Содержание
21 сервис быстрой проверки безопасности сайта
Сравнительный анализ сервисов оценки безопасности веб-сайтов
Как быстро понять, насколько уязвим ваш веб-сайт? Легко ли его взломать? А может, он уже взломан?
В общем случае, точные и полные ответы на эти вопросы даются непросто. Вам нужен пентест, который займёт не менее 1 недели и 1500 долларов. Либо расследование инцидента, если он уже очевиден. Например, произошёл дефейс или блокирование сайта, утечка информации и т.д.
А что если нужно заранее понять, насколько всё может быть плохо, но при этом не потратить много сил и времени? Например, для того, чтобы просто получить “пёрышко на чаше весов”, которое нарушит равновесие и ликвидирует последние сомнения о необходимости отложить публикацию сайта и поработать ещё пару недель над его безопасностью. Или чтобы попытаться самостоятельно найти крупную дыру, через которую уже произошёл взлом опубликованного сайта.
Самый быстрый и простой способ – просканировать сайт на уязвимости и другие проблемы безопасности.
Для этого нужно воспользоваться сервисами, которые мы описали в нашем обзоре онлайн-инструментов анализа безопасности сайтов.
Введение
Целью данного обзора не является определение самых функциональных и точных сканеров, предоставляющих максимум информации, а определение сканеров, оптимальных для быстрых задач оценки безопасности неспециалистами по безопасности.
Поэтому в ходе обзора мы оценивали следующий набор параметров: возможность бесплатного использования, простота использования, отсутствие необходимости регистрации пользователя, скорость обнаружения проблем и количество бесплатного функционала.
Обзор мы разделили на три части (“весовые категории” или “лиги”):
- 16 универсальных сканеров безопасности веб-сайтов.
- 4 узкоспециализированных сканера безопасности веб-сайтов на платформе CMS WordPress. Эта платформа была наиболее популярной платформой построения веб-сайтов на протяжении последних 10 лет, и остаётся наиболее востребованной в 2021 году.
- 1 полезный сервис оценки безопасности, включённый в бонусную категорию.
Сервисы оценки безопасности мы упорядочили по их названиям в алфавитном порядке.
Универсальные сканеры безопасности веб-сайтов
1. Acunetix
Классический коммерческий сканер уязвимостей веб-сайтов. Проверяет сайты на множество уязвимостей. Требует регистрацию на корпоративный почтовый ящик. Процесс получения временной бесплатной версии сложен. Бесплатное использование на протяжении 14 дней. Сервис даёт полезные результаты.
2. Detectify
Коммерческий сканер безопасности сайтов, который позволяет проводить несколько десятков автоматических тестов безопасности, включая тесты OWASP Top 10, наличие вредоносного программного обеспечения и многие другие. Сервис требует регистрацию, и работает бесплатно только 14 дней. Сканер достаточно сложен в использовании, хотя в сегменте коммерческих сканеров встречаются и более сложные продукты. Цены Detectify практически не отстают от уровня мировых лидеров рынка.
Сканирование работает медленно, несколько часов, и даёт приличное количество результатов.
3. H-X Scanner
Бесплатный онлайн-сканер уязвимостей. Работает с 2016 года и имеет два режима: быстрый и нормальный. Сервис достаточно прост в использовании и не требует регистрации. Нужно ввести адрес вашего сайта и адрес электронной почты для получения отчёта о безопасности. В быстром режиме первые результаты можно получить в реальном времени в течение нескольких секунд после запуска. Весь процесс сканирования в быстром режиме занимает 5 минут. В нормальном режиме не нужно держать сайт сканера открытым. Отчёты о сканировании приходят на емайл. Процесс нормального сканирования занимает от нескольких минут до нескольких часов, в зависимости от сложности и объёма сайта. В нормальном режиме отчёт весьма удобный. Он содержит резюме и подробности в табличном виде. Предусмотрен функционал ручной верификации уязвимостей. Общий вывод – очень удобный сервис с относительно подробными отчётами, пригодными для глубокого ручного анализа и обработки.
4. ImmuniWeb
Компания ImmuniWeb активно развивается на рынке профессиональных решений по информационной безопасности. Веб-сайт этой компании и её бесплатный сервис оценки безопасности веб-сайтов имеют простой, удобный и весьма продуманный функциональный интерфейс. Сканер проверяет безопасность сервера вашего сайта, его соответствие требованиям стандартов PCI DSS и GDPR, заголовки HTTP, включая CSP, выполняет специфические тесты CMS для сайтов на базе WordPress и Drupal, проверяет уязвимости библиотек интерфейсов и многое другое. Сервис работает не очень быстро, но предоставляет очень удобные и наглядные результаты.
