В этом обзоре — сканеры для простой и быстрой оценки безопасности сайта. Учитывались возможность бесплатного использования, простота использования, отсутствие необходимости регистрации пользователя, скорость обнаружения проблем и объем бесплатного функционала.
Не забывайте: если нужны точные и полные ответы о том, насколько уязвим ваш сайт и был ли он взломан, вам нужен пентест, который займет не меньше недели и будет стоить не меньше $1,5 тыс., либо расследование инцидента, если уже очевидно, что он произошел (например, дефейс, блокирование сайта, утечка информации и т.д.).
Классический коммерческий сканер. Проверяет сайты на множество уязвимостей. Требует регистрацию на корпоративный почтовый ящик. Есть бесплатное использование на протяжении 14 дней. Сервис дает полезные результаты.
Коммерческий сканер безопасности сайтов, который позволяет проводить несколько десятков автоматических тестов безопасности, включая тесты OWASP Top 10, тесты на наличие вредоносного программного обеспечения и многие другие. Сервис требует регистрацию, работает бесплатно только 14 дней. Сканирование идет несколько часов и дает приличное количество результатов.
Бесплатный онлайн-сканер. Имеет два режима: быстрый и нормальный. Не требует регистрации: нужно ввести адрес вашего сайта и адрес электронной почты для получения отчета. В быстром режим весь процесс сканирования занимает пять минут. Процесс нормального сканирования занимает от нескольких минут до нескольких часов, в зависимости от сложности и объема.
Сервис бесплатен и имеет простой, удобный и продуманный функциональный интерфейс. Сканер проверяет безопасность сервера вашего сайта, его соответствие требованиям стандартов PCI DSS и GDPR, заголовки HTTP, включая CSP, выполняет специфические тесты CMS для сайтов на базе WordPress и Drupal, проверяет уязвимости библиотек интерфейсов и многое другое. Работает не очень быстро, но предоставляет удобные и наглядные результаты.
Современный коммерческий сканер широкого спектра уязвимостей. Сервис имеет расширенные возможности вроде анализа безопасности облачных систем и API. Удобен в использовании. Требует регистрацию. Бесплатен на протяжении 30 дней.
Один из классических коммерческих сканеров. Конкурент Acunetix. Пробная бесплатная версия действует также 14 дней. Требует корпоративную регистрацию, предоставляет относительно много результатов.
Сканер бесплатный и легко запускается, но не дает результатов, если только ваш сайт уже не находится в базе данных сервиса.
Бесплатный сервис от знаменитого проекта Mozilla. Сканер помог владельцам нескольким десяткам миллионов веб-сайтов. Сервис простой в использовании, быстрый и наглядный. Он проверяет безопасность заголовков HTTP, выполняет тесты SSL, TLS, предварительной загрузки HSTS и т.д.
Быстрый и простой в использовании сканер, имеющий бесплатную и платную части. Бесплатное сканирование можно запустить только два раза. Оно не требует регистрации, но предоставляет ограниченные результаты.
Платный сканер уязвимостей имеет качественный пользовательский интерфейс и возможность пробного бесплатного использования в течение 14 дней. Регистрация и использование несложные. Probely удобен для разработчиков сайтов и веб-приложений. Он содержит не только функции поиска уязвимостей, но и полного цикла управления ими, включая их устранение. Сервис работает достаточно быстро, в бесплатном режиме выдает ограниченное количество результатов.
Бесплатный инструмент, в некоторой мере аналогичен Sucuri, описанному ниже, но дает немного больше результатов. Работает тоже немного дольше, хотя в целом довольно быстро — несколько десятков секунд. Сканер прост в использовании и позволяет проверить сайт на некоторый ограниченный перечень уязвимостей, наличие вредоносных и подозрительных файлов, а также анализирует присутствие сайта в списках безопасного просмотра и вредоносных программ.
Бесплатный сканер Sucuri оставляет неплохое впечатление. SiteCheck прост в использовании. Работает со всеми типами сайтов, а не только WordPress. Сервис имеет довольно ограниченный функционал — проверяет присутствие сайта в списках безопасного просмотра (Google, «Яндекс» и т.д.) и в черных списках, проверяет наличие файервола, мониторинга, некоторого вредоносного ПО, а также некоторых протоколов и заголовков.
Сервис сканирует сайты на наличие вредоносных программ, проверяет черные списки, спам и т.д. Сканер декларирует, что распознает WordPress, Joomla, Drupal, Magento, osCommerce, Bulletin и другие платформы.
Инструмент платный, с возможностью бесплатного демо. Настройка Tinfoil Security умеренно сложная. Отдельные тесты проводятся, даже если сайт защищен паролем, или для входа требуется регистрация. Есть функционал мониторинга.
Этот платный инструмент выполняет оценку рисков. Он использует информацию о различных параметрах сайта. Пробная бесплатная версия действительна 7 дней.
Знаменитый агрегатор антивирусов, который приобрела компания Google. Имеет также функцию агрегации черных списков сайтов. Работает бесплатно, максимально просто и мгновенно выдает результаты.
Бесплатный, простой в использовании, не требующий регистрации сканер на базе движка Sucuri, с двумя недостатками: 1) скорость работы, 2) функционал ограничен только некоторыми проверками (в основном, на известное вредоносное ПО).
Онлайн-сканер для проверки безопасности сайтов на базе WordPress. Сервис сканирует сайт с помощью Google Safe Browsing и движка Comodo. Сканер проверяет, есть ли вредоносный код, бэкдоры, вирусы, подозрительные скрипты и файлы.
Сканер бесплатен, прост в использовании и достаточно быстр. Среди систем своего класса имеет наиболее подробные и удобные отчёты, а также ссылки на дополнительный функционал. Инструмент проверяет версию WordPress, плагины, темы, идентификацию пользователей, индексирование каталогов, iframes, ссылки, JavaScripts и так далее. Результаты достаточно полные.
Сканер сайтов на WordPress с ограниченной бесплатной версией. WPsec использует распространенный бесплатный движок WPscan — сканер уязвимостей, работающий в командной строке. Он предоставляет информацию об устаревших версиях WordPress, его компонентов и других недостатках безопасности.
Это не сканер, а просто интерфейс к «черному списку» Google, то есть к базе данных, содержащей списки вредоносных сайтов. Многие сканеры, упомянутые в этом обзоре, используют Google Safe Browsing для своих результатов. Сервис интегрирован с Google Search Console. Если вдруг ваш сайт окажется в «черном списке», вы получите подробные инструкции о том, как удалить его оттуда. Сервис бесплатен, не требует регистрации, прост в использовании и быстр, но не проверяет сайты на уязвимости.
В благословенные офисные времена, когда не было большой войны и коронавируса, люди гораздо больше общались…
Вот две истории из собственного опыта, с тех пор, когда только начинал делать свою карьеру…
«Ты же программист». За свою жизнь я много раз слышал эту фразу. От всех. Кто…
Отличные новости! Если вы пропустили, GitHub Copilot — это уже не отдельный продукт, а набор…
Несколько месяцев назад мы с командой Promodo (агентство инвестировало в продукт более $100 000) запустили…
Пару дней назад прочитал сообщение о том, что хорошие курсы могут стать альтернативой классическому образованию.…