Как определить безопасность сайта
Содержание
- Панель управления
- Настройки страницы
- Лучшие сканеры для проверки безопасности сайта
- Sucuri SiteCheck
- IsItWP Security Scanner
- Google Safe Browsing
- WPScans
- WordPress Security Scan
- wprecon
- Quttera
- Web Inspector
- WordPress Vulnerability Scanner
- urlquery URL Scanner
- VirusTotal
- Norton Safe Web
- Содержание
- 1. Как исследовать сайт до его посещения
- 2. Общий подход в проверке сайтов
- 3. Убедитесь, что SSL-сертификат надежен, прежде чем совершать покупки
- 4. Куда сообщать об опасных веб-сайтах
Для чтобы проверить ссылку на безопасность и проанализировать содержание страницы применяются следующие действия:
-
Проверяется куда на самом деле ведёт ссылка, ведь не исключено что она была сгенерирована с помощью сервисов сокращения ссылок и/или перенаправляет пользователя на другой веб-сайт или страницу.
Конечная ссылка проверяется на наличие в черном списке Google Safe Browsing, который содержит более 500000 опасных веб-сайтов и страниц.
Если URL-адрес является веб-страницей, то будут извлекаться все внешние сайты откуда загружаются JavaScript-файлы, плавающие фреймы (iframe’ы), медиафайлы-файлы, картинки, а также внешние ссылки найденные на проверяемой веб-странице.
Все сайты найдены после описанный выше процесс, проверяются на наличие в черном списке «Google Safe Browsing», а также для каждого из них определяется средний рейтинг «Web of Trust».
Панель управления
Настройки страницы
помощь: С помощью данных кнопок Вы можете изменить расположение информационных блоков по горизонтали, а также настраивать яркость и размер шрифта.
Для этого, в Вашем браузере должен быть включён JavaScript и браузер должен принимать файлы cookie нашего домена.
Все изменения автоматически сохраняются в cookie-файле Вашего браузера в течение 365 дней со дня изменений настроек.
Вам кажется, что ваш сайт взломан? В этой статье я собрала 12 полезных инструментов для проверки безопасности сайта, наличия уязвимостей и попыток взлома.
Лучшие сканеры для проверки безопасности сайта
Эти инструменты сканируют сайт и показывают левый код, чужие ссылки, подозрительные переадресации. А также тестируют базу данных WordPress, учетные записи пользователей, настройки WordPress и плагины.
В общем, давайте смотреть сервисы.
Sucuri SiteCheck
SiteCheck — это онлайн-инструмент от Sucuri, лучшего брандмауэра WordPress . Он делает тщательную проверку сайта: ищет плохой код, спам и другие нарушения.
IsItWP Security Scanner
IsItWP Security Scanner сканирует сайт и выявляет вредоносные программы и прочие уязвимости.
А также прогоняет сайт через Google Safe Browsing для проверки чистоты вашего домена.
Google Safe Browsing
Google Safe Browsing позволяет вам увидеть, является ли URL-адрес опасным. Google отслеживает миллиарды URL-адресов и, если он подозревает, что сайт распространяет вредоносное ПО, отмечает его как небезопасный для посещения ресурс.
Если вы работаете с Google Search Console, вас предупредят, когда ваш сайт будет помечен как небезопасный. А дальше вам дадут подробные инструкции о том, как удалить предупреждение.
WPScans
Еще один инструмент для проверки безопасности сайта — WPScans. С помощью него вы сможете отследить все уязвимости, подозрительный код. Он покажет версию WordPress, установленные на сайт плагины и файл robots.txt.
Результаты выводятся списком и с объяснениями всех элементов.
WordPress Security Scan
WordPress Security Scan сканирует версию WordPress, установленные плагины и тему, имена пользователей и пр. А также делает проверку на внесение сайта в blacklist через Google Safe Browsing.
Этот сервис дает большой отчет и кратко объясняет каждый пункт.
wprecon
Wprecon — еще один базовый инструмент сканирования уязвимостей сайта. Он проверяет версию WordPress, индексирование каталогов, исходящие ссылки, iframes и JavaScripts. Результат выводится в форме отчета и с подробными разъяснениями.