5. Intruder
Современный коммерческий сканер широкого спектра уязвимостей. Сервис имеет расширенные возможности вроде анализа безопасности облачных систем и API. Удобен в использовании. Требует регистрацию. Бесплатен на протяжении 30 дней. Работает довольно медленно и предоставляет не много результатов.
6. Netsparker Cloud
Один из классических коммерческих сканеров.
Конкурент Acunetix, что особенно заметно в процессе получения пробной бесплатной версии, которая действует также только 14 дней. Требует непростую корпоративную регистрацию. Сервис предоставляет относительно много результатов, и даёт ложные срабатывания.
7. Norton Safe Web
Сервис от знаменитого антивируса лишний раз доказывает, что антивирусные компании сравнительно плохо справляются с оценкой безопасности веб-сайтов. Несмотря на то, что сканер бесплатный и легко запускается, он не даёт никаких результатов, если только ваш сайт уже не находится в базе данных сервиса. Попадание сайта в эту базу данных – непростая задача.
8. Observatory
Бесплатный сервис от знаменитого проекта Mozilla. Сканер помог владельцам нескольким десяткам миллионов веб-сайтов выяснить состояние их безопасности. Сервис простой в использовании, быстрый и наглядный. Он проверяет безопасность заголовков HTTP, выполняет тесты SSL, TLS, предварительной загрузки HSTS и т. д. Функционал несколько ограничен, но инструмент, несомненно, достойный.
9. Pentest-Tools
Быстрый и простой в использовании сканер, имеющий бесплатную и платную части. Бесплатное сканирование можно запустить только два раза. Оно не требует регистрации, но предоставляет сильно ограниченные результаты. Сайт рекламирует платные проверки с богатым функционалом.
10. Probely
Этот платный сканер уязвимостей имеет качественный пользовательский интерфейс и возможность пробного бесплатного использования 14 дней. Регистрация и использование не сложные. Сервис Probely удобен для разработчиков сайтов и веб-приложений. Он содержит не только функции поиска уязвимостей, но и полного цикла управления ими, включая их устранение. Сервис работает достаточно быстро, но в бесплатном режиме выдаёт весьма ограниченное количество результатов.
11. Quttera
Этот бесплатный инструмент в некоторой мере аналогичен сканеру Sucuri, описанному ниже, и даёт немного больше результатов. Он работает немного дольше, хотя в целом довольно быстро – несколько десятков секунд.
Сканер прост в использовании и позволяет проверить сайт на некоторый ограниченный перечень уязвимостей, на наличие вредоносных и подозрительных файлов, а также анализирует присутствие сайта в списках безопасного просмотра и в списках вредоносных программ. Практически все сканеры уязвимостей время от времени дают ложные срабатывания, заявляя о проблемах безопасности там, где их реально нет. Но Quterra делает это весьма безапелляционно и навязчиво, сразу же предлагая купить их услуги по устранению проблем. Например, этот сервис ругается на несуществующую угрозу “Malicious obfuscated JavaScript threat”. Такое поведение подрывает доверие к этому инструменту.
12. Sucuri SiteCheck
Бесплатный сканер Sucuri оставляет неплохое впечатление. SiteCheck прост в использовании. Работает со всеми типами сайтов, а не только WordPress. Сервис имеет довольно ограниченный функционал – проверяет присутствие сайта в списках безопасного просмотра (Google, Yandex и т. д.) и в чёрных списках, проверяет наличие файрвола, мониторинга, некоторого вредоносного ПО, а также некоторых протоколов и заголовков.
Сканер ошибается с определением CMS, а также оценивает безопасность таких сайтов как, например, facebook.com или microsoft.com, на уровне medium risk. Это является заведомо недостоверным завышенным значением риска. В целом, сервис работает очень быстро, несколько секунд, но и информации даёт очень мало.
13. SiteGuarding
Сервис сканирует сайты на наличие вредоносных программ, проверяет черные списки, спам и т. д. Сканер декларирует, что распознаёт WordPress, Joomla, Drupal, Magento, osCommerce, Bulletin и другие платформы. Запускается умеренно сложно, регистрации не требует. Работает недолго, но результаты очень ограничены. Сложная навигация, сложный интерфейс, навязчивая реклама.
