Green-sell.info

Новые технологии
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Проверить безопасность сервера

Проверка SMTP сервера — Онлайн тест SMTP

Тест SMTP сервера (E-mail сервера) по 10 показателям, тест на open-relay, SSL/TLS и прочее.

Более 10 тестов

Обратные записи

Тест на Open relay

Проверка шифрования

Диалоги SMTP

Рекомендации

Быстро и точно

API-интерфейс

Как проверить SMTP-сервер?

Почтовый сервер, smtp-сервер или мейл-сервер — в системе пересылки электронной почты так называют агента доставки/получения email-сообщений (англ. mail transfer agent, MTA). Это компьютерная программа, которая передаёт сообщения от одного компьютера к другому. Обычно почтовый сервер работает «за кулисами», а пользователи имеют дело с программой — клиентом электронной почты (англ. mail user agent, MUA).

При администрировании smtp-сервера, часто возникают различные ошибки, ухудшающие или полностью блокирующие доставку писем. Самая распространенная проблема — это неверная конфигурация почтового сервера, а также наличие в черных списках (проверить на черные списки можно тут). Остановимся на ошибках, условно их можно разделить на 2 категории: 1. Ошибки доставки, 2. Ошибки безопасности.

Теперь по порядку, к первой категории ошибок связанных с доставкой писем можно отнести:

  • Неверно настроен hostname
  • Отсутствуют необходимые DNS-записи
  • Обратные хост (rDNS) на IP-адресе не соответсвует хосту сервера.
  • Большой таймаут соединения или время транзакции.
  • Неверно настрое брэндмауер
  • Неверно настроен порт сервера
  • Хостер блокирует 25 порт
  • Другие ошибки

Все выше перечисленные ошибки не позволят нужным образом отправить письмо. Их решение может стать ключевым. Наш бесплатный инструмент онлайн диагностики smtp-сервера, поможет выявить большинство проблем. Проверка smtp-сервера по 10 показателям: тест на open-relay, наличие SSL/TLS, hostname, helo/ehlo, время транзакции и прочее. да, это бесплатно и без регистрации.

Как они себя проявляют, к примеру, ошибки с блокировкой 25 порта или большого таймаута не дадут отправить письмо вообще, даже установить соединение с сервером. А ошибки с rNDS, hostname, DNS спровоцируют полное и временное отклонение писем сервером получателя или помещением письма в папку спам.

Если письмо отклонено сервером получателя с кодами 500x и 400x, можно точно сказать, что стоит обратить внимание на rNDS, hostname и DNS, спам и тд. Обычно серверы получателей дают дополнительную информацию о причинах отклонения.

Для примера рассмотрим популярные ошибки, что они обозначают:

  • Сервер заблокирован за рассылку спама, наличие в черных списках, отсутствует DKIM и SPF-правила. Также могут быть неверные настройки DNS-записей, неверный HELO/EHLO, исходящий сервер не поддерживает SSL соединения. Комплексную проверку на спам также можно через наш онлайн-инструмент тест на спам
    • 500x We do not accept mail from dynamic IPs
    • 500x Access from ip address blocked
    • 500x spam message discarded/rejected
    • 500x Spam message rejected
    • 500x Message rejected under suspicion of SPAM
    • 500x Message rejected as spam by Content Filtering
    • 500x Sorry, message looks like SPAM to me
    • 500x SPF check failed
  • Ошибки на стороне получателя, пользователь не существует, ящик получателя переполнен. Проверить email на существование и переполненность можно через бесплатный валидатор email
    • 500x message sending for this account is disabled
    • 500x User not found
    • 500x No such user
    • 400x Mailbox Full
    • 400x Space shortage, please try later: retry timeout exceeded

Да, информации очень много, работа почты на сервере состоит из многочисленных технических тонкостей. Продолжим по второй группе ошибок, напомню это безопасность и шифрование. Тут проще, каждый почтовый сервер должен разрешать отправку только авторизованным пользователям, т.е. не быть open-relay (открытый релей) и поддерживать безопасное соединение SSL/TLS. Open-relay (открытый релей) это крайне плохо и значит, что кто угодно и без вашего ведома может отправлять письма через Ваш smtp-сервер, как минимум ухудшение доставляемости, а максиму блокировка сервера хостером или почтовыми службами. Наш инструмент также делает тест на open-relay (открытый релей).