Quttera
Quttera — удобный инструмент, который делает подробное тестирование сайта на наличие левых файлов, кода, фреймов, редиректов и ссылок. И, конечно, прогоняет сайт через Google Safe Browsing, Malware Domain List, PhishTank и пр.
Вы получаете большой отчет, информация в котором поделена на разделы.
Web Inspector
Web Inspector — это онлайн-сканер для проверки безопасности сайта WordPress. Он сканирует сайт через Google Safe Browsing и Comodo, а потом проверяет, есть ли вредоносный код, бэкдоры, вирусы, подозрительные скрипты и файлы.
WordPress Vulnerability Scanner
WordPress Vulnerability Scanner проверяет версию WordPress, установленные плагины и тему, а также указывает, есть ли на сайте плагины, которые известны благодаря наличию вредоносного кода.
Сервис предлагает и другие полезные инструменты для тех, кто занимается разработкой сайтов на профессиональном уровне.
urlquery URL Scanner
Стандартная схема, которую используют хакеры и вредоносные ПО — редирект ваших незарегистрированных пользователей на спам-сайт.
urlquery URL-сканер сканирует ваш адрес и определяет, есть ли редирект или нет.
VirusTotal
VirusTotal — еще один способ быстрой проверки URL-адреса сайта. Он проверяет адрес через десятки баз данных вредоносных программ и предоставляет полный отчет.
Он также укажет, есть ли перенаправления или подозрительный код в хедере вашего сайта.
Norton Safe Web
Norton Safe Web — заключительный сервис нашего списка. Он использует современные технологии Symantec и ищет распространенные вредоносные программы, фишинг и спам.
Если ваш сайт небезопасен, он отобразит обнаруженные ошибки.
Я надеюсь, статья была для вас полезной.
Выбирайте сервис и проверяйте ваш сайт:)
Вам может понравиться:
Если у вас есть вопросы, пишите в комментариях.
И подписывайтесь на нас в Facebook, Instagram и Twitter.
Автор: Chiron
Дата последнего обновления: 16 марта 2013
Оригинал статьи
Перевод: Александр Рябов
Определение безопасности веб-сайта особенно важно, прежде чем предоставлять сайту секретную информацию, такую как номера кредитных карт, банковские реквизиты, ваш адрес электронной почты и т.д.
По большому счету, вам стоит быть осторожным с сайтом, если он не к месту запрашивает у Вас персональные данные, номер кредитной карты или номер банковского счета, — когда это не обязательно. Это может быть признаком фишинга, нацеленного на вашу секретную информацию. Вам стоит также опасаться сайтов с предложениями, которые кажутся слишком хорошими, чтобы быть правдой, имеющих очень навязчивую рекламу, многократно всплывающие окна, в которых говорится, что вам нужно установить плагин, чтобы увидеть материал и т.д. Имея дело с сайтами, такими как эти, вы определенно должны использовать методы, описанные ниже, чтобы удостовериться, что сайт действительно безопасен, прежде чем продолжать работать с ним.
Содержание
1. Как исследовать сайт до его посещения
Если источник ссылки кажется фишинговым, — например, это пришло неизвестно от кого по электронной почте, или это подозрительная ссылка, оставленная в комментариях, — я рекомендовал бы, чтобы Вы не щелкали по ней, пока Вы не удостоверитесь, что сайт не опасен. Чтобы скопировать ссылку для анализа, не посещая сайта, Вы можете щелкнуть правой кнопкой по ней и выбрать "Копировать адрес ссылки" ("Copy link address"), если у вас Chrome, или "Копировать ссылку" ("Copy link location" ), если у вас Firefox, и т.д.
Если эта ссылка отображается в виде укороченного URL-адреса, то Вы должны сперва увидеть настоящий URL, прежде чем тестировать ее. Если Вы не сделаете этого, то вашим анализом в действительности будет затронут лишь тот сайт, который изменил ссылку на короткую. Чтобы, так сказать, "разукоротить" ссылку, Вы можете перейти на сайт unshort.me и вставить укороченный URL-адрес в поле. Вам будет показан фактический URL-адрес, который Вы сможете скопировать для анализа, рассматриваемого ниже.
