Propaganda
À medida que a Internet evolui e os sistemas em que está sendo executada se tornam mais difíceis de invadir, você acha que os sites seriam menos invadidos! De fato, o oposto é verdadeiro, com o problema número um não no software, mas na complacência humana.
Depois que um possível hack é descoberto, ele pode se espalhar como um incêndio pelas comunidades de hackers. Portanto, manter o site atualizado e solucionar as falhas de segurança latentes é a melhor defesa.
Dito isto, como você pode saber se seu site é vulnerável? É aí que o serviço gratuito HackerTarget.com entra.
Limitações e confusões de inscrição:
As contas gratuitas permitem executar até 4 verificações por dia, a única outra cláusula é que você não pode usar determinadas verificações com um endereço de e-mail gratuito, como Hotmail, Yahoo ou Gmail. A verificação do WordPress está disponível para todos.
Em segundo lugar, você não precisa se inscrever. Basta iniciar uma verificação de segurança (descrita posteriormente) e você receberá um e-mail automático. Na primeira vez em que você usar o serviço, este email conterá um link para confirmar seu endereço de email. Depois de clicar neste link, você precisará iniciar uma verificação novamente. É um pouco confuso, mas somos todos adultos, por isso tenho certeza de que vamos superar isso.
Que tipo de digitalizações você pode fazer:
Este serviço incrível oferece um conjunto bastante abrangente de verificações de segurança:
- WordPress / Drupal / Joomla
- Criação de perfil de domínio
- WhatWeb Scan
- Impressões digitais de elefante
- Nikto Server Scan
- Teste de injeção de SQL
- Varredura de Vulnerabilidade OpenVAS
- Scanner de porta Nmap
Como não temos espaço para lidar com toda a verificação, hoje analisarei a verificação de segurança do WordPress, o OpenVas e o teste de injeção de SQL.
Verificação de segurança do WordPress:
Após a conclusão da verificação automatizada do WordPress, você receberá um relatório bem apresentado. Vejamos o que ele diz:
Informações do site
Isso exibe as versões básicas do servidor e a versão do WordPress, se possível. Ele também informa se o seu WordPress está desatualizado. Isso é importante, pois as vulnerabilidades de segurança são encontradas em versões mais antigas e a execução de verificações automatizadas como essas é tão fácil que você pode se encontrar rapidamente como alvo de um hack.
Links e scripts do site
Isso mostra um relatório de links externos encontrados no seu site, bem como qualquer malware que possa ter sido injetado no seu site página (ou incorporada ao seu tema!) - verifique a lista e verifique tudo o que você não faz imediatamente reconhecer.
Informações sobre hospedagem
A última seção lista algumas informações básicas sobre seu host e outros sites que compartilham o mesmo IP que o seu.
Teste de injeção SQL:
Praticamente todo o hacks recentes Sony Pictures Online hackeada usando a vulnerabilidade "primitiva e comum", dados não criptografados [Notícias]Na quinta-feira à noite, o grupo de hackers "LulzSec" anunciou via Twitter que havia obtido acesso ao SonyPictures.com e roubado mais de 1 milhão de contas, senhas e informações confidenciais do usuário. Logo após a notícia, cópias do ... consulte Mais informação você ouviu sobre as notícias do infame grupo de segurança Lulzsec usando o ataque de injeção SQL. Basicamente, isso significa que os comandos SQL podem ser executados no servidor diretamente, ajustando os parâmetros da URL ou inserindo-os em uma caixa de pesquisa. Funciona porque muitos sistemas não verificam o que é dado a eles, eles apenas lêem diretamente. O XKCD explica isso melhor!
Com alguma sorte, o relatório de e-mail que você obtém de um teste de injeção de SQL será curto e agradável, dizendo que não encontrou vulnerabilidades. Ao longo dos anos, o WordPress foi considerado vulnerável, mas geralmente é corrigido assim que é encontrado - então a lição é, como sempre - SEMPRE SEJA ATUALIZADO.
Scanner IP OpenVAS:
Esse pode ser mais interessante para ser executado no seu endereço IP residencial (que você pode encontrar em whatismyipaddress.com), pois é basicamente um scanner de portas. Ele listará todas as portas abertas para o mundo, que são apenas mais uma rota de acesso para um hacker acessar seu PC. Uma vez que um hacker sabe para que portas estão abertas e para que são usadas, ele pode começar a testar cada uma delas para encontrar vulnerabilidades. Execute no seu IP doméstico, você pode até encontrar alguns processos maliciosos que estão enviando secretamente emails de spam.
Espero que você experimente algumas dessas verificações gratuitas incríveis, especialmente se você administra um blog e é relativamente ignorante sobre toda a questão da segurança. Eu diria que postar aqui se você obtiver resultados alarmantes, mas isso pode fazer de você um alvo - é melhor postar anonimamente e deixar de fora o seu endereço da web! Você conhece alguma ferramenta on-line gratuita (e confiável) semelhante e fácil de usar para executar essas verificações? Compartilhe esse conhecimento!
Crédito de imagem: ShutterStock
James é bacharel em Inteligência Artificial e possui certificação CompTIA A + e Network +. Ele é o principal desenvolvedor do MakeUseOf e passa seu tempo livre jogando paintball e jogos de tabuleiro em VR. Ele está construindo PCs desde que era criança.