Werbung
Wenn ich Ihnen sagen würde, dass es einen Ort gibt, an dem Sie sicher sein können, dass Ihre Website sicher ist, würden Sie mir glauben? Nun solltest du, denn es gibt. Es heißt Erkennen.
Ich bin die Art von Website-Eigentümer, die es immer abgelehnt hat. Das kann mir nicht passieren. Warum sollte jemand jemals meine Website hacken wollen?
Nun, all diese Wahnvorstellungen stürzten 2011 um meinen Kopf, als die Haupt-PHP-Datei meiner Homepage durch eine Webseite ersetzt wurde, die ankündigte, dass die Site erfolgreich gehackt wurde. Es war nicht nur ein Schock zu erkennen, dass jemand tatsächlich eine Datei auf meinem Webserver ersetzt hatte, sondern es war auch ein schwerer Schlag für meinen Stolz. Was für ein Idiot erlaubt es seiner Website, gehackt zu werden?
Die Realität ist, dass mein WordPress-Blog im Laufe der Zeit veraltet und zunehmend anfällig für Angriffe war als Hacker das Internet nach älteren Versionen von WordPress mit bekannten, ungepatchten durchsuchten Schwachstellen. Major scheitert meinerseits. Vor kurzem habe ich endlich die Aktualisierung meines Blogs auf ein brandneues Thema abgeschlossen. Zuversichtlich, dass ich mir in der Sicherheitsabteilung keine Sorgen machen musste, habe ich mich nicht einmal darum gekümmert, zu überprüfen, ob das Thema oder eines meiner installierten Plugins bekannte Sicherheitsprobleme aufweist. Erst als ich auf Detectify stieß, wurde mir klar, wie nahe mein Blog daran war, angegriffen und möglicherweise gehackt zu werden.
Noch einmal.Detectify installieren
Klar, es gibt noch andere Sicherheits-Scan-Plugins Geben Sie Ihrer Website mit HackerTarget eine gründliche SicherheitsüberprüfungDa sich das Internet weiterentwickelt und die Systeme, auf denen es ausgeführt wird, schwieriger zu hacken sind, könnte man meinen, dass Websites weniger gehackt werden! In der Tat ist das Gegenteil der Fall, wobei das Hauptproblem nicht in ... Weiterlesen Sie können es auf Ihrer Website verwenden, aber Detectify ist selbst für Anfänger so einfach einzurichten und zu verwenden. Detectify ist eine Kombination aus Plugin und Webdienst. Der erste Schritt, wie es normalerweise bei Webdiensten der Fall ist, ist die Anmeldung.
Der nächste Schritt ist das Herunterladen und Installieren des Plugin erkennen. Dies ist ein ziemlich einfaches Plugin, aber es gibt der webbasierten Sicherheits-App die Möglichkeit, jeden Aspekt Ihres Blogs zu nutzen und auf Sicherheitslücken zu analysieren. Erkennen Sie Suchvorgänge nach lokalen und Remote-Dateien, DOM- oder anderen Cross-Site-Scripting-Problemen, Problemen mit dem PHP-Array-Pfad, Remote-Befehlsausführung und vielem mehr. Sie können alle Schwachstellen, nach denen Detectify sucht, auf der Plugin-Seite sehen.
Nachdem Sie sich für den Dienst angemeldet und das Plugin installiert haben, müssen Sie im letzten Schritt Ihre Installation bestätigen, indem Sie den Bestätigungsschlüssel, den Sie per E-Mail erhalten, in das Feld im Plugin eingeben. Dann sind Sie alle verbunden und bereit zu rollen.
Ausführen eines Erkennungsscans
Sobald Ihre Website verlinkt ist, wird sie in Ihrer Liste der verfügbaren Domains in Ihrem Online-Detectify-Konto angezeigt. Sie können sich anmelden, um mehrere Domains zu scannen, wenn Sie möchten.
Wenn Sie bereit sind, den Schwachstellen-Scan Ihrer Website zu starten, klicken Sie einfach auf die Schaltfläche "Scannen" und lassen Sie ihn seine Aufgabe erledigen. Einige Empfehlungen zu diesem Zeitpunkt: Versuchen Sie, den Scan in einer Zeit auszuführen, in der Ihre Site am wenigsten Verkehr hat. Bei Detectify werden Dateien auf Ihrer Site gecrawlt und gescannt, sodass aufgrund dieser Verarbeitung ein kleiner Leistungseinbruch auftritt.
Geben Sie dem Dienst zweitens die Zeit, die er für all das Crawlen und Scannen benötigt. Es wird keine schnelle 30-60-minütige Arbeit sein, es sei denn, Ihre Website ist mickrig. Die Chancen stehen für ein mittelgroßes Blog, das Sie sich über 6 Stunden ansehen. Für einen großen Blog noch viel mehr.
Die beste Option für die meisten Menschen besteht darin, den Scan vor dem Schlafengehen zu starten. Die Ergebnisse warten am Morgen auf Sie. In meinem Fall stellte ich trotz meiner Marke, des glänzenden neuen Themas und der Ausführung der neuesten Version von WordPress fest, dass ich mehrere Warnungen bezüglich der Sicherheit meines Blogs hatte.
Durch Klicken auf die Schaltfläche Bericht gelangen Sie zu der Seite mit den Scan-Details für Ihre Domain.
Grundlegendes zu Ihren Scanergebnissen
Die erste Dashboard-Seite gibt Ihnen im Wesentlichen einen Überblick darüber, wie viele Dateien gescannt wurden, welche Arten von Dateien gescannt wurden und wie lange das Scannen gedauert hat.
Das ist jede einzelne Datei auf Ihrem Server. Wenn Sie also viele Mediendateien haben, sollten Sie besser glauben, dass der Scan lange dauern wird. In den gemeldeten Ergebnissen ist auch die genaue Aufschlüsselung der Scan-Zeit aufgeführt, sodass Sie sehen können, welcher Teil des Scans die meiste Verarbeitungszeit in Anspruch genommen hat. In meinem Fall Krabbeln Erstellen eines einfachen Webcrawlers zum Abrufen von Informationen von einer WebsiteWollten Sie schon immer Informationen von einer Website erfassen? Hier erfahren Sie, wie Sie einen Crawler schreiben, um auf einer Website zu navigieren und das zu extrahieren, was Sie benötigen. Weiterlesen und Ausnutzungstests machten den größten Teil der Scanzeit aus.
Der Bericht enthält auch einen Verlauf der zuletzt durchgeführten Scans mit entdeckten Sicherheitslücken. Wenn Sie Probleme auf Ihrer Website beheben, können Sie hierher zurückkehren, um sicherzustellen, dass Ihre neuen Scans eine sich verbessernde Situation auf Ihrer Website widerspiegeln und nicht eine zunehmende Anzahl von Problemen.
Der beste Teil von Detectify (und der eigentliche Sinn der Verwendung) ist natürlich der Detailabschnitt, in dem sehr spezifische Probleme beschrieben werden, die auf Ihrer Website entdeckt wurden.
Beheben der Sicherheitsprobleme Ihrer Site
Hier ist also die Sache, die mich gerettet hat. Es gab ein paar Warnungen, die mir klar machten, dass meine Website nach wie vor Probleme hatte, obwohl ich gerade alles aktualisiert hatte und dachte, ich sei hoch und trocken. Eine der ersten Warnungen war nicht allzu ernst, bezog sich jedoch auf die Tatsache, dass die PHP-Installation auf meinem Apache-Server eine "Osterei 10 lustige und überraschende Betriebssysteme OstereierFinden Sie versteckte Heiterkeit und ansonsten seltsame Dinge, die direkt in das von Ihnen verwendete Betriebssystem integriert sind. Sie verstecken sich auf einfachen Websites, in Software, die Sie jeden Tag verwenden, und wenn Sie sie finden, werden Sie begeistert sein. Weiterlesen Dies könnte potenziellen Hackern ermöglichen, zu identifizieren, welche Version von PHP ich verwende, indem sie überprüfen, welches Symbol angezeigt wird, wenn der Symbol-Osterei-Code an meine Website-URL angehängt wird.
Ich habe unwissentlich zugelassen, dass die PHP-Version enthüllt wird, was auch Hackern zeigt, wo sie nach Schwachstellen suchen können, die zum Hacken in meine Website verwendet werden können. Ich war nicht sehr glücklich darüber (ich hatte keine Ahnung von diesen Osterei-Codes).
Das Schöne am Detectify-Bericht ist, dass selbst wenn Sie kein Webdesigner oder Programmierer sind, die Erklärung des Problem und die empfohlene Lösung ist leicht zu verstehen, dass Sie die meisten der entdeckten Probleme leicht beheben können du selber.
Detectify hat eine zweite Sicherheitslücke entdeckt, die damit zusammenhängt, wie ich den Benutzernamen-Permalink in WordPress verlassen habe, um Werte aufzulisten Hacker eine einfache Möglichkeit, Benutzerlinks zu entfernen und Kennwort-Hacking-Algorithmen zu verwenden, um ein Konto mit einem schwachen Kennwort aufzudecken.
Eine dritte Sicherheitslücke, die Detectify gefunden hat, betraf ein altes Plugin, das ich auf dem installiert hatte Website und eine Sicherheitsanfälligkeit in der JavaScript-Bibliothek, die tief in einem der darin enthaltenen Demo-Ordner vergraben ist Plugin. Ich hatte absolut keine Ahnung, dass dieser Ordner überhaupt auf dem Server vorhanden war - aber da war es, eine Sicherheitslücke, die nur darauf wartete, dass ein Hacker vorbeikam und sie ausnutzte.
Und da dachte ich, dass ich mit einer undurchdringlichen Website stark bin. Auch hier lieferte Detectify sehr klare und leicht verständliche Lösungen für jede Sicherheitsanfälligkeitswarnung.
Informationssicherheitsprobleme
Detectify geht noch einen Schritt weiter und bietet Ihnen Informationen zur Informationssicherheit auf Ihrer Website. Dies sind meistens sehr kleine Probleme, bei denen es sich nicht genau um Sicherheitsprobleme handelt, sondern um Möglichkeiten, wie Hacker mehr erreichen können Informationen über Ihre Website und Bereitstellung von Recherchetools, um bekannte Schwachstellen in dem zu finden, was Sie auf Ihrer Website installiert haben Webserver.
Sie können diese Probleme beheben, wenn Sie ein echter Sicherheitsfaktor sind. Bei den meisten handelt es sich jedoch nur um Empfehlungen. Sie sind nicht ernsthaft gefährdet, wenn Sie auf die meisten verzichten.
Ich bemerkte, dass diese Ergebnisse sogar die Tatsache beinhalteten, dass der Crawler E-Mail-Adressen auf meiner Website im Klartext erkennen konnte. Es enthielt sogar eine Liste aller gefundenen Adressen - meistens aus alten Kommentaren.
Was erstaunlich war, war, dass ich im Laufe der Jahre dachte, ich hätte alle Posts von E-Mail-Adressen auf der Website blockiert. Detectify hat mich anders beraten und jede einzelne entdeckte E-Mail-Adresse aufgelistet.
Könnte meine Website gehackt worden sein, wenn ich Detectify nicht verwendet und diese Warnungen korrigiert hätte? Möglicherweise. Das ist die Sache mit der Website-Sicherheit. Möglicherweise denken Sie, dass die auf Ihrem Server vorhandenen Probleme nicht "ernst" genug sind, um Ihre Zeit und Energie zu rechtfertigen, sondern alle Es braucht einen einfallsreichen und motivierten Hacker, um diese Sicherheitslücke zu erforschen und sich dann die Zeit zu nehmen, sie tatsächlich auszunutzen es.
Wenn Sie unzählige Stunden verbringen Aufbau einer Website So erstellen Sie Ihre eigene Website in wenigen Minuten ohne ProgrammierkenntnisseDa das Web wächst und es unglaublich schnell ist, wird die Notwendigkeit einer Webpräsenz immer dringlicher. In vielen Teilen der Welt müssen Sie einfach eine Webpräsenz haben, um ... Weiterlesen Das Letzte, was Sie brauchen, ist ein schleimiger Hacker, der alles zerstört, was Sie jemals gebaut haben. Sie lieben es und investieren gottlos viel Geld in Webhosting und andere Website-Ausgaben. Installieren Sie also Detectify. Scannen Sie Ihre Site. Lösen Sie diese Probleme. Vertrau mir, du wirst es nicht bereuen. Ich weiß, ich bin.
Ryan hat einen BSc-Abschluss in Elektrotechnik. Er hat 13 Jahre in der Automatisierungstechnik, 5 Jahre in der IT gearbeitet und ist jetzt Apps Engineer. Als ehemaliger Managing Editor von MakeUseOf sprach er auf nationalen Konferenzen zur Datenvisualisierung und wurde im nationalen Fernsehen und Radio vorgestellt.