在网站运营过程中,Web安全是必须引起我们高度重视的话题。最近,我的网站访问时被 Avast Security Online 插件提示有恶意代码,然后我结合最近网站时不时卡顿的表现,这成功引起了我的重视。经仔细排查,Wordpress核心文件被修改,众多插件和主题文件被注入恶意代码,也就是被感染了。经过我的分析和检测,终于找到原因,那就是我一直在用 Yoast SEO、WP-Rocket 和 Wordfence 插件高级版的免激活破解版,其内置恶意代码。
说起这个,我不得不佩服自己心真大,居然敢用这种插件那么久。堡垒总是最容易从内部攻破,人家“请君入瓮”,我是“放毒进站”,卧槽…都是因为穷啊!说多了都是泪。网站服务器和运营维护的一年花费也不少,而且这3个插件高级版的官方正版价格太贵了,真心用不起。另外,我比较关注网站SEO的话题,对安全性没有足够重视,更没有对代码进行安全审计,主要是我也没那个水平。至于本次安全乌龙事件,我是如何排查和解决的?如果以后有时间,我再单独写文章表表吧!我谁也不怪,就怪自己太穷,贪小便宜是要吃大亏的。关于扫描网站的安全性和移动应用程序漏洞等,一灯不是和尚给小伙伴们推荐一些免费的在线安全检测工具,以扫描您的站点中的一些安全漏洞、恶意软件和其它潜在威胁。
本文目录
1、SUCURI
2、Qualys
3、Quttera
4、UpGuard
5、SiteGuarding
6、Observatory
7、Web Cookies Scanner
8、Pentest-Tools
1、SUCURI
SUCURI是业界知名的网络安全公司,在WEB安全防御方面也是颇有名气。其中,Sucuri SiteCheck 是最受欢迎的免费网站恶意软件和安全扫描程序之一。您可以用它对网站可能存在的恶意软件、黑名单状态和垃圾邮件等进行快速检测。
Sucuri SiteCheck 官网:https://sitecheck.sucuri.net/
此外,SUCURI还可以帮助清洁和保护您的网站免受在线威胁,并且可以在任何网站程序平台上工作,包括 WordPress,Joomla,Magento,Drupal,phpBB 等。
2、Qualys
Qualys的SSL服务器测试被用来扫描您的网站,检查是否存在SSL / TLS错误配置和漏洞,这都是非常重要的。此外,它提供了对“https: // URL”的深入分析,包括到期日、总体评级、密码、SSL / TLS版本、握手模拟、协议详细信息和BEAST等。
Qualys SSL Server Test 官网:https://www.ssllabs.com/ssltest/
一灯不是和尚的建议是,在进行任何与SSL / TLS相关的更改后,一定要及时运行Qualys测试。
3、Quttera
Quttera是恶意软件扫描和删除、Web 应用程序防火墙、域黑名单检查以及其他安全可信网站的基本工具,被广泛用于检查网站是否存在恶意软件和漏洞利用。
Quttera官网:https://quttera.com/
Quttera可以扫描您的网站,以查找恶意文件、可疑文件、潜在可疑文件、PhishTank、安全浏览(Google,Yandex)和恶意软件域列表等。
4、UpGuard
UpGuard 是专业的网络安全专家,提供数据泄漏检测、漏洞扫描和身份泄露检测等高级服务。此外,UpGuard Web Scan 是 UpGuard 提供的免费网站安全检查工具,它使用可公开获得的信息进行评分。
UpGuard Web Scan 官网:https://webscan.upguard.com/
UpGuard Web Scan 将测试结果分为以下几类:
- 网站风险
- 电子邮件风险
- 网络安全
- 网络钓鱼和恶意软件
- 品牌保护
5、SiteGuarding
SiteGuarding可以帮助您扫描网站中的恶意软件、网站黑名单、注入的垃圾邮件和污染等,保护您的网站免受恶意软件和黑客攻击。SiteGuarding 与 WordPress,Joomla,Drupal,Magento,osCommerce,Bulletin 和其他平台兼容。
SiteGuarding免费安全检查:https://www.siteguarding.com/en/sitecheck
SiteGuarding完全免费扫描您的网站是否存在恶意软件和安全问题,网站扫描器会智能地抓取您的网站并识别您网站上所有可能的感染和后门程序。SiteGuarding可以帮助您从网站中删除恶意软件,因此,如果您的网站受到病毒的感染,它们将非常有用。
6、Observatory
Observatory是Mozilla推出的安全检查服务,它可以帮助站点所有者检查各种安全元素。它针对OWASP标头安全性,TLS最佳实践进行验证,并从SSL实验室、高科技桥、安全标头和 HSTS Preload 等执行第三方测试。
Observatory官网:https://observatory.mozilla.org/
7、Web Cookies Scanner
CookieServe cookie checker 是由CookieYes提供支持的 cookie 扫描的免费软件,可监控和跟踪网站使用的所有 cookie。一旦您输入 URL 并运行扫描,它就会抓取整个页面并检测所有 cookie。扫描完成后,它将生成表格格式的报告。这包含有关 cookie 的详细信息,例如名称、描述(cookie 的用途)、域、持续时间和类型。您可以与网站访问者分享有关 cookie 的这些信息,并离合规更近一步。
与 Cookiebot、Piwik 和 OneTrust cookie 扫描程序不同,CookieServe 只需几秒钟即可完成对所需 URL 的扫描。您将获得在站点本身上输入的 URL 的扫描报告。
CookieServe cookie checker 官网:https://www.cookieserve.com/
8、Pentest-Tools
Pentest-Tools Website Vulnerability Scanner 是 Pentest-Tools 提供的网站漏洞扫描器,Light版被用于发现常见的 Web 应用程序漏洞和服务器配置问题,如过时的服务器软件、不安全的 HTTP 标头、不安全的 cookie 设置和其他一些问题。Pentest-Tools Website Vulnerability Scanner 高级版可以对网站评估进行全面扫描评估,其中包括检测 SQL 注入、XSS、本地文件包含、操作系统命令注入等。
Pentest-Tools Website Vulnerability Scanner 官网:https://pentest-tools.com/website-vulnerability-scanning/website-scanner
您最多可以对网站进行2次免费的全面扫描,以获得全面的评估。结果将告诉您一些漏洞,例如本地文件包含,SQL注入,OS命令注入,XSS等。
如果你也是站长,那么你不妨试试这几款网站安全漏洞扫描器,为你的网站健康把把脉,也许真会拯救了你的站。你还真别不信!赶紧动手试一试。