Publicité
À mesure qu'Internet évolue et que les systèmes sur lesquels il fonctionne deviennent plus difficiles à pirater, vous penseriez que les sites Web seraient moins piratés! En fait, l'inverse est vrai, le problème numéro un ne résidant pas dans le logiciel mais dans la complaisance humaine.
Une fois qu'un piratage éventuel est découvert, il peut se propager comme une traînée de poudre dans les communautés de pirates informatiques, donc garder votre site à jour et résoudre les failles de sécurité latentes est la meilleure défense absolue.
Cela dit, comment savoir si votre site est vulnérable? C’est là que le service gratuit HackerTarget.com entre.
Limitations et confusions d'inscription:
Les comptes gratuits vous permettent d'exécuter jusqu'à 4 analyses par jour, la seule autre clause étant que vous ne pouvez pas utiliser certaines analyses avec une adresse e-mail gratuite telle que Hotmail, Yahoo ou Gmail. Cependant, l'analyse WordPress est accessible à tous.
Deuxièmement, vous n'avez pas réellement besoin de vous inscrire - lancez simplement une analyse de sécurité (décrite plus loin) et vous recevrez un e-mail automatisé. La première fois que vous utilisez le service, cet e-mail contiendra un lien pour confirmer votre adresse e-mail. Après avoir cliqué sur ce lien, vous devrez à nouveau lancer une analyse. C'est un peu déroutant mais nous sommes tous des adultes, donc je suis sûr que nous nous en sortirons.
Quel type d'analyses pouvez-vous faire:
Ce service étonnant offre en fait une suite assez complète d'analyses de sécurité:
- WordPress / Drupal / Joomla
- Profilage de domaine
- WhatWeb Scan
- Empreinte digitale d'éléphant aveugle
- Analyse du serveur Nikto
- Test d'injection SQL
- Analyse de vulnérabilité OpenVAS
- Nmap Port Scanner
Nous n'avons pas d'espace pour traiter toute l'analyse, donc aujourd'hui je vais jeter un œil à l'analyse de sécurité WordPress, OpenVas et le test d'injection SQL.
Analyse de sécurité WordPress:
À la fin de votre analyse WordPress automatisée, vous obtiendrez un rapport joliment présenté. Voyons ce qu'il vous dit:
Infos sur le site
Cela affiche les versions de base du serveur ainsi que votre version WordPress si elle peut le trouver. Il vous indiquera également si votre WordPress est obsolète. Ceci est important, car les failles de sécurité se trouvent dans les anciennes versions et l'exécution de scans automatisés comme ceux-ci est si facile que vous pouvez rapidement vous retrouver la cible d'un piratage.
Liens et scripts du site
Cela montre un rapport de liens externes trouvés sur votre site ainsi que tout malware qui pourrait avoir été injecté dans votre page (ou intégrée à votre thème!) - assurez-vous de vérifier la liste et de vérifier tout ce que vous ne faites pas immédiatement reconnaître.
Informations d'hébergement
La dernière section répertorie des informations de base sur votre hôte ainsi que d'autres sites Web qui partagent la même adresse IP que la vôtre.
Test d'injection SQL:
Presque tous les hacks récents Sony Pictures Online piraté à l'aide d'une vulnérabilité «primitive et courante», données non chiffrées [Actualités]Jeudi soir, le groupe de hackers "LulzSec" a annoncé via Twitter avoir accédé à SonyPictures.com et volé plus d'un million de comptes, mots de passe et informations sensibles sur les utilisateurs. Peu après l'annonce de la nouvelle, des copies du ... Lire la suite dont vous avez entendu parler dans l'actualité par le tristement célèbre groupe de sécurité Lulzsec ont été exécutés à l'aide d'une attaque par injection SQL. Fondamentalement, cela signifie que les commandes SQL peuvent être exécutées directement sur le serveur en ajustant les paramètres d'URL ou en les entrant dans une zone de recherche. Cela fonctionne parce que de nombreux systèmes ne vérifieront pas ce qui leur est donné, ils le liront directement. XKCD explique mieux cela!
Avec un peu de chance, le rapport par e-mail que vous obtenez à partir d'un test d'injection SQL sera court et doux, indiquant qu'il n'a trouvé aucune vulnérabilité. Au fil des ans, WordPress s'est révélé vulnérable, mais ceux-ci sont généralement corrigés dès qu'ils sont trouvés - la leçon est donc, comme toujours - TOUJOURS MISE À JOUR.
Scanner IP OpenVAS:
Celui-ci pourrait être plus intéressant à exécuter sur votre adresse IP domestique (que vous pouvez trouver sur whatismyipaddress.com), car il s'agit essentiellement d'un scanner de ports. Il répertorie tous les ports ouverts sur le monde, qui ne sont alors qu'une autre voie d'accès pour qu'un pirate puisse atteindre votre PC. Une fois qu'un pirate sait quels ports sont ouverts et à quoi ils servent, il peut commencer à tester chacun d'eux tour à tour pour trouver des vulnérabilités sur eux. Exécutez sur votre adresse IP domestique, vous pouvez même trouver des processus voyous qui envoient secrètement des spams.
J'espère que vous essayez quelques-uns de ces incroyables analyses gratuites, surtout si vous gérez un blog et que vous êtes relativement ignorant de tout ce qui concerne la sécurité. Je dirais que je reviens ici si vous obtenez des résultats alarmants, mais cela pourrait faire de vous une cible - il est donc préférable de publier anonymement et de laisser votre adresse Web! Connaissez-vous des outils similaires en ligne (et fiables) conviviaux et gratuits pour effectuer ces analyses? Partagez cette connaissance!
Crédit d'image: ShutterStock
James est titulaire d'un BSc en intelligence artificielle et est certifié CompTIA A + et Network +. Il est le développeur principal de MakeUseOf et passe son temps libre à jouer au paintball VR et aux jeux de société. Il construit des PC depuis qu'il est enfant.
