Mark Lucas
0 
951
27
Si te dijera que hay un lugar al que puedes ir para tener la tranquilidad de que tu sitio web es seguro, ¿me creerías? Pues deberías, porque lo hay. Se llama detectar.
Soy el tipo de propietario del sitio web que siempre ha estado en negación. No me puede pasar a mí. ¿Por qué alguien querría hackear mi sitio??
Bueno, todos esos delirios se vinieron abajo en mi cabeza en 2011 cuando el archivo PHP principal de mi página de inicio fue reemplazado por una página web que anunciaba que el sitio había sido pirateado con éxito. No solo fue un shock darme cuenta de que alguien realmente había reemplazado un archivo en mi servidor web, sino que fue un gran golpe para mi orgullo. ¿Qué tipo de idiota permite que su sitio web sea pirateado??
La realidad es que, con el tiempo, mi blog de WordPress se había vuelto obsoleto y cada vez más vulnerable a los ataques a medida que los piratas informáticos buscaban en Internet la versión anterior de WordPress con vulnerabilidades conocidas y sin parches. Fallo mayor de mi parte. Entonces, recientemente finalmente terminé de actualizar mi blog a un tema nuevo y flamante. Confiando en que no tenía nada de qué preocuparme en el departamento de seguridad, ni siquiera me molesté en verificar si el tema o alguno de mis complementos instalados tenían problemas de seguridad conocidos. No fue hasta que encontré Detectify que me di cuenta de lo cerca que estaba mi blog de ser atacado y potencialmente pirateado., Una vez más.
Instalar Detectify
Claro, hay otros complementos de escaneo de seguridad. Dé a su sitio web una verificación de seguridad exhaustiva con HackerTarget. Dé a su sitio web una verificación de seguridad exhaustiva con HackerTarget. ! De hecho, lo contrario es cierto, ya que el problema número uno no está en ... puede usarlo en su sitio, pero Detectify es tan fácil de configurar y usar, incluso para un novato. Detectify es una combinación de plugin y servicio web. El primer paso, como suele ser el caso con los servicios web: debe registrarse.
El siguiente paso es descargar e instalar el complemento Detectify. Este es un complemento bastante simple, pero le da a la aplicación de seguridad basada en la web la capacidad de aprovechar todos los aspectos de su blog y analizarlo en busca de fallas de seguridad. Detecte búsquedas de cosas como la inclusión de archivos locales y remotos, DOM u otros problemas de secuencias de comandos de sitios cruzados, problemas de ruta de matriz PHP, ejecución de comandos remotos y mucho más. Puede ver todas las vulnerabilidades que Detectify busca en la página del complemento.
Una vez que se haya registrado para el servicio y el complemento esté instalado, el último paso es confirmar su instalación escribiendo la clave de verificación que recibe por correo electrónico en el campo del complemento. Entonces estás todo conectado y listo para rodar.
Ejecutar un escaneo de detección
Una vez que su sitio esté vinculado, verá que aparece en su lista de dominios disponibles en su cuenta de Detectify en línea. Puede registrarse para escanear múltiples dominios si lo desea.
Cuando esté listo para iniciar el escaneo de vulnerabilidades de su sitio web, simplemente haga clic en el botón Escanear y deje que haga su trabajo. Algunas recomendaciones en esta etapa: intente ejecutar el análisis durante un momento en que su sitio tenga menos tráfico. Detectify rastreará y escaneará archivos en su sitio, por lo que habrá un pequeño impacto en el rendimiento debido a ese procesamiento.
En segundo lugar, dele al servicio el tiempo que necesita para realizar todo ese rastreo y escaneo. No será un trabajo rápido de 30 a 60 minutos, a menos que su sitio web sea insignificante. Las probabilidades son para un blog de tamaño mediano que estás viendo durante más de 6 horas. Para un blog grande, muchos más.
La mejor opción para la mayoría de las personas es iniciar el escaneo antes de acostarse, y tendrá los resultados esperándolo por la mañana. En mi caso, a pesar de mi marca, el nuevo tema brillante y la última versión de WordPress, descubrí que tenía varias advertencias relacionadas con la seguridad de mi blog.
Al hacer clic en el botón Informe, accederá a la página con los detalles de escaneo de su dominio..
Comprender los resultados de su escaneo
La primera página del panel básicamente le brinda una visión general de cuántos archivos fueron escaneados, los tipos de archivos escaneados y cuánto tiempo llevó escanearlos..
Esos son todos los archivos de tu servidor, por lo que si tienes muchos archivos multimedia, es mejor que creas que el escaneo llevará mucho tiempo. Los resultados informados también detallan el desglose exacto del tiempo de exploración para que pueda ver qué parte de la exploración consumió más tiempo de procesamiento. En mi caso, las pruebas de rastreo y explotación constituyeron la mayor parte del tiempo de exploración.
El informe también le dará un historial de los últimos escaneos que ha ejecutado, con vulnerabilidades descubiertas. A medida que soluciona problemas en su sitio, puede regresar aquí para asegurarse de que sus nuevos escaneos reflejen una situación mejorada con su sitio, en lugar de un número creciente de problemas.