Мы постарались рассказать вкратце о частых ошибках на smtp-сервере, тем не менее многое не рассказали, т.к. часто серверы получателей возвращают совершенно непонятные ошибки или вовсе ведут себя не предсказуемо, все на усмотрение системного администратора обслуживающего почтовый сервер получателя. Проверить свой почтовый сервер (smtp-сервер) можно с помощью нашего бесплатного инструмента, просто введите адрес/хост сервера в поле в начале сайта.

Помощь

Аудит безопасности сервера

Проводите аудит безопасности сервера раз в месяц для своевременного обнаружения возможных проблем, связанных с проникновением злоумышленников на сервер.

Если вы не видите никаких признаков сторонней активности на VPS или сайте, выполните следующий ряд проверок и корректив для защиты сервера от взлома.

Настройки на прикладном уровне

Если на сервере установлены CMS, то проверьте, установлены ли все последние обновления.

Joomla

В корневой директории сайта найдите файл changelog.txt, в котором отыщите информацию о версии CMS. Если она устарела, обновите Joomla.

WordPress

Выполните поиск файла wp-includes/version.php, в котором отыщите информацию о версии CMS. Если она устарела, обновите WordPress.

Выполните поиск файла engine/data/config.php, отыщите строчку version_id и убедитесь, что версия не устарела.

Также проверьте файлы engine/ajax/updates.php и upgrade/index.php (параметр $dle_version).

1C-Битрикс

Выполните поиск файла /bitrix/modules/main/classes/general/version.php, в котором отыщите информацию о версии CMS. Также проверьте файл /bitrix/admin/update_system.php. Если версия устарела, обновите 1C-Битрикс.

Drupal

В корневой директории сайта найдите файл changelog.txt, в котором отыщите информацию о версии CMS. Если она устарела, обновите Drupal.

Проверьте версию ядра в файле /modules/system/system.info.

Также вы можете обнаружить версию CMS через панель управления.

Выполните проверку веб-сервера.

Apache

Откройте конфигурационный файл Apache (в зависимости от версии это могут быть файлы httpd.conf, httpd2.conf, apache.conf, apache2.conf) и проверьте, есть ли в нем директива, отключающая вывод информации о версии веб-сервера:

Если этой директивы нет, то добавьте и сохраните файл.

Выполните поиск файла secure.conf, откройте его для просмотра и сверьте его содержимое со следующим примером:

В вашем secure.conf не должно быть существенных отличий от приведенного примера.

Проверьте установленный МРМ командой

Для более прочной безопасности используйте mpm_itk, если нет острой необходимости в mpm_prefork.

Если вы хотите изменить МРМ, выполните переустановку, предварительно сделав резервные копии конфигурационных файлов. После переустановки проверьте, является ли владельцем сайта и всех его директорий пользователь.

Nginx

Откройте конфигурационный файл веб-сервера (nginx.conf), перейдите в секцию http и проверьте, есть ли в ней директивы, которые лимитируют количество подключений с одного IP-адреса:

Читать еще:  Безопасный режим клавиша

Если этих директив нет, то добавьте и сохраните файл.

Заблокируйте некоторые агенты пользователя (user agents) для блокировки нежелательного трафика. В секцию http конфигурационного файла Nginx добавьте директиву

Заблокируйте ссылочный спам (referral spam), добавив в секцию http конфигурационного файла Nginx директиву

ISPmanager

В панели управления ISPmanager выполните следующие проверки.

Проверьте, ограничен ли доступ к панели управления по IP-адресу.

Настройте резервное копирование данных, если оно не включено. Мы рекомендуем использовать внешний диск для бэкапа, чтобы исключить потерю данных вместе с архивом.

