 
1233
210
Gdybym ci powiedział, że jest jedno miejsce, w którym możesz się upewnić, że witryna jest bezpieczna, uwierzyłbyś mi? Powinieneś, bo jest. To się nazywa Detectify.
Jestem rodzajem właściciela strony internetowej, który zawsze był w stanie zaprzeczać. To nie może mi się przydarzyć. Dlaczego ktokolwiek miałby chcieć zhakować moją stronę?
Cóż, wszystkie te złudzenia zawaliły się wokół mojej głowy w 2011 roku, kiedy główny plik PHP mojej strony głównej został zastąpiony stroną internetową informującą o tym, że witryna została pomyślnie zhakowana. Wstrząs nie tylko uświadomił sobie, że ktoś rzeczywiście zastąpił plik na moim serwerze internetowym, ale był to bardzo duży cios dla mojej dumy. Jaki idiota pozwala na zhakowanie jego strony internetowej?
Rzeczywistość jest taka, że z czasem mój blog WordPress stał się przestarzały i coraz bardziej narażony na ataki, gdy hakerzy przeszukiwali Internet w poszukiwaniu starszej wersji WordPressa ze znanymi, niezałatanymi lukami. Poważna porażka z mojej strony. Niedawno w końcu skończyłem aktualizować mojego bloga do nowego, charakterystycznego dla marki motywu. Przekonany, że nie miałem się czym martwić w dziale bezpieczeństwa, nawet nie zadałem sobie trudu, aby sprawdzić, czy motyw lub którakolwiek z moich zainstalowanych wtyczek ma znane problemy z bezpieczeństwem. Dopiero kiedy natknąłem się na Detectify, zdałem sobie sprawę, jak blisko mojego bloga było atakowanie i potencjalne włamanie, jeszcze raz.
Instalowanie Wykryj
Jasne, istnieją inne wtyczki skanowania bezpieczeństwa Daj swojej stronie dokładną kontrolę bezpieczeństwa za pomocą HackerTarget Daj swojej stronie dokładną kontrolę bezpieczeństwa za pomocą HackerTarget W miarę ewolucji Internetu i systemów, na których działa, trudniej jest się włamać, można by pomyśleć, że strony byłyby mniej atakowane ! W rzeczywistości jest odwrotnie, ponieważ problem numer jeden nie leży w… możesz używać go na swojej stronie, ale Detectify jest tak łatwy w konfiguracji i obsłudze, nawet dla początkujących. Detectify to połączenie wtyczki i usługi internetowej. Pierwszy krok, jak zwykle w przypadku usług sieciowych - musisz się zarejestrować.
Następnym krokiem jest pobranie i zainstalowanie wtyczki Detectify. Jest to dość prosta wtyczka, ale daje internetowej aplikacji bezpieczeństwa możliwość korzystania z każdego aspektu twojego bloga i analizowania go pod kątem błędów bezpieczeństwa. Wykrywanie wyszukiwań takich rzeczy, jak lokalne i zdalne dołączanie plików, DOM lub inne problemy ze skryptami krzyżowymi, problemy ze ścieżką tablicy PHP, zdalne wykonywanie poleceń i wiele więcej. Wszystkie luki w zabezpieczeniach wykrywane podczas wyszukiwania można zobaczyć na stronie wtyczki.
Po zarejestrowaniu się w usłudze i zainstalowaniu wtyczki ostatnim krokiem jest potwierdzenie instalacji, wpisując klucz weryfikacyjny otrzymany pocztą elektroniczną w polu we wtyczce. Wtedy wszyscy jesteście połączeni i gotowi do działania.
Uruchamianie skanowania Detectify
Po połączeniu witryny zobaczysz ją na liście dostępnych domen na Twoim internetowym koncie Detectify. Możesz się zarejestrować, aby skanować wiele domen, jeśli chcesz.