Por supuesto, la mejor parte de Detectify (y el objetivo de usarlo realmente), es la sección de detalles, que describe problemas muy específicos que se descubrieron en su sitio.
Arreglando los problemas de seguridad de su sitio
Así que aquí está lo que me salvó. Hubo algunas advertencias que me hicieron darme cuenta de que mi sitio tenía problemas persistentes a pesar de que acababa de actualizar todo y pensaba que estaba alto y seco. Una de las primeras advertencias no fue demasiado grave, pero estaba relacionada con el hecho de que la instalación de PHP en mi servidor Apache ofrece un “Easter Egg 10 Sistema operativo divertido y sorprendente Easter Eggs 10 Sistema operativo divertido y sorprendente Easter Eggs Encuentra hilaridades ocultas y otras cosas extrañas, integradas en el sistema operativo que estás utilizando. Se esconden en un sitio simple, en el software que usa todos los días, y cuando los encuentre, estará encantado ... ” eso podría permitir a los posibles hackers identificar qué versión de PHP estoy ejecutando al verificar qué ícono aparece cuando el ícono del código del huevo de Pascua se agrega a la URL de mi sitio.
Sin saberlo, permitía que se revelara la versión de PHP, que también revela a los piratas informáticos dónde buscar vulnerabilidades que puedan usarse para hackear mi sitio. No estaba muy feliz de ver esto (no tenía idea de estos códigos de huevos de Pascua).
Lo bueno del informe Detectify es que, incluso si usted no es diseñador web o programador, la explicación del problema y la solución recomendada es lo suficientemente fácil de entender como para solucionar fácilmente la mayoría de los problemas descubiertos..
Detectify descubrió una segunda vulnerabilidad relacionada con la forma en que había dejado el enlace permanente Nombre de usuario en WordPress para enumerar los valores, lo que permite a los piratas informáticos una manera fácil de desviar los enlaces de los usuarios y ejecutar algoritmos de pirateo de contraseñas para descubrir una cuenta con una contraseña débil.
Una tercera vulnerabilidad que encontró Detectify estaba relacionada con un antiguo complemento que había instalado en el sitio, y una vulnerabilidad de la biblioteca de JavaScript enterrada en una de las carpetas de demostración dentro de ese complemento. No tenía ni idea de que esta carpeta existía en el servidor, pero ahí estaba, una vulnerabilidad que solo esperaba que algún hacker apareciera y explotara.
Y allí estaba pensando que estaba firme con un sitio web impenetrable. Nuevamente, Detectify proporcionó resoluciones muy claras y fáciles de entender para cada advertencia de vulnerabilidad..
Problemas de seguridad informativa
Detectify lleva la seguridad un paso más allá al proporcionarle problemas de seguridad informativos en su sitio. Estos son en su mayoría problemas muy leves que no son exactamente problemas de seguridad, pero podrían ser formas en que los piratas informáticos podrían obtener más información sobre su sitio web, proporcionándoles herramientas de investigación para encontrar vulnerabilidades conocidas en lo que tiene instalado en su servidor web.
Puede solucionarlos si es un verdadero experto en seguridad, pero la mayoría de estos son solo recomendaciones. No estás en grave peligro si decides renunciar a la mayoría de estos.
Noté que estos resultados incluso incluían el hecho de que el rastreador pudo descubrir direcciones de correo electrónico en texto plano en mi sitio. Incluso incluía una lista de todas las direcciones encontradas, en su mayoría extraídas de viejos comentarios.
Lo sorprendente fue que a través de los años pensé que había bloqueado todas las publicaciones de direcciones de correo electrónico en el sitio. Detectify me aconsejó lo contrario y enumeró todas las direcciones de correo electrónico descubiertas.
¿Podría haber sido pirateado mi sitio si no hubiera utilizado Detectify y corrigiera esas advertencias? Posiblemente. Eso es lo que pasa con la seguridad del sitio web. Puede pensar que los problemas que existen en su servidor no son “grave” lo suficiente como para garantizar su tiempo y energía, pero todo lo que se necesita es un hacker ingenioso y motivado para investigar ese agujero de seguridad y luego tomarse el tiempo para explotarlo.
Cuando pasa innumerables horas construyendo un sitio web Cómo construir su propio sitio web en minutos sin ninguna habilidad de codificación Cómo construir su propio sitio web en minutos sin ninguna habilidad de codificación A medida que la Web crece, y lo hace de manera deslumbrante, la necesidad de La presencia en la web es cada vez más apremiante. En muchas partes del mundo, simplemente debe tener una presencia en la web para ... que le encante, e invirtiendo cantidades impías de efectivo en alojamiento web y otros gastos del sitio web, lo último que necesita es algún hacker viscoso que destruya todo lo que alguna vez haya construido. Por lo tanto, instale Detectify. Escanea tu sitio. Resuelve esos problemas. Confía en mí, te alegrarás de haberlo hecho. sé quien soy.