2. Общий подход в проверке сайтов
2.1 Проверьте сайт с помощью Zulu URL Risk Analyzer и Comodo Web Inspector
Первое, что можно сделать, это скопировать URL веб-сайта и вставить его на странице Comodo Web Inspector. Однако, этот анализ может занять какое-то время, поскольку он выполняет всесторонний анализ сайта в режиме реального времени, чтобы проверить, что нет никакого потенциально вредоносного содержимого. Таким образом, также советуем запустить Zulu URL Risk Analyzer одновременно с этим. Как только Comodo Web Inspector закончит анализ, он представит Вам свои результаты. Если сайту присвоена оценка High Risk (Высокая степень риска), то, вероятно, сайт опасен. Если он оценен как Suspicious (Подозрительный), сайт, вероятно, опасен, но Вы можете захотеть посмотреть, как другие службы, упомянутые в этой статье, оценят этот сайт.
Затем скопируйте URL и в службу Zulu URL Risk Analyzer. Если будет предложена такая возможность, выберите команду проанализировать сайт заново (Reanalyze). Здесь так же используются различные методы анализирования сайта. После того, как анализ будет завершен, вам будет представлена общая оценка риска, насколько велика вероятность, что сайт может быть опасным — от 0 до 100, где оценка 100 означает "очень опасно". Вам также будет предоставлено толкование этого, в котором сайт будет оцениваться как Benign (Безопасный), Suspicious (Подозрительный) или Malicious (Вредоносный). Хотя у этого сервиса бывают некоторые ложные срабатывания на безопасные сайты, когда он оценивал их как Подозрительные, но никогда он не оценивал безопасный сайт как Вредоносный. Таким образом, рекомендации по использованию этого сервиса состоят в том, что, если сайт оценен как Вредоносный, Вы можете быть относительно уверены, что сайт действительно опасен. Однако, если он оценен как Безопасный или Подозрительный, вам нужно перейти к следующим шагам для дальнейшей оценки сайта.
2.2 Проверьте сайт в VirusTotal и URLVoid
Чтобы проверить сайт по базам многих служб репутаций и черным спискам доменов, следующее, что вы должны сделать, это скопировать URL веб-сайта и вставить его на странице VirusTotal. Если сайт уже был оценен ранее, то вам нужно выбрать Reanalyse (Повторить анализ). Если уже известно, что сайт опасен, то он, вероятно, будет помечен по крайней мере несколькими веб-службами. Однако, даже если они все считают его чистым, это не обязательно означает, что сайту можно доверять. Помните, что обсуждалось ранее о том, как возраст сайта играет роль при интерпретации этих результатов.
Также скопируйте URL веб-сайта в URLVoid. Эта служба похожа на VirusTotal тем, что тоже проверяет сайт по многим черным спискам. Если будет представлена возможность, выберите "Update Report" (Обновить отчет), и тогда Вам будут показаны самые свежие результаты. Кроме того, в верхней части страницы будет показано, когда домен был впервые зарегистрирован.
Несмотря на то, что эта информация сама по себе нам мало что говорит, в целом, если сайт новый, она не будет важна лишь в том случае, если он ни в одном из вышеупомянутых сервисов не был отмечен как опасный. Часто в некоторых службах на это требуется время, — чтобы определить местоположение и проанализировать новые опасные сайты. Кроме того, даже старые сайты, которые ранее были безопасными, могут быть взломаны и превращены в фишинговые или нашпигованы вредоносным ПО. Таким образом, лишь то, что сайт стар и не отмечен как опасный, еще не гарантирует, что он не опасен.
2.3 Проверьте репутацию сайта на Web Of Trust
В нижней части итогов проверки сайта от URLVoid также вам будут представлены рейтинги WOT. Эта оценка надежности сама по себе должна стать хорошим подспорьем в вашем решении, стоит ли доверять сайту. Однако щелчок по кнопке в третьей колонке перенесет вас на сайт, где будет предоставлено еще больше информации. Эта информация содержит комментарии о сайте ото всех, кто их пожелал оставить. Что касается комментариев, то нужно отметить, что мнения людей по разным причинам могут быть предвзятыми, но читая множество комментариев, Вам нужно понять, опасен ли сайт, какие основные проблемы люди испытывают с этим сайтом, если там имеется достаточно отрицательных мнений. Эта информация тоже может быть использована при выяснении, действительно ли сайт опасен.