Gdy będziesz gotowy do uruchomienia skanowania w poszukiwaniu luk w witrynie, po prostu kliknij przycisk Skanuj i pozwól mu wykonać swoją pracę. Kilka zaleceń na tym etapie: spróbuj uruchomić skanowanie w czasie, gdy Twoja witryna ma najmniejszy ruch. Detectify będzie indeksować i skanować pliki w Twojej witrynie, więc wydajność będzie nieco mniejsza z powodu tego przetwarzania.
Po drugie, daj tej usłudze tyle czasu, ile potrzeba, aby wykonać całą operację indeksowania i skanowania. Nie będzie to szybka 30-60 minutowa praca, chyba że Twoja witryna jest kiepska. Szanse są na średniej wielkości blog, na który patrzysz przez ponad 6 godzin. W przypadku dużego bloga wiele innych.
Najlepszą opcją dla większości ludzi jest uruchomienie skanowania przed pójściem spać, a wyniki będą czekały na ciebie rano. W moim przypadku, pomimo mojej marki, nowego, błyszczącego motywu i najnowszej wersji WordPress, odkryłem, że mam kilka ostrzeżeń związanych z bezpieczeństwem mojego bloga.
Kliknięcie przycisku Zgłoś spowoduje przejście do strony ze szczegółami skanowania dla Twojej domeny.
Zrozumienie wyników skanowania
Pierwsza strona deski rozdzielczej w zasadzie zawiera przegląd liczby skanowanych plików, rodzajów skanowanych plików i czasu ich skanowania.
To każdy plik na serwerze, więc jeśli masz dużo plików multimedialnych, lepiej uwierzyć, że skanowanie zajmie dużo czasu. Zgłoszone wyniki wyszczególniają również dokładny podział czasu skanowania, dzięki czemu można zobaczyć, która część skanowania pochłonęła najwięcej czasu przetwarzania. W moim przypadku przeszukiwanie i eksploracja stanowiły większość czasu skanowania.
Raport zawiera również historię ostatnich skanowań, które wykonałeś, z wykrytymi podatnościami. Po naprawieniu problemów w witrynie możesz wrócić tutaj, aby upewnić się, że nowe skany odzwierciedlają poprawę sytuacji w witrynie, a nie rosnącą liczbę problemów.
Oczywiście najlepszą częścią Detectify (i cały sens korzystania z niego naprawdę) jest sekcja szczegółów, która opisuje bardzo konkretne problemy, które zostały wykryte w Twojej witrynie.
Naprawianie problemów z bezpieczeństwem witryny
Oto rzecz, która mnie uratowała. Było kilka ostrzeżeń, które uświadomiły mi, że moja witryna ma problemy z utrzymaniem się, mimo że właśnie uaktualniłem wszystko i pomyślałem, że jestem wysoki i suchy. Jedno z pierwszych ostrzeżeń nie było zbyt poważne, ale było związane z faktem, że instalacja PHP na moim serwerze Apache oferuje “Easter Egg 10 Zabawny i zaskakujący system operacyjny Easter Eggs 10 Zabawny i zaskakujący system operacyjny Easter Eggs Znajdź ukrytą wesołość i inne dziwne rzeczy, wbudowane bezpośrednio w używany system operacyjny. Ukrywają się w zwykłej witrynie, w oprogramowaniu, którego używasz na co dzień, a kiedy je znajdziesz, będziesz zachwycony -… ” które mogłyby pozwolić potencjalnym hakerom na określenie, którą wersję PHP prowadzę, poprzez sprawdzenie, która ikona wyświetla się, gdy do adresu URL mojej strony jest dołączany kod Easter Egg.
Nieświadomie pozwalałem na ujawnienie wersji PHP, która ujawnia również hakerom, gdzie szukać luk w zabezpieczeniach, których można użyć do włamania się na moją stronę. Nie bardzo mnie to cieszyło (nie miałem pojęcia o kodach pisanek).
