Reklame
Hvis jeg fortalte dig, at der er et sted, du kan gå for at få ro i sindet, at dit websted er sikkert, ville du tro mig? Det skal du godt, fordi der er. Det hedder Detectify.
Jeg er den slags websteejer, der altid har været i benægtelse. Det kan ikke ske med mig. Hvorfor vil nogen nogensinde have lyst til at hacke mit websted?
Nå, alle disse vrangforestillinger kom ned rundt om mit hoved i 2011, da den vigtigste PHP-fil på min hjemmeside blev erstattet med en webside, der annoncerede, at webstedet var blevet hacket med succes. Ikke kun var det et chok at indse, at nogen faktisk havde erstattet en fil på min webserver, men det var et meget stort slag for min stolthed. Hvilken form for idiot giver hans websted mulighed for at blive hacket?
Virkeligheden er, at min WordPress-blog over tid var blevet forældet og mere og mere sårbar over for angreb da hackere skurede internettet på jagt efter ældre version af WordPress med kendt, ikke-sendt sårbarheder. Major mislykkes fra min side. Så for nylig er jeg endelig færdig med at opdatere min blog til et helt nyt tema. Selvom jeg var overbevist om, at jeg ikke havde noget at bekymre mig om i sikkerhedsafdelingen, gider jeg ikke engang at kontrollere, om tematikken eller et af mine installerede plugins havde kendte sikkerhedsproblemer. Det var ikke før jeg kom på Detectify, at jeg indså, hvor tæt min blog var på at blive angrebet og potentielt hacket,
endnu engang.Installation af Detectify
Ja, der er andre plugins til sikkerhedsscanning Giv dit websted en grundig sikkerhedskontrol med HackerTargetEfterhånden som internettet udvikler sig, og systemerne, det kører på, bliver sværere at hacke, ville du tro, websteder ville blive hacket mindre! Det modsatte er faktisk sandt, idet det største problem ikke ligger i ... Læs mere du kan bruge på dit websted, men Detectify er lige så let at konfigurere og bruge, selv for en begynder. Detectify er en kombination af plugin og webservice. Det første trin, som normalt er tilfældet med webservices - du skal tilmelde dig.
Det næste trin er at downloade og installere Registrer plugin. Dette er en temmelig enkel plugin, men det giver den webbaserede sikkerhedsapp mulighed for at udnytte alle aspekter af din blog og analysere den for sikkerhedsfejl. Registrer søgninger efter ting som lokal og ekstern inkludering af filer, DOM eller andre scriptingsproblemer på tværs af websteder, PHP-array-sti-problemer, eksekvering af fjernkommando og meget mere. Du kan se alle de sårbarheder, der registrerer søgninger efter på pluginsiden.
Når du har tilmeldt dig tjenesten og plugin er installeret, er det sidste trin at bekræfte din installation ved at indtaste den bekræftelsesnøgle, du modtager via e-mail, i feltet i plugin. Så er I alle sammenkoblet og klar til at rulle.
Kørsel af en Detectify Scan
Når dit websted er linket, kan du se det vises på din liste over tilgængelige domæner på din online detectify-konto. Du kan tilmelde dig at scanne flere domæner, hvis du vil.
Når du er klar til at starte dit websteds sårbarhedsscanning, skal du bare klikke på knappen Scan og lade det gøre sit job. Et par anbefalinger på dette trin: prøv at køre scanningen i et tidsrum, hvor dit websted har mindst trafik. Detectify vil gennemgå og scanne filer på dit websted, så der vil være en lille smule præstationshit på grund af denne behandling.
For det andet skal du give tjenesten den tid, den har brug for til at gennemføre alt dette gennemgang og scanning. Det kommer ikke til at være et hurtigt 30-60 minutters job, medmindre dit websted er ubetydelig. Odds er til en mellemstor blog, du ser på over 6 timer. For en stor blog, mange flere.
Den bedste mulighed for de fleste er at starte scanningen, før du går i seng, og du får resultaterne, der venter på dig om morgenen. På trods af mit brand, skinnende nyt tema og kører den nyeste version af WordPress, opdagede jeg i mit tilfælde, at jeg havde flere advarsler relateret til sikkerheden på min blog.
Klik på knappen Rapport fører dig til siden med scanningsdetaljerne for dit domæne.
Forstå dine scanningsresultater
Den første side med dashboard giver dybest set en oversigt over, hvor mange filer der blev scannet, hvilke typer filer, der blev scannet, og hvor lang tid det tog at scanne dem.
Det er hver enkelt fil på din server, så hvis du har en masse mediefiler, skal du tro, at scanningen vil tage lang tid. De rapporterede resultater specificerer også den nøjagtige fordeling af scanningstiden, så du kan se, hvilken del af scanningen der forbrugte den mest behandlingstid. I mit tilfælde Gennemgang Sådan bygges en grundlæggende webcrawler til at trække oplysninger fra et webstedHar du nogensinde ønsket at indhente oplysninger fra et websted? Sådan skriver du en crawler for at navigere på et websted og udpakke det, du har brug for. Læs mere og udnyttelsestest udgør hovedparten af scanningstiden.
Rapporten giver dig også en historie med de sidste scanninger, du har kørt, med opdagede sårbarheder. Når du løser problemer på dit websted, kan du vende tilbage hit for at sikre dig, at dine nye scanninger afspejler en forbedret situation med dit websted, snarere end et stigende antal problemer.
Naturligvis er den bedste del af Detectify (og hele pointen med at bruge det virkelig) detaljsektion, der skitserer meget specifikke problemer, der blev opdaget på dit websted.
Rettelse af dit websteds sikkerhedsproblemer
Så her er det, der reddede mig. Der var et par advarsler, der fik mig til at indse, at mit websted havde langvarige problemer trods det faktum, at jeg lige havde opgraderet alt og troede, at jeg var høj og tør. En af de første advarsler var ikke for alvorlige, men var relateret til det faktum, at PHP-installationen på min Apache-server tilbyder en "Påskeæg 10 sjovt og overraskende operativsystem påskeægFind skjult morsomhed og ellers underlige ting, indbygget lige i det operativsystem, du bruger. De gemmer sig på almindeligt sted, i software, du bruger hver dag, og når du finder dem, vil du være glad - ... Læs mere ”Der kunne give hackere til at identificere, hvilken version af PHP jeg kører ved at kontrollere, hvilket ikon der vises, når ikonet Påskeæg-kode føjes til min websteds URL.
Jeg lod ubevidst tillade, at PHP-versionen blev afsløret, hvilket også afslører for hackere, hvor man kan jage efter sårbarheder, der kan bruges til at hacke ind på mit sted. Jeg var ikke meget glad for at se dette (jeg havde ingen idé om disse påskeægskoder).
Det fine ved Detectify-rapporten er, at selvom du ikke er en web-designer eller -programmør, er forklaringen på problem, og den anbefalede løsning er let nok til at forstå, at du let kunne løse de fleste af de opdagede problemer dig selv.
Detectify opdagede en anden sårbarhed relateret til hvordan jeg havde efterladt brugernavnet permalink på WordPress for at opregne værdier, hvilket tillader hackere en nem måde at filtrere ud af brugerlink og køre gennem adgangskodehackealgoritmer for at afsløre en konto med en svag adgangskode.
En tredje sårbarhed, som Detectify fandt, var relateret til et gammelt plugin, som jeg havde installeret på site og et JavaScript-bibliotekssårbarhed begravet dybt inde i en af demomapperne inde i det plugin. Jeg havde absolut ingen anelse om, at denne mappe ikke engang eksisterede på serveren - men der var den, en sårbarhed, der bare ventede på, at en hacker skulle komme med og udnytte.
Og der tænkte jeg, at jeg stod stærk med et uigennemtrængeligt websted. Igen leverede Detectify meget klare og let forståelige opløsninger til hver advarsel om sårbarhed.
Problemer med informationssikkerhed
Detectify tager sikkerhed et skridt videre ved at give dig informationssikkerhedsproblemer på dit websted. Dette er for det meste meget mindre problemer, der ikke er nøjagtigt sikkerhedsproblemer, men kan være måder, som hackere kan få mere oplysninger om dit websted, der giver dem forskningsværktøjer til at finde kendte sårbarheder i det, du har installeret på dit Webserver.
Du kan ordne disse, hvis du er en ægte klistermærke for sikkerhed, men de fleste af disse er bare anbefalinger. Du er ikke i alvorlig fare, hvis du beslutter at forlade de fleste af disse.
Jeg bemærkede, at disse resultater endda inkluderede det faktum, at webcrawleren var i stand til at opdage e-mail-adresser i almindelig tekst på mit websted. Det inkluderede endda en liste over alle fundne adresser - hovedsagelig hentet fra gamle kommentarer.
Det, der var forbløffende, er, at jeg gennem årene troede, at jeg havde blokeret al udstationering af e-mail-adresser til webstedet. Detectify rådede mig ellers, og angav hver enkelt e-mail-adresse, der blev opdaget.
Kunne mit websted være hacket, hvis jeg ikke havde brugt Detectify og rettet disse advarsler? Eventuelt. Det er ting ved hjemmesidens sikkerhed. Du tror måske, at de problemer, der findes på din server, ikke er "alvorlige" nok til at garantere din tid og energi, men alt sammen det kræver en ressourcefuld og motiveret hacker at undersøge det sikkerhedshul og derefter tage sig tid til rent faktisk at udnytte det.
Når du bruger utallige timer opbygning af et websted Sådan bygger du dit eget websted i minutter uden kodningsfærdighederNår nettet vokser, og det gør det blændende hurtigt, bliver behovet for en web-tilstedeværelse mere presserende. I mange dele af verden skal du blot have en web-tilstedeværelse for at ... Læs mere som du elsker og investerer ugudelige mængder af kontanter i webhosting og andre webstedudgifter. Den sidste ting, du har brug for, er en slimet hacker, der ødelægger alt, hvad du nogensinde har bygget. Så installer Detectify. Scan dit websted. Løs disse problemer. Tro mig, du vil være glad for, at du gjorde det. Jeg ved jeg er.
Ryan har en BSc-grad i elektroteknik. Han har arbejdet 13 år inden for automatisering, 5 år inden for it, og er nu en applikationsingeniør. En tidligere administrerende redaktør for MakeUseOf, han har talt på nationale konferencer om datavisualisering og har været vist på nationalt tv og radio.