Обратите внимание, что еще один очень полезный аспект использования WOT заключается в том, что почти все популярные сайты уже должны были быть оценены. Таким образом, если Вы оказываетесь на сайте, который довольно популярен — такой как PayPal, Gmail, и т.д., — но WOT сообщает, что сайт еще не оценивался, то это может оказаться страницей фишинга.
3. Убедитесь, что SSL-сертификат надежен, прежде чем совершать покупки
Даже если ни один из вышеупомянутых методов не выявил на сайте никакой угрозы, прежде, чем передавать Вашу секретную информацию на сайт, вам нужно узнать еще кое-что. Вы должны удостовериться, что страница, на которой вы заполняете поля для вашей секретной информации, которая может включать номера кредитных карт или банковские реквизиты, защищена с помощью сертификата SSL. Если URL-адрес страницы, на которой вы находитесь, начинается с "https", значит используется соединение с шифрованием и Ваша информация, вероятно, под защитой, — по крайней мере видно, что сайт защищен. Пока сайт находится под защитой, никто кроме Вас и людей, управляющих сайтом, не может просмотреть информацию, которую Вы предоставляете. Настоятельно рекомендуем, чтобы Вы никогда не передавали секретную информацию через какой-либо сайт, который не защищен таким образом.
Однако есть нюанс, который надо знать. В действительности существует много различных типов сертификатов SSL. Уровни доверия, которые они обеспечивают, неодинаковые. Расширенная сертификация гарантирует, что бизнес законен, тогда как множество других типов сертификатов подтверждены только в отношении домена, но не владельцев и операторов домена. Обратите внимание, что некоторые фишинговые сайты, как известно, покупали сертификаты низкого уровня, чтобы заставить людей поверить, что им можно доверять. Только если сам сертификат гарантирует, что сайт надежен и принадлежит действительному бизнесу, вы можете полностью доверять домену.
Есть три основных типа SSL сертификатов: сертификаты с проверкой домена Domain Validation (DV), сертификаты с проверкой компании Organization Validated (OV) и сертификаты расширенной проверки Extended Validation (EV).
Сертификаты Domain Validation (DV)
SSL-сертификаты с проверкой домена (Domain Validation) — это сертификаты начального уровня, позволяющие подтвердить достоверность адреса сайта. Предлагается базовая защита, но не предоставляется проверка организации и бизнеса, осуществляемого на сайте. Обычно данный сертификат используется для небольших интернет-проектов / интернет-магазинов. В браузере сайты, использующие сертификат DV, будут отмечены желтой надписью HTTPS и желтым треугольником на замке перед адресом веб-сайта. Это сообщит вам, что организация на сайте не прошла проверку подлинности, так что вы должны действовать с осторожностью.
Сертификаты Organization Validation (OV)
SSL-сертификаты с проверкой компании (Organization Validation) — это сертификаты бизнес-уровня, позволяющие подтвердить достоверность адреса сайта, а также содержат информацию о организации, которой принадлежит домен. Если ресурс использует сертификат уровня OV, то он имеет высокий уровень доверия. Браузер покажет перед адресом веб-сайта замок и надпись HTTPS зеленного цвета. Это сообщит вам, что бизнес на сайте был одобрен и можно с уверенностью приступить к любой сделке.
Сертификаты Extended Validation (EV)
SSL-сертификаты расширенной проверки (Extended Validation) — это самые надежные сертификаты бизнес-уровня, позволяющие подтвердить достоверность адреса сайта, а также содержат строго проверяемую информацию о организации, которой принадлежит домен. Если сайт использует EV SSL-сертификат, адресная строка браузера у посетителя подсвечивается зеленым цветом, тем самым показывая, что сайт имеет очень высокую степень доверия.
4. Куда сообщать об опасных веб-сайтах
Если вы полагаете, что какой-то веб-сайт опасен, желательно, уделить несколько минут, чтобы сообщить о нем, с тем чтобы защитить от него других пользователей. Подробнее о возможных способах рассказано в статье "Куда сообщать об опасных веб-сайтах".
Загрузка...