Mniej znane darmowe skanery bezpieczeństwa WordPressa [2024]

waf-wordpress-cms-skaner-podatnosci-bezpieczenstwa-darmowy

Normalnie nie zdradzamy naszym potencjalnym klientom takiej tajemnej 😉 wiedzy, ale tym razem podzielimy się ciekawymi narzędziami cybersecurity dla WordPressa, które są troche mniej znane od takich flagowców jak Sucuri, Wordfence, czy WPScan, ale jednocześnie prównywalnych czy nawet czasem lepsze. Każdy z tych skanerów działa trochę inaczej i kompleksowo zdianozuja poziom bezpieczeństwa Twojej witryny. Być może czasem będzie potrzebna wiedza, więc jeśli masz jakieś problemy to pisz śmiało w komentarzach. Postaram się pomóc.

Jeśli sam nie pracujesz nad bezpieczeństwem swojej strony, to zobacz naszą oferte optymalizacji bezpieczeństwa oraz opieki technicznej.

Quttera

Quttera to platforma do wykrywania i ochrony przed złośliwym oprogramowaniem. Oferuje skanowanie stron internetowych w poszukiwaniu złośliwych stron i zagrożeń. Quttera specjalizuje się w wykrywaniu zagrożeń związanych z bezpieczeństwem stron internetowych.

Plusy

✅️Wykrywanie złośliwego oprogramowania złośliwych stron i zagrożeń.
✅️Dodatkowa ochrona przed przed DDoS
✅️Firewall dla aplikacji internetowych

Minusy

🛑Quttera jest obecnie w fazie testów alfa, co może oznaczać, że nie wszystkie funkcje są jeszcze dostępne.
🛑Niektóre strony mogą być oznaczone jako podejrzane, mimo że nie są.

⚠️Quterra ma swoją dedykowaną wtyczkę do WordPressa, więc można o bezpieczeństwo strony zadbać „od środka”. Skanner od tego narzędzia czasem faktycznie przedobrza i ma dosyć sporo false positive, ale bierze się to z tego, że ma inne podejście, niż inne typowe skanery sprawdzające wyłącznie sumę kontrolną.

Immuniweb [Community Edition]

ImmuniWeb Community Edition to bezpłatne narzędzie do testowania bezpieczeństwa, które pomaga w ochronie aplikacji webowych i mobilnych, testowaniu certfikatów SSL oraz podstawowemu monitoringowi DarkWeb.

Plusy

✅️ Oferuje szeroki zakres testów bezpieczeństwa, w tym skanowanie stron internetowych, testy bezpieczeństwa aplikacji mobilnych i monitorowanie Dark Web.
✅️ Opcja prywatnego skanowania bez logowania
✅️ Jest używany przez indywidualnych programistów, małe firmy i lokalne rządy.

Minusy

🛑Podczas skanowania stron internetowych, niektóre strony mogą być oznaczone jako podejrzane, mimo że nie są
🛑Niektóre funkcje mogą być dostępne tylko w płatnej wersji.
🛑Spamują kiedy założysz darmowe konto, żeby zautomatyzować darmowe skanowanie

⚠️Możesz założyć darmowe konto żeby maksymalnie 3 domemy skanować raz w tygodniu, ale sa tu dwa problemy. Po pierwsze musisz mieć e-mail w firmowej domenie, bo nie akceptują damorwych skrzynek, a po drugie jakiś John lub inny James zaspamuje ci skrzynkę biznesowymi ofertami. Jeśli na nie nie odpowiesz lub odpowiedsz negatywnie, to w magiczny sposób automatyczne skanowanie sie wyłączy. Dlatego lepiej jest wracać i co jakiś czas skanować stronę ręcznie, bo to całkiem wartościowe narzędzie, tylko model biznesowy bylejaki.

Pentest-Tools [Wordpress Scanner Light]

Pentest-Tools.com WordPress Scanner to narzędzie do testowania bezpieczeństwa, które pomaga w ochronie stron WordPress. W darmowej wersji Light Scan oferuje krótki przegląd strony internetowej, identyfikując technologie strony i potencjalne podatności.

Plusy

✅️ Light Scan wykonuje szybkie skanowanie strony i szuka potencjalne podatności w ciągu kilku minut.
✅️ Narzędzie jest proste w obsłudze, co czyni je dostępnym dla użytkowników na różnych poziomach zaawansowania.
✅️ Oferuje półzautomatyzowane testy Google Dorking

Minusy

🛑Wersja darmowa oferuje tylko podstawowe funkcje skanowania, a niektóre zaawansowane funkcje są dostępne tylko w płatnej wersji.
🛑Podczas skanowania, niektóre strony mogą być oznaczone jako podejrzane, mimo że nie są.