Откройте конфигурационный файл php.ini и добавьте следующие директивы.

В конфигурационный файл NTP (по умолчанию /etc/ntp.conf) добавьте строки, запрещающие рекурсивные запросы:

В файл named.conf поместите следующие строки, запрещающие рекурсивные запросы:

Проверка владельца директории сайта

Проверьте, кому принадлежит основная директория сайта и все ее поддиректории.

В панели инструментов ISPmanager перейдите в раздел “Система” -> “Менеджер файлов” и откройте директорию сайта. Убедитесь, что в столбцах “Владелец” и “Группа” стоит пользователь-владелец сайта. Чтобы изменить эти атрибуты, нажмите кнопку “Атрибуты” на панели инструментов.

Допустимые имена владельца сайта apache, www, www-data, если вы используете mpm_prefork. Мы рекомендуем использовать mpm_itk для укрепления безопасности.

Если сайт содержит папки общего доступа (например, upload, tmp), то для них допустимо имя владельца 777. Убедитесь, что этот пользователь установлен только на нужные директории, выполнив команду

Она отыщет все папки и файлы, владельцем которых является 777.

Настройки на уровне операционной системы

rkhunter

Используйте утилиту rkhunter для выявления потенциальных уязвимостей сервера.

Для установки утилиты используйте команду:

Для обновления базы этой утилиты выполните команды

Выполните проверку системы командой

В процессе проверки несколько раз вам необходимо нажать клавишу Enter для продолжения. По окончании появится сводная информация о результате проверки.

Результаты проверки помещаются в лог файл /var/log/rkhunter/rkhunter.log, просмотрите его на предмет предупреждений и ошибок.

sysctl

Используйте утилиту sysctl для управления параметрами ядра системы. Откройте конфигурационный файл утилиты /etc/sysctl.conf и внесите следующие строки.

Отключите возможность маршрутизации входящего трафика, поскольку злоумышленник может использовать эту возможность для подмены IP-адресов:

Отключите ответы на ICMP-запросы по широковещательному каналу — это поможет предотвратить smurf-атаки:

Отключите ведение журнала о неправильных сообщениях об ошибках:

Включите защиту от переполнения памяти:

Включите использование памяти ASLR:

Отключите возможность переадресации ICMP-сообщений:

Если вы не используете на сервере VPN или другие специальные приложения, отключите форвардинг:

Включите защиту от SYN-флуда — использование SYN cookies:

Установите количество попыток передачи SYN-ACK пакетов:

Установите время, через которое сервер проверяет соединение, если оно давно не используется (по умолчанию это 2 часа):

Установите количество проверок соединения прежде, чем оно будет разорвано:

Установите время пребывания сокета в состоянии FIN-WAIT-2:

net.ipv4.tcp_fin_timeout=30

fstab

Проверьте конфигурационный файл fstab (/etc/fstab), в котором содержится информация о дисках, разделах и устройствах хранения, указывается как они монтируются в систему.

Обратите внимание, что некорневые разделы должны иметь параметр nodev. Если /tmp примонтирована отдельным разделом, добавьте nodev, noexec, nosuid для этого раздела.

rsyslog

Проверьте системный лог файл /etc/rsyslog.conf.

Обратите внимание на следующие строки, которые должны иметь вид:

Также убедитесь, что лог файл не пустой, т.е. логирование корректно ведется.

sudo

Проверьте, корректно ли настроена утилита sudo (или su), которая позволяет пользователю запускать некоторые команды и программы с правами суперпользователя root. Настройки этой утилиты находятся в конфигурационном файле /etc/sudoers или /usr/local/etc/sudoers. Откройте его для редактирования

Найдите строку, которая прописана по умолчанию и разрешает суперпользователю root запускать любые команды.

Для того, чтоб наделить всех пользователей привилегией запускать команды от имени root, добавьте ниже строку:

Для того, чтоб наделить определенного пользователя привилегией запускать только некоторые команды от имени root, добавьте строку:

Настройки на сетевом уровне

Проверьте, какие порты на сервере открыты и какие службы их используют, выполнив команду

Например, запись 127.0.0.1:53 748/named означает, что служба named использует 53 порт. Проверьте, что среди работающих служб находятся только необходимые, отключите все остальные.

FTP

Установите диапазон используемых портов для пассивного режима FTP. Для этого откройте для редактирования конфигурационный файл вашего FTP-сервера и добавьте строки:

Без особой необходимости не используйте FTP-протокол, вместо него работайте по SFTP. Если все же необходим FTP, добавьте следующие строки в конфигурационный файл:

iptables

Проверьте, правильно ли настроен фаервол. Для iptables выполните команду

Эта команда выводит в командную строку все правила фаервола iptables. Также эти правила можно просмотреть и отредактировать в конфигурационном файле фаервола /etc/sysconfig/iptables — для ОС CentOS, /etc/network/if-up.d/ispmgrfw — для ОС Debian/Ubuntu.

В правилах фаервола закройте все порты, кроме тех, которые используются работающими на сервере службами. Для этого измените строки

Чтобы открыть нужные порты добавьте строки вида

где 53 — номер порта который нужно открыть.

Перед тем, как вносить изменения в конфигурационный файл фаервола, сделайте копию работающего файла.

Правила фаервола можно настраивать из панели управления ISPmanager.

SSH

Откройте конфигурационный файл SSH:

Проверьте, что следующие строки не закоментированы:

Включите SFTP, добавив в sshd_config строку:

Прочие настройки и рекомендации

Почтовая очередь

Проверьте почтовую очередь на предмет переполнения и убедитесь, что среди сообщений нет спама.

Выполните команду mailq и просмотрите список сообщений. Если список очень большой, то выборочно проверьте сообщения, которые могут быть спамом. По идентификатору (например, BD65F10DEE4) определите отправителя письма. Команда

выводит заголовок письма, а команда

даст просмотреть тело сообщения.

Среди заголовков сообщения поле From: содержит отправителя, а X-PHP-Originating-Script — скрипт, которым было отправлено сообщение.

Программное обеспечение

Проверьте программное обеспечение сервера на предмет уязвимостей.

ОС CentOS

Выполните команду, которая выводит перечень файлов установленного программного обеспечения недавно модифицированных:

Проанализируйте, какие файлы и как были изменены, используя следующие значения параметров:

Например, строка S.5. T. c /etc/httpd/conf/httpd.conf означает, что httpd.conf является конфигурационным файлом, был изменен его размер, контрольная сумма и дата последнего изменения. Поскольку это конфигурационный файл, то эти изменения не вызывают подозрений.

Обратите внимание на файлы, у которых без видимой причины изменены значения контрольной суммы. Для таких файлов выполните команду:

Читать еще:  Запуск xp в безопасном режиме

В результате команды на экран выводится подробная информация об изменении этого файла.

для установки security-update.

ОС Debian

Выполните команды, которые проверяют контрольные суммы MD5 для установленных программ:

Выполните следующие команды для проверки security-update:

Для установки security-update выполните команду:

Проверьте наличие во всех репозиториях сверки gpg, выполнив команды:

Неиспользуемые службы

ОС CentOS

Выполните команду, которая выводит список неиспользуемых служб:

Для отключения запуска неиспользуемой службы выполните команду:

ОС Debian

Выполните команду, которая выводит список неиспользуемых служб:

Для отключения запуска неиспользуемой службы выполните команду:

Как проверить сервер на безопасность

Содержание статьи

  • Как проверить сервер на безопасность
  • Как узнать, какие порты открыты
  • Как обеспечить безопасность сайта

Обеспечение безопасности PHP на Apache

Запустите протокол «phpinfo ()» и проверьте линию командой «open_basedir». С помощью этой команды вы можете определить базовый каталог для всех пользователей. После установки этого значения, они больше не будут иметь возможность открывать файлы вне этой корневой папки или ее подкаталогов как, например, «C:Windows».

Если у вас есть другие структурные каталоги, определите их в качестве базового каталога командой «www_root». Однако один пользователь также сможет читать и изменять файлы другого пользователя. Это необходимо предотвратить.

К сожалению, не существует опций в файле «php.ini» для того, чтобы запретить одному пользователю получать доступ к данным другого.

Но есть один интересный способ, если PHP работает на Apache. В «phpinfo ()» вы найдете две колонки: «Основное Значение» и «Локальное значение». Первое является значением в «php.ini». Второе — это значение, которое определяется в процессе работы сервера.

Если основное значение невелико в цифровом эквиваленте, то оно может быть изменено в сценарии при помощи команды «ini_set ()». Это не относится к «open_basedir», потому что это значение является критическим для безопасности, и может быть изменено только администратором.

В Apache конфигурационный файл «httpd.conf» можно указать в справочнике под локальным значением «open_basedir».

Другие настройки PHP

С помощью установки «disable_functions» в файле «php.ini», необходимо отключить функции, которые потенциально опасны.
Тщательно обдумывайте каждое свое действие. Отключение функции означает, что кое-какие скрипты перестанут работать.

Некоторые функции действительно опасны и обычно не требуются для сценариев. Другие — могут быть необходимы для определенных целей. Поэтому непросто отключайте все функции, которые могут быть опасными, но и тщательно взвешивайте свои решения.

Не верьте в то, что одной функции «safe_mode = On» будет достаточно. Она может отключить некоторые полезные функции и не решить проблему безопасности, описанную выше. Безопасный режим не рекомендуется в PHP 5.3.0 и удаляется в PHP 6.0.0.

Проблемы защиты

Есть несколько ошибок, которые веб-разработчик может допустить и сделать сайт небезопасным.

Например, если вы создаете свой блог и позволяете пользователям загружать изображения, это может быть серьезной опасностью, когда код написан новичком. Есть несколько ошибок, которые программист может сделать на странице входа и т. д. Одна из самых распространенных – отсутствие запрета на загрузку вредоносных алгоритмов.

Важным моментом является то, что один небезопасный сайт на общественном хостинге является угрозой для всего сервера. Также установка Open Source проектов, как, например, PHP-Nuke может быть рискованной. Несколько уязвимых мест в подобных проектах уже было обнаружено.

Чек-лист проверки доступности сервера

Если ваш сайт не открывается или подключиться к серверу не удается, то это не всегда означает, что VDS полностью недоступен. В некоторых случаях это может быть связано с ошибками работы лишь части функционала виртуального сервера, которые по силам исправить самостоятельно.

Чтобы вы могли проверить, действительно ли недоступен сервер, мы подготовили чек-лист.

1. Проверяем, есть ли пинг

Для этого запустите терминал командной строки (Если ваш ПК на Windows, запустить ее можно так: Пуск — Выполнить — cmd — ОК ) и в открывшемся окне наберите:
ping ваш.домен или ping ваш_IP-адрес .

Если по результату выполнения в пункте Lost будет 0 (или 0% Loss) или в русском варианте — потеряно 0, как выделено на скриншоте ниже, то сервер доступен:

2. Исключаем проблему с DNS

Все дальнейшие манипуляции по проверке доступности необходимо проводить не по имени домена, а по IP-адресу вашего VDS. IP-адрес можно посмотреть в письме об открытии услуги или в Личном кабинете — вкладка Виртуальные серверы . Скопируйте IP в адресную строку браузера, как если бы вы открывали сайт. Если по IP есть какой-либо доступ к серверу, но такого же доступа нет по имени домена, то проблема, возможно, в DNS, но главное — сервер доступен.

3. Исключаем проблему не запущенного http-сервера, закрытых портов, протоколов

Если пинг по IP не проходит, но работает хотя бы один из вариантов:

  • панель управления (ISPmanager) открывается;
  • есть доступ по SSH;
  • есть доступ по FTP;

значит потеряны не все возможные доступы на сервер, то есть, в целом, сервер доступен.

4. Исключаем проблему местного интернет-провайдера, отдельного устройства или роутера.

Первый способ. Вы просите знакомого, который находится в другой точке, проверить доступ к серверу, или сами заходите с другого устройства через другого провайдера интернета. Если в этом случае доступ на сервер есть, то проблема, возможно, в вашем подключении к интернету, но главное — сервер доступен.

Второй способ. Если другой точки проверки у вас под рукой нет, то можно воспользоваться сервисом https://ping-admin.ru/free_test/ — бесплатная проверка доступности сайта из различных частей мира. Таким образом можно проверить, пингуется ли IP VDS с разных точек мира. Если с большинства точек пинг есть — сервер доступен.

Примечание: если у вас VDS на ОС Windows Server, велика вероятность, что пинга не будет. Это распространенный случай — таковы стандартые настройки системы. Поэтому для Windows не рекомендуем использовать способ проверки через пинг-сервисы.

5. Исключаем ограничение доступа со стороны хостинг-провайдера, низкий баланс или аварию

Для этого необходимо проверить баланс лицевого счёта, статус VDS в личном кабинете в разделе Товары Виртуальные серверы и уведомления от нас в разделе Поддержка — Запросы и Поддержка — Уведомления .

Читать еще:  Iso информационная безопасность

6. Исключаем сетевую недоступность

Часто, изменение сетевых настроек или правил фаервола может привести к недоступности сервера по сети. Но он по-прежнему будет доступен для управления.

Для OpenVZ

Если сервер запущен, но не работает сеть, в большинстве случаев зайти на сервер получится только специалистам службы поддержки. Однако, если у вас в панели VMManager есть кнопка SSH (см. скриншот), то при клике на неё откроется консоль сервера. Это будет означать, что виртуальный сервер запущен, но недоступен по сети.

Для KVM

В отличие от программной виртуализации у администратора VDS есть доступ к «монитору» VDS, в панели VMmanager (в Личном кабинете в разделе Товары — Виртуальные серверы — выбрать сервер и нажать сверху Перейти ) в разделе Управление — Виртуальные машины — выбрать машину и нажать сверху VNC :


После этого, если откроется консоль сервера (см. скриншот ниже), попробуйте авторизоваться, точно так же, как если бы вы подключались по SSH.

Если авторизация прошла успешно, значит сервер работает, но недоступен по сети.

Если по всем пунктам доступ к серверу так и не получен, это значит только одно — самостоятельно восстановить его работу вам не удастся. Обратитесь в службу поддержки за помощью.

7 онлайн-сервисов для тестирования уязвимостей сайта на WordPress

Введение

WordPress имеет много почитателей и много противников, главный аргумент которых — платформа слишком подвержена риску взлома, ее постоянно атакуют хакеры и боты.

Доля справедливости в их мнении есть — движок WordPress действительно имеет множество недочетов, которыми пользуются злоумышленники. Компания Sucuri рассказала , что в третьем квартале 2016 года 74% всех случаев уязвимости и заражения сайтов пришлись на сайты с CMS WordPress.

У многих после прочтения подобных новостей в голове начинают крутиться вопросы «А безопасная ли эта платформа? Стоит ли использовать ее на своем сайте?» Хотя на самом деле подумать нужно о другом — что можно сделать, чтобы сделать ваш сайт более защищенным?

Подходить к решению этой задачи можно только комплексно: стоит подумать о файерволе, защищающих, в том числе антивирусных плагинах и так далее. Однако стоит подумать о возможностях защиты и вне WordPress — онлайн-сканеры могут найти те бреши в вашем сайте, о которых вы даже не догадывались.

Ниже я расскажу о 7 полезных онлайн-сервисах — сканерах, которые помогут определить, если на вашем сайте:

  • несанкционированные перенаправления, рекламные материалы или бэклинки (внешние ссылки);
  • вредоносные программы;
  • хотлинки;
  • инфицированные плагины или темы;
  • и многое другое.

1 Hacker Target WordPress Security Scan

Этот сканер заточен специально под поиск проблемных элементов на WP сайте. Он анализирует темы и плагины, а также другие элементы сайта, которые могут содержать зловредный код.

Бесплатный анализ включает в себя проверки:

  • необходимости обновить версию WordPress;
  • необходимости обновить версию плагинов;
  • проблем с ID пользователя и так далее.

2 Scanurl

Ссылка : https://scanurl.net/

Это достаточно простой сканер, который расскажет о таких вещах:

  • пометил ли кто-нибудь ваш сайт как небезопасный;
  • пройдет ли сайт тест Google Safe Browsing ;
  • есть ли на вашем сайте файл PhishTank;
  • есть ли в Web of Trust негативные оценки вашего сайта.

Дополнительно сканер дает ссылки на ресурсы с другими сканерами безопасности.

3 Sucuri Website Malware and Security Scanner

Этот онлайн-сканер не даст вам детальную информацию, но в целом проанализирует следующее:

  • стоит ли старая версия WordPress;
  • проблемы (или вообще отсутствие) файервола;
  • домен находится в черном списке в некоторых системах безопасности (Google, Norton и т.п.);
  • список ссылок, расположенных на вашем сайте (вдруг там есть те, которые вы не добавляли);
  • список скриптов (опять же, на тот случай, если какие-то из них вы увидите в первый раз).

Sucuri — это качественный сканер, который найдет и отобразит информацию о возможных проблемах.

4 SiteGuarding.com

SiteGuarding.com работает примерно так же, как и остальные сканеры в этом списке. Но стоит отдельно отметить удобное и симпатичное отображение результатов сканирования.

Даже начинающий пользователь WordPress сможет разобраться, как пользоваться этим инструментом, и где находятся проблемные места сайта.

Что конкретно покажет SiteGuarding.com:

  • устаревшую версию WordPress;
  • нахождение сайта в черных списках;
  • обнаружение файервола;
  • анализ внутренних ссылок;
  • список плагинов, тем и скриптов (для того, чтобы проверить, что там нет неизвестных вам элементов).

5 UpGuard

Онлайн-сканер от UpGuard стоит выделить уже хотя бы потому, что он показывает анализ безопасности в формате геймификации. После сканирования вы получите определенное количество баллов, в зависимости от следующих факторов:

  • установлен ли у вас SSL-сертификат;
  • есть ли защита доменного имени;
  • замечено ли на сайте вредоносное ПО;
  • открытая информация о сервере;
  • включена ли SPF (Sender Policy Framework, инфраструктура политики отправителя);
  • и многое другое.

6 WP Neuron WordPress Vulnerability Scanner

Этот сканер предназначен специально для сайтов, работающих на WordPress. Сканируются плагины и темы вашего сайта, поэтому если смысл воспользоваться им, если вам кажется, что в этих элементах могут быть какие-либо проблемы. Традиционно сканер также расскажет, актуальная ли у вас версия WordPress, все ли хорошо с robots.txt, и обо всех странностях, которые заметит на вашем сайте (но основная информация все равно будет именно о плагинах и темах).

7 WPRecon WordPress Uptime & Security Monitoring

В целом этот сканер похож на Hacker Target WordPress Security Scan (который шел под номером один), но есть три ключевых различия. Помимо основной информации, сканер также предоставляет данные о:

  • внутренних ссылках;
  • JavaScript ссылках;
  • iFrame ссылках.

Эта информация поможет намного быстрее заметить и исправить любые проблемы, о которых в противном случае вы бы даже не догадывались.

Как часто пользоваться сканерами?

Проверка уязвимостей и возможных проблем на сайте – это регулярная процедура, которую следует производить хотя бы раз в месяц, но лучше чаще, так как взлом может принести вам немало проблем.

В конце статьи я хочу дать несколько общих советов по защите своего сайта на виртуальном хостинге в России (опытным пользователям они могут показаться банальными, но новичкам будут полезны).

Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector