Tvůrci nejrozšířenějšího bezpečnostní pluginu pro WordPress – Wordfence, spustili nový projekt s názvem Gravityscan. Jedná se o online nástroj pomocí kterého můžete otestovat váš WordPress zdali neobsahuje nějakou bezpečnostní díru anebo není už napadený. Celé provedení je velice jednoduché a celým testem vás dokonce provede informační video. Je vidět že služba cílí na běžné uživatelé, kteří nemají moc technických znalostí.

Adresu vašeho webu prostě zadáte do formuláře a kliknete na LAUNCH SCAN.

Test trvá něco přes minutu. U větších webů, to může být určitě i delší dobu. V průběhu vidíte počet testů, přenesená data, nalezené chyby, kam se zkouší dostat a co právě testuje. Pokud dbáte na bezpečnost, tak do některých adresářů by se správně ani dostat neměl 😉

Velice mě zaujal test na přítomnost webu v různých blacklistech. Mezi ně patří i Google Safe Browse. Pokud se dostanete na tento seznam, tak návštěvníci s prohlížeči Chrome, Firefox a Safari uvidí varování. Tato varování jsou dosti výrazná a většina lidí si rozmyslí návštěvu vašeho webu.

Dalším důležitým je McAfee Site Advisor. Pokud jej uživatel používá, tak nejenže je varován v případě, že chce váš web otevřít, ale také jej McAfee Site Advisor označí ve výsledcích vyhledávání jako nebezpečný.

Na blacklist se můžete dostat rychle, odstranění však chvilku trvá. Nejen v případě eshopu to může znamenat velké ztráty.

Jedním z příznaků napadení je i přesměrování uživatele na jiné stránky. Gravityscan hledá na vašem webu specifický JavaScript, který toto provádí. Například u mě jej našel, ale jedná se o kus textu, který slouží jako ukázka. Také by se ale mohlo klidně jednat o nepovedený útok.

WordFence se postaral o to, aby z webu zmizely informace o tom, že je postaven na WordPress a jeho verze. Samozřejmě toto se velmi špatně skrývá, když znáte adresářovou strukturu a obvyklá místa s různými textovými soubory. Gravityscan takto odhalil že jde o WordPress ale už nenašel verzi. Odhalení staré verze WordPress značně případnému útočníkovi ulehčí práci. Může totiž podle zdokumentovaných chyb jít na jistotu.

Jednou z funkcí Gravityscan je i hledání odkazů, které by mohli poškodit váš web ve vyhledávačích. Takovéto odkazy často najdete hlavně v komentářích. Buď přímo jejich textech anebo jako odkaz ve jméně uživatele. Nespoléhejte na nofollow u odkazů, ten vám v případě nebezpečných odkazů nepomůže. Vyhledávače to berou z pohledu uživatele.

V případě, že používáte i SSL/TLS certifikát, tak dojde k jeho ověření a to včetně data platnosti. To si chce hlídat, protože expirované certifikáty mohou napáchat škody. Internetový prohlížeč návštěvníka vždy varuje.

Pokud Gravityscan objeví problém, tak vám hned neřekne, kde máte bezpečnostní díru. Nejdříve vyžaduje ověřit zdali jste vlastníkem webu. Musíte vložit značku a potvrdit tak vlastnictví. Teprve poté se dozvíte bližší informace. Samozřejmě po ověření můžete značku zase odstranit. Zajímavé na tom všem je, že Gravityscan nevyžaduje jakoukoliv registraci.

Gravityscan má i placenou verzi. Za 10 USD/měsíc web, získáte automatické skenování, které vás včas upozorní na případný problém a ušetří hodně starostí.

Share on FacebookTweet about this on TwitterShare on Google+Share on LinkedInBuffer this page