⚠️Tak jak wyżej dodatkowym atutem palety narzędzi spod bandery Pentes-Tools.com jest całkowicie darmowy półautomatyczny skaner Google hacking. Półautomatyczny, bo wymaga ręcznego wpisania adresu i wybrania opcji jakie ma testować skaner. Bardzo przydatne narzędzie do testowania czy Gogole nie zaindeksował „za dużo”.

Urlscan.io

Urlscan.io to silnik skanowania i analizy stron internetowych. Przyjmuje adresy URL i generuje bogate dane, w tym domeny, informacje IP, informacje DOM i ciasteczka, a także zrzuty ekranu.

Plusy

✅️Generuje bogate dane, które pomagają w analizie potencjalnie szkodliwych stron.
✅️Narzędzie jest proste w obsłudze, a na tyle zaawansowane, co czyni je dostępnym dla użytkowników na różnych poziomach zaawansowania.
✅️Możliwość prywatnego skanowania bez logowania

Minusy

🛑Podczas skanowania, niektóre wrażliwe dane mogą być nieświadomie ujawnione.
🛑Niektóre strony mogą być oznaczone jako podejrzane, mimo że nie są.

⚠️Totalny kombain jeśli chodzi o skanery i mimo, że część funkcji jest płatna, to ilość darmowych danych jaką generuje skaner jest na tyle duża, że wystarczy do wykrycia większości podatności jak np. ukryte linki służące do Black SEO. Pamietaj ustawić prywatne skanowanie w opcjach, żeby Twoja webaplikacja nie była na publicznej liście. Bardzo rzadko zdarzają sie false positive, więc warto korzystać z tego skanera.

Leaksix.net

Leakix.net to nowy projekt, który skanuje podsieci i gromadzi informacje. Jest to darmowe narzędzie, które działa w trzech trybach: usługi, wycieki i aplikacje internetowe.

Plusy

✅️Skupia się na wynikach wyszukiwania, wykrywa usługi korzystające z słabych haseł i jest w trakcie rozwijania funkcji dla aplikacji internetowych.
✅️Oferuje API, które pozwala na automatyczne wykorzystanie wyników skanowania w twoich projektach.
✅️Narzędzie posiada również zespół reguł dotyczących WordPressa.

Minusy

🛑Niektóre elementy są nadal w fazie rozwoju, co może oznaczać, że nie wszystkie funkcje są jeszcze dostępne.
🛑Podczas skanowania, niektóre strony mogą być oznaczone jako podejrzane, mimo że nie są.
🛑Niektóre wyniki moga być niezrozumiałe dla mniej zaawansowanych użytkowników.

⚠️Leakix.net to takie narzędzie do szukania usług albo potencjalnych wyciekaów. W WordPressie Leakix mocno skanuje WP-REST i próbuje np. uzyskać potencjalne loginy użytkowników. Warto tu wracać i wpisywać swoje adresy www. Jeśli jesteście bardziej techniczni, to warto wspomnieć o możliwościach API na darmowym koncie, bo są całkiem fajne. Jeśli chcesz zobaczyć możliwości tego narzędzia to wpisz gov.pl. 😐

Wafer od Cloudbrics

Wafer to darmowe narzędzie, które ocenia wydajność bezpieczeństwa Twojego WAF (Web Application Firewall). Działa poprzez wysyłanie testowego ruchu do Twojej strony i ocenę zarówno prawdziwych zagrożeń jak i reagowanie na false positive.

Plusy

✅️ Całkowicie darmowy
✅️Ocenia wydajność bezpieczeństwa WAF, korzystając z różnych wzorców testowych, takich jak OWASP, wzorce Exploit DB i wzorce ataków opracowane przez zespół badawczy Cloudbric Labs.
✅️Zakończeniu testu WAF, otrzymasz darmowy, pobieralny raport WAF w pliku PDF, który zawiera szczegółową analizę znalezionych na Twojej stronie podatności.
✅️Posiada zestaw testów dla popularnych wtyczek bezpieczeństwa dla WordPress, takich jak Wordefence, Sucuri czy All-In-One Security

Minusy

🛑Podczas skanowania, niektóre strony mogą być oznaczone jako podejrzane, mimo że nie są.
🛑Wyniki czas są niejednoznaczne i mogą wymagać technicznej wiedzy.
🛑Czasem są problemy z wygenerowaniem raportu w PDF

⚠️Żeby skorzystać z tego narzędzia trzeba zweryfikować własność domeny przez wpis DNS, umieszczenie pliku na serwerze lub metatagu w nagłówki strony. Dla jednych to wada, ale dla innych to zaleta bo mają kontrolę nad tym narzędziem. Warto spóbować – polecam.

Find this content useful? Share it with your friends!

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *