Werbung
Da sich das Internet weiterentwickelt und die Systeme, auf denen es ausgeführt wird, schwieriger zu hacken sind, könnte man meinen, dass Websites weniger gehackt werden! In der Tat ist das Gegenteil der Fall, wobei das Hauptproblem nicht in der Software, sondern in der Selbstzufriedenheit des Menschen liegt.
Sobald ein möglicher Hack entdeckt wurde, kann er sich wie ein Lauffeuer in den Hacker-Communities ausbreiten. Daher ist es die absolut beste Verteidigung, Ihre Website auf dem neuesten Stand zu halten und latente Sicherheitslücken zu schließen.
Wie können Sie jedoch feststellen, ob Ihre Website anfällig ist? Hier ist der kostenlose Service HackerTarget.com kommt herein.
Einschränkungen und Anmeldeverwirrungen:
Mit den kostenlosen Konten können Sie bis zu 4 Scans pro Tag ausführen. Die einzige andere Klausel besteht darin, dass Sie bestimmte Scans mit einer kostenlosen E-Mail-Adresse wie Hotmail, Yahoo oder Gmail nicht verwenden können. Der WordPress-Scan ist jedoch für alle verfügbar.
Zweitens müssen Sie sich nicht anmelden. Starten Sie einfach einen Sicherheitsscan (später beschrieben) und Sie erhalten eine automatische E-Mail. Wenn Sie den Dienst zum ersten Mal nutzen, enthält diese E-Mail einen Link zur Bestätigung Ihrer E-Mail-Adresse. Nachdem Sie auf diesen Link geklickt haben, müssen Sie erneut einen Scan starten. Es ist ein bisschen verwirrend, aber wir sind alle Erwachsene, also bin ich sicher, dass wir darüber hinwegkommen werden.
Welche Art von Scans können Sie durchführen:
Dieser erstaunliche Service bietet tatsächlich eine umfassende Suite von Sicherheitsscans:
- WordPress / Drupal / Joomla
- Domain Profiling
- WhatWeb Scan
- BlindElephant Fingerprinting
- Nikto Server Scan
- SQL Injection Test
- OpenVAS Vulnerability Scan
- Nmap Port Scanner
Wir haben nicht genügend Platz, um den gesamten Scan zu bearbeiten. Daher werde ich heute einen Blick auf den WordPress-Sicherheitsscan, OpenVas und den SQL-Injection-Test werfen.
WordPress-Sicherheitsscan:
Nach Abschluss Ihres automatisierten WordPress-Scans erhalten Sie einen übersichtlichen Bericht. Schauen wir uns an, was es Ihnen sagt:
Site Info
Dies zeigt die grundlegenden Serverversionen sowie Ihre WordPress-Version an, wenn sie diese finden kann. Außerdem erfahren Sie, ob Ihr WordPress veraltet ist. Dies ist wichtig, da Sicherheitslücken in älteren Versionen gefunden werden und das Ausführen automatisierter Scans wie dieser so einfach ist, dass Sie schnell das Ziel eines Hacks finden können.
Site-Links und Skripte
Dies zeigt einen Bericht über externe Links auf Ihrer Website sowie über Malware, die möglicherweise in Ihre Website eingeschleust wurde Seite (oder in Ihr Thema integriert!) - Überprüfen Sie die Liste und suchen Sie nach Informationen, die Sie nicht sofort erhalten erkenne.
Hosting-Informationen
Im letzten Abschnitt werden einige grundlegende Informationen zu Ihrem Host sowie zu anderen Websites aufgeführt, die dieselbe IP-Adresse wie Ihre haben.
SQL Injection Test:
So ziemlich alles aktuelle Hacks Sony Pictures Online gehackt mit "primitiver und allgemeiner" Sicherheitslücke, Daten unverschlüsselt [News]Am Donnerstagabend gab die Hacker-Gruppe "LulzSec" via Twitter bekannt, dass sie Zugriff auf SonyPictures.com erhalten und über 1 Million Konten, Passwörter und vertrauliche Benutzerinformationen gestohlen haben. Kurz nachdem die Nachricht bekannt wurde, wurden Kopien der ... Weiterlesen Sie haben in den Nachrichten von der berüchtigten Sicherheitsgruppe Lulzsec gehört, dass sie mithilfe eines SQL-Injection-Angriffs ausgeführt wurden. Grundsätzlich bedeutet dies, dass SQL-Befehle direkt auf dem Server ausgeführt werden können, indem die URL-Parameter angepasst oder in ein Suchfeld eingegeben werden. Es funktioniert, weil viele Systeme nicht überprüfen, was ihnen gegeben wurde, sondern es einfach direkt einlesen. XKCD erklärt dies besser!
Mit etwas Glück ist der E-Mail-Bericht, den Sie von einem SQL-Injektionstest erhalten, kurz und bündig und besagt, dass keine Sicherheitslücken gefunden wurden. WordPress hat sich im Laufe der Jahre als anfällig erwiesen, aber diese werden normalerweise gepatcht, sobald sie gefunden werden - die Lektion ist also wie immer IMMER AKTUALISIERT.
OpenVAS IP Scanner:
Diese ist möglicherweise interessanter für Ihre private IP-Adresse (die Sie unter finden können) whatismyipaddress.com), da es sich im Grunde um einen Port-Scanner handelt. Es werden alle für die Welt offenen Ports aufgelistet, die dann nur ein weiterer Zugangsweg für einen Hacker sind, um Ihren PC zu erreichen. Sobald ein Hacker weiß, welche Ports geöffnet sind und wofür sie verwendet werden, kann er nacheinander die einzelnen Ports testen, um Schwachstellen zu finden. Wenn Sie es auf Ihrer privaten IP-Adresse ausführen, finden Sie möglicherweise sogar einige unerwünschte Prozesse, die heimlich Spam-E-Mails versenden.
Ich hoffe, Sie probieren einige dieser unglaublichen kostenlosen Scans aus, insbesondere wenn Sie einen Blog betreiben und in Bezug auf die gesamte Sicherheitssache relativ ahnungslos sind. Ich würde sagen, hier zurück zu posten, wenn Sie alarmierende Ergebnisse erhalten, aber das könnte Sie zu einem Ziel machen - also am besten anonym posten und Ihre Webadresse weglassen! Kennen Sie ähnliche benutzerfreundliche, kostenlose Online-Tools (und vertrauenswürdige Tools), um diese Scans durchzuführen? Teilen Sie dieses Wissen!
Bildnachweis: ShutterStock
James hat einen BSc in künstlicher Intelligenz und ist CompTIA A + und Network + zertifiziert. Er ist der Hauptentwickler von MakeUseOf und verbringt seine Freizeit mit VR-Paintball und Brettspielen. Er baut seit seiner Kindheit PCs.
