Michael Cain
0 
3343
513
Hvis jeg fortalte dig, at der er et sted, du kan gå for at få ro i sindet, at dit websted er sikkert, ville du tro mig? Det skal du godt, fordi der er. Det hedder Detectify.
Jeg er den slags websteejer, der altid har været i benægtelse. Det kan ikke ske med mig. Hvorfor ønsker nogen nogensinde at hacke mit websted?
Nå, alle disse vrangforestillinger kom ned rundt om mit hoved i 2011, da den vigtigste PHP-fil på min hjemmeside blev erstattet med en webside, der annoncerede, at webstedet var blevet hacket med succes. Ikke kun var det et chok at indse, at nogen faktisk havde erstattet en fil på min webserver, men det var et meget stort slag for min stolthed. Hvilken form for idiot giver hans websted mulighed for at blive hacket?
Virkeligheden er, at min WordPress-blog over tid var blevet forældet og mere og mere sårbar over for angreb, da hackere skurede Internettet på jagt efter ældre version af WordPress med kendte, upatchede sårbarheder. Major mislykkes fra min side. Så for nylig er jeg endelig færdig med at opdatere min blog til et splinternyt nyt tema. Selvom jeg var overbevist om, at jeg ikke havde noget at bekymre mig om i sikkerhedsafdelingen, gider jeg ikke engang at kontrollere, om tematikken eller et af mine installerede plugins havde nogen kendte sikkerhedsproblemer. Det var ikke før jeg kom på Detectify, at jeg indså, hvor tæt min blog var på at blive angrebet og potentielt hacket, endnu engang.
Installation af Detectify
Sikker på, der er andre sikkerhedsscannings plugins Giv dit websted en grundig sikkerhedskontrol med HackerTarget Giv dit websted en grundig sikkerhedskontrol med HackerTarget Efterhånden som internettet udvikler sig, og systemerne, det kører på, bliver sværere at hacke, ville du tro, websteder ville blive hacket mindre ! Faktisk er det modsatte sandt, med det største problem ligger ikke ... du kan bruge på dit websted, men Detectify er bare så let at konfigurere og bruge, selv for en nybegynder. Detectify er en kombination af plugin og webservice. Det første trin, som normalt er tilfældet med webservices - du skal tilmelde dig.
Det næste trin er at downloade og installere detectify-plugin. Dette er en temmelig enkel plugin, men det giver den webbaserede sikkerhedsapp mulighed for at udnytte alle aspekter af din blog og analysere den for sikkerhedsfejl. Registrer søgninger efter ting som lokal og ekstern inkludering af filer, DOM eller andre scriptingsproblemer på tværs af websteder, PHP-array-sti-problemer, eksekvering af fjernkommando og meget mere. Du kan se alle de sårbarheder, der registrerer søgninger efter på pluginsiden.
Når du har tilmeldt dig tjenesten og plugin er installeret, er det sidste trin at bekræfte din installation ved at indtaste den verifikationsnøgle, du modtager via e-mail, i feltet i plugin. Så er I alle sammenkoblet og klar til at rulle.
Kørsel af en Detectify Scan
Når dit websted er linket, kan du se det vises på din liste over tilgængelige domæner på din online Detectify-konto. Du kan tilmelde dig at scanne flere domæner, hvis du vil.
Når du er klar til at starte din websides sårbarhedsscanning, skal du bare klikke på knappen Scan og lade det gøre sit job. Et par anbefalinger på dette trin: prøv at køre scanningen i et tidsrum, hvor dit websted har mindst trafik. Detectify vil gennemgå og scanne filer på dit websted, så der vil være en lille smule præstationshit på grund af denne behandling.
For det andet, give tjenesten den tid, den har brug for til at gennemføre alt dette gennemgang og scanning. Det vil ikke være et hurtigt 30-60 minutters job, medmindre dit websted er ubetydelig. Odds er til en mellemstor blog, du ser på over 6 timer. For en stor blog, mange flere.
Den bedste mulighed for de fleste mennesker er at starte scanningen, før du går i seng, og du får resultaterne, der venter på dig om morgenen. På trods af mit brand, skinnende nyt tema og køre den nyeste version af WordPress, opdagede jeg i mit tilfælde, at jeg havde flere advarsler relateret til sikkerheden på min blog.
Klik på knappen Rapport fører dig til siden med scanningsdetaljerne for dit domæne.
Forstå dine scanningsresultater
Den første dashboard-side giver dig dybest set en oversigt over, hvor mange filer der blev scannet, hvilke typer filer, der blev scannet, og hvor lang tid det tog at scanne dem.
Det er hver enkelt fil på din server, så hvis du har en masse mediefiler, skal du tro mere på, at scanningen vil tage lang tid. De rapporterede resultater specificerer også den nøjagtige fordeling af scanningstiden, så du kan se, hvilken del af scanningen der forbrugte den mest behandlingstid. I mit tilfælde udgør test af gennemgang og udnyttelse størstedelen af scanningstiden.
Rapporten giver dig også en historie med de sidste scanninger, du har kørt, med opdagede sårbarheder. Når du løser problemer på dit websted, kan du vende tilbage hit for at sikre dig, at dine nye scanninger afspejler en forbedret situation med dit websted, snarere end et stigende antal problemer.
Naturligvis er den bedste del af Detectify (og hele pointen med at bruge det virkelig) detaljsektionen, der skitserer meget specifikke problemer, der blev opdaget på dit websted.
Rettelse af dit websteds sikkerhedsproblemer
Så her er det, der reddede mig. Der var et par advarsler, der fik mig til at indse, at mit websted havde langvarige problemer trods det faktum, at jeg lige havde opgraderet alt og troede, at jeg var høj og tør. En af de første advarsler var ikke for alvorlig, men var relateret til det faktum, at PHP-installationen på min Apache-server tilbyder en “Easter Egg 10 Fun & Surprising Operating System Easter Eggs 10 Fun & Surprising Operating System Easter Eggs Find skjult morsomhed og ellers underlige ting, indbygget lige i det operativsystem, du bruger. De gemmer sig på almindeligt sted, i software, du bruger hver dag, og når du finder dem, vil du være glad - ... ” der kunne give hackere til at identificere, hvilken version af PHP jeg kører ved at kontrollere, hvilket ikon der vises, når ikonet Påskeæg-kode føjes til min websteds URL.
Jeg lod ubevidst tillade, at PHP-versionen blev afsløret, hvilket også afslører for hackere, hvor man kan jage efter sårbarheder, der kan bruges til at hacke ind på mit sted. Jeg var ikke meget glad for at se dette (jeg vidste ikke om disse påskeægskoder).
Det fine ved Detectify-rapporten er, at selv hvis du ikke er en web-designer eller -programmør, er forklaringen på problemet og den anbefalede løsning let nok til at forstå, at du nemt kan løse de fleste af de opdagede problemer selv.
Detectify opdagede en anden sårbarhed, der var relateret til, hvordan jeg havde efterladt brugernavnet-permalink på WordPress for at opregne værdier, hvilket giver hackere en nem måde at sidde ud af brugerlink og køre gennem adgangskodehackalgoritmer for at afsløre en konto med en svag adgangskode.
En tredje sårbarhed, som Detectify fandt, var relateret til et gammelt plugin, som jeg havde installeret på webstedet, og et JavaScript-bibliotekssårbarhed begravet dybt inde i en af demomapperne inde i det plugin. Jeg havde absolut ingen anelse om, at denne mappe ikke engang eksisterede på serveren - men der var den, en sårbarhed, der bare ventede på, at en hacker skulle komme med og udnytte.
Og der tænkte jeg, at jeg stod stærk med et uigennemtrængeligt websted. Igen leverede Detectify meget klare og let forståelige opløsninger til hver advarsel om sårbarhed.
Problemer med informationssikkerhed
Detectify tager sikkerhed et skridt videre ved at give dig informationssikkerhedsproblemer på dit websted. Dette er for det meste meget mindre problemer, der ikke er nøjagtigt sikkerhedsproblemer, men det kan være måder, at hackere kan få mere information om dit websted, give dem forskningsværktøjer til at finde kendte sårbarheder i det, du har installeret på din webserver..
Du kan ordne disse, hvis du er en ægte stickler for sikkerhed, men de fleste af disse er bare anbefalinger. Du er ikke i alvorlig fare, hvis du beslutter at forlade de fleste af disse.
Jeg bemærkede, at disse resultater endda inkluderede det faktum, at webcrawleren var i stand til at opdage e-mail-adresser i almindelig tekst på mit websted. Den inkluderede endda en liste over alle fundne adresser - hovedsagelig hentet fra gamle kommentarer.
Det, der var utroligt, er, at jeg gennem årene troede, at jeg havde blokeret al udstationering af e-mail-adresser til webstedet. Detectify rådede mig andet, og angav hver enkelt e-mail-adresse, der blev opdaget.
Kunne mit websted være hacket, hvis jeg ikke havde brugt Detectify og rettet disse advarsler? Eventuelt. Det er tingene omkring websikkerhed. Du tror måske, at de problemer, der findes på din server, ikke er “alvorlig” nok til at garantere din tid og energi, men alt det kræver en ressourcefuld og motiveret hacker til at undersøge det sikkerhedshul og derefter tage sig tid til faktisk at udnytte det.
Når du bruger utallige timer på at opbygge et websted Sådan bygger du dit eget websted i minutter uden kodningsfærdigheder Sådan bygger du dit eget websted i minutter uden kodningsfærdigheder Når nettet vokser, og det gør det blændende hurtigt, er behovet for en tilstedeværelse på nettet bliver mere presserende. I mange dele af verden skal du simpelthen have en web-tilstedeværelse i orden ... at du elsker og investere ugudelige mængder af kontanter på webhosting og andre websideforhold. Den sidste ting, du har brug for, er en slimet hacker, der ødelægger alt, hvad du nogensinde har bygget. Så installer Detectify. Scan dit websted. Løs disse problemer. Stol på mig, du vil være glad for, at du gjorde det. jeg ved jeg er.