Zaletą raportu Detectify jest to, że nawet jeśli nie jesteś projektantem stron internetowych ani programistą, wyjaśnienie problemu i zalecane rozwiązanie jest wystarczająco łatwe, aby zrozumieć, że możesz łatwo samodzielnie naprawić większość odkrytych problemów.
Detectify odkrył drugą lukę w zabezpieczeniach związaną z tym, jak zostawiłem bezpośredni login w WordPress w celu wyliczenia wartości, umożliwiając hakerom łatwy sposób odsysania linków użytkowników i uruchamiania algorytmów hakowania w celu wykrycia konta ze słabym hasłem.
Trzecia luka, którą wykryła firma Detectify, była związana ze starą wtyczką, którą zainstalowałem na stronie, a luka w bibliotece JavaScript została ukryta głęboko w jednym z folderów demonstracyjnych tej wtyczki. Nie miałem absolutnie pojęcia, że ten folder istniał nawet na serwerze - ale tam była luka, która tylko czeka, aż jakiś haker przyjdzie i wykorzysta.
I pomyślałem, że stoję mocno z nieprzeniknioną stroną internetową. Ponownie firma Detectify zapewniła bardzo jasne i łatwe do zrozumienia rozwiązania każdego ostrzeżenia o usterce.
Problemy bezpieczeństwa informacyjnego
Detectify przenosi bezpieczeństwo o krok dalej, dostarczając informacji o problemach z bezpieczeństwem w Twojej witrynie. Są to głównie bardzo drobne problemy, które nie są dokładnie problemami z bezpieczeństwem, ale mogą być sposobem, w jaki hakerzy mogą uzyskać więcej informacji na temat Twojej witryny, zapewniając im narzędzia badawcze w celu znalezienia znanych luk w zabezpieczeniach zainstalowanych na serwerze sieciowym.
Możesz to naprawić, jeśli jesteś prawdziwym zwolennikiem bezpieczeństwa, ale większość z nich to tylko rekomendacje. Nie grozi ci poważne niebezpieczeństwo, jeśli zdecydujesz się zrezygnować z większości z nich.
Zauważyłem, że te wyniki obejmowały nawet fakt, że robot mógł wykryć adresy e-mail w postaci zwykłego tekstu w mojej witrynie. Zawierała nawet listę wszystkich znalezionych adresów - głównie pobranych ze starych komentarzy.
Niesamowite jest to, że przez lata myślałem, że blokowałem wszystkie wysyłanie adresów e-mail na stronę. Detectify doradził mi inaczej i wymieniał każdy odkryty adres e-mail.
Czy moja witryna mogła zostać zaatakowana przez hakerów, jeśli nie użyłem funkcji Wykryj i nie poprawiłem tych ostrzeżeń? Możliwie. To jest kwestia bezpieczeństwa witryny. Możesz myśleć, że problemy, które istnieją na twoim serwerze, nie są “poważny” wystarczająco dużo, aby uzasadnić swój czas i energię, ale wystarczy jednego zaradnego i zmotywowanego hakera do zbadania dziury w zabezpieczeniach, a następnie poświęcenia czasu na jej faktyczne wykorzystanie.
Kiedy spędzasz niezliczone godziny na budowaniu strony internetowej Jak zbudować własną stronę internetową w kilka minut bez żadnych umiejętności kodowania Jak zbudować własną stronę internetową w kilka minut bez żadnych umiejętności kodowania Wraz z rozwojem sieci, a robi to ona oszałamiająco szybko, potrzeba obecność w sieci staje się coraz bardziej nagląca. W wielu częściach świata po prostu musisz być obecny w Internecie, aby ... kochać i inwestować bezbożne kwoty w hosting i inne wydatki na stronie, ostatnią rzeczą, jakiej potrzebujesz, jest jakiś oślizgły haker niszczący wszystko, co kiedykolwiek wybudowany. Więc zainstaluj Detectify. Przeskanuj swoją stronę. Rozwiąż te problemy. Zaufaj mi, będziesz zadowolony, że to zrobiłeś. wiem że jestem.