Advertentie
Naarmate het internet evolueert en de systemen waarop het draait moeilijker te hacken zijn, zou je denken dat websites minder gehackt zouden worden! In feite is het tegenovergestelde waar, met het grootste probleem niet in de software, maar in menselijke zelfgenoegzaamheid.
Zodra een mogelijke hack is ontdekt, kan deze zich als een lopend vuurtje verspreiden via de hackergemeenschappen, dus het is absoluut de beste verdediging om uw site up-to-date te houden en latente beveiligingslekken aan te pakken.
Dat gezegd hebbende, hoe kunt u weten of uw site kwetsbaar is? Dat is waar de gratis service HackerTarget.com komt binnen.
Beperkingen en verwarring bij het aanmelden:
Met de gratis accounts kun je tot 4 scans per dag uitvoeren, de enige andere clausule is dat je bepaalde scans niet kunt gebruiken met een gratis e-mailadres zoals Hotmail, Yahoo of Gmail. De WordPress-scan is echter voor iedereen beschikbaar.
Ten tweede hoeft u zich niet echt aan te melden: u hoeft alleen een beveiligingsscan uit te voeren (later beschreven) en u ontvangt een geautomatiseerde e-mail. De eerste keer dat u de service gebruikt, bevat deze e-mail een link om uw e-mailadres te bevestigen. Nadat u op deze link heeft geklikt, moet u opnieuw een scan starten. Het is een beetje verwarrend, maar we zijn allemaal volwassenen, dus ik weet zeker dat we er overheen komen.
Welk type scans kunt u doen:
Deze geweldige service biedt eigenlijk een vrij uitgebreide reeks beveiligingsscans:
- WordPress / Drupal / Joomla
- Domeinprofilering
- WhatWeb Scan
- Vingerafdrukken van blinde olifanten
- Nikto Server Scan
- SQL-injectietest
- OpenVAS Kwetsbaarheidsscan
- Nmap Port Scanner
We hebben geen ruimte om alle scans aan te pakken, dus vandaag ga ik kijken naar de WordPress-beveiligingsscan, OpenVas en SQL-injectietest.
WordPress-beveiligingsscan:
Na voltooiing van uw geautomatiseerde WordPress-scan krijgt u een mooi gepresenteerd rapport. Laten we eens kijken wat het je vertelt:
Site Info
Dit toont de basisserverversies en uw WordPress-versie als deze deze kan vinden. Het vertelt je ook of je WordPress verouderd is. Dit is belangrijk omdat beveiligingslekken in oudere versies worden aangetroffen en het uitvoeren van geautomatiseerde scans zoals deze zo eenvoudig is dat u snel het doelwit van een hack kunt worden.
Sitelinks en scripts
Dit toont een rapport van externe links die op uw site zijn gevonden, evenals alle malware die mogelijk in uw site is geïnjecteerd pagina (of ingebouwd in uw thema!) - zorg ervoor dat u de lijst controleert en controleert op alles wat u niet meteen doet herken.
Hosting Info
In het laatste gedeelte vindt u wat basisinformatie over uw host en andere websites die hetzelfde IP-adres als het uwe delen.
SQL-injectietest:
Vrijwel alle recente hacks Sony Pictures Online gehackt met "primitief en algemeen" beveiligingslek, gegevens niet versleuteld [Nieuws]Donderdagavond maakte hackergroep "LulzSec" via Twitter bekend dat ze toegang hadden gekregen tot SonyPictures.com en meer dan 1 miljoen accounts, wachtwoorden en gevoelige gebruikersinformatie hadden gestolen. Kort nadat het nieuws uitbrak, kopieën van de ... Lees verder waarover je in het nieuws hebt gehoord door de beruchte beveiligingsgroep Lulzsec, werd uitgevoerd met een SQL-injectie-aanval. Dit betekent in feite dat SQL-opdrachten rechtstreeks op de server kunnen worden uitgevoerd door de URL-parameters aan te passen of ze in een zoekvak in te voeren. Het werkt omdat veel systemen niet controleren wat er aan hen is gegeven, ze lezen het gewoon rechtstreeks in. XKCD legt dit beter uit!
Met een beetje geluk zal het e-mailrapport dat je krijgt van een SQL-injectietest kort en krachtig zijn, omdat er geen kwetsbaarheden zijn gevonden. WordPress is in de loop der jaren kwetsbaar gebleken, maar deze worden meestal gepatcht zodra ze worden gevonden - dus de les is, zoals altijd - ALTIJD BIJGEWERKT.
OpenVAS IP-scanner:
Deze is misschien interessanter om uit te voeren op uw thuis-IP-adres (dat u kunt vinden op whatismyipaddress.com), omdat het in feite een poortscanner is. Het geeft een overzicht van alle poorten die openstaan voor de wereld, wat dan weer een toegangsweg is voor een hacker om uw pc te bereiken. Zodra een hacker weet welke poorten open zijn en waarvoor ze worden gebruikt, kunnen ze elk op zijn beurt testen om kwetsbaarheden op te sporen. Draait op uw thuis-IP, misschien vindt u zelfs enkele frauduleuze processen die in het geheim spam-e-mails verzenden.
Ik hoop echt dat je enkele van deze ongelooflijke gratis scans uitprobeert, vooral als je een blog hebt en relatief geen idee hebt van het hele beveiligingsprobleem. Ik zou post terug hier zeggen als je alarmerende resultaten krijgt, maar dat kan je tot een doelwit maken - dus het beste om anoniem te posten en je webadres weg te laten! Kent u vergelijkbare gebruiksvriendelijke, gratis online (en betrouwbare) tools om deze scans uit te voeren? Deel die kennis!
Afbeelding tegoed: ShutterStock
James heeft een BSc in Artificial Intelligence en is CompTIA A + en Network + gecertificeerd. Hij is de hoofdontwikkelaar van MakeUseOf en brengt zijn vrije tijd door met het spelen van VR paintball en bordspellen. Hij bouwt pc's sinds zijn kindertijd.