14. Tinfoil Security
Инструмент платный, с возможностью бесплатного демо. Настройка Tinfoil Security умеренно сложная. Отдельные тесты проводятся, даже если сайт защищен паролем, или для входа требуется регистрация. Есть функционал мониторинга.
15. UpGuard Scan
Этот платный инструмент выполняет оценку рисков.
Он использует информацию о различных параметрах сайта. Процесс регистрации сложный. Пробная бесплатная версия действительна 7 дней.
16. VirusTotal
Знаменитый агрегатор антивирусов, который был приобретён компанией Google, имеет также функцию агрегации чёрных списков сайтов. Работает бесплатно, максимально просто и мгновенно выдаёт результаты. Однако, по определению, полнота такой проверки ограничена, поскольку сервис не проверяет уязвимости сайта. Соответственно, сервис не даёт гарантий безопасности сайта.
Сканеры безопасности сайтов на базе WordPress
17. IsItWP Security Scanner
Бесплатный, простой в использовании, не требующий регистрации сканер на базе движка Sucuri, с двумя недостатками: 1) низкая скорость работы, 2) функционал сканера ограничен только некоторыми проверками (в основном, на известное вредоносное ПО). Сайт поставщика рекламирует дополнительные сервисы по защите сайтов WordPress и описывает шаги по реагированию на инциденты безопасности.
В целом, сервис оставляет впечатление сырого, и шансов получить от него полезную информацию мало.
18. Web Inspector
Онлайн-сканер для проверки безопасности сайтов на базе WordPress. Сервис сканирует сайт с помощью Google Safe Browsing и движка Comodo. Сканер проверяет, есть ли вредоносный код, бэкдоры, вирусы, подозрительные скрипты и файлы. Регистрация, сравнительно с другими сервисами, не просто сложная, а очень сложная, так как требуется введение данных платёжной карты.
19. Wprecon
Сканер Wprecon для сайтов WordPress бесплатен, прост в использовании и достаточно быстр. Среди систем своего класса имеет наиболее подробные и удобные отчёты, а также ссылки на дополнительный функционал. Инструмент проверяет версию WordPress, плагины, темы, идентификацию пользователей, индексирование каталогов, iframes, ссылки, JavaScripts и так далее. Результаты достаточно полные.
20. WPsec
Сканер сайтов на WordPress с ограниченной бесплатной версией. Он настойчиво рекомендует купить премиальную учётную запись.
Сервис требует регистрацию и прост в использовании, но есть неудобства вроде операций с паролем входа в сервис. WPsec использует распространённый бесплатный движок WPscan. Этот движок является сканером уязвимостей, работающим в командной строке. Он предоставляет информацию об устаревших версиях WordPress, его компонентов и других недостатках безопасности. Также этот движок известен тем, что он даёт большое количество ложных срабатываний. Сервис WPsec, несмотря на красивый интерфейс, медленный и в целом разочаровывает.
Бонус
21. Google Safe Browsing
Собственно, данный сервис не является сканером, а просто интерфейсом к “чёрному списку” Google. То есть, к базе данных, содержащей списки вредоносных сайтов. Многие сканеры, упомянутые в этом обзоре, используют Google Safe Browsing для своих результатов. По какой-либо причине вам может оказаться нужно обратиться к оригинальному сервису и не использовать сервисы посредников. Сервис интегрирован с Google Search Console, что достаточно удобно.
Если вдруг ваш сайт окажется в чёрном списке, вы получите подробные инструкции о том, как удалить сайт оттуда. Сервис бесплатен, не требует регистрации, прост в использовании и быстр. Однако, поскольку не проверяет сайты на уязвимости, то малофункционален по сравнению с другими сервисами в нашем обзоре.
Сравнительный анализ
Напомним, что нашей целью было выявление быстрых, удобных, бесплатных онлайн-инструментов для анализа безопасности веб-сайтов. Сервисы со сложной регистрацией, сложным интерфейсом, медленные, дающие ограниченные результаты и тому подобные сканеры теряли очки при подсчёте.
В таблице результатов 0 баллов означает “нет или почти нет”, 1 – “частично”, 2 – “да, полностью или почти полностью”. Чтобы получить итоговую оценку, мы просуммировали первые 4 параметра оценки, затем результат умножили на оценку количества бесплатного функционала.
В лиге универсальных сканеров наш рейтинг выглядит следующим образом:
| Сканер | возможность бесплатного использования | простота использования | отсутствие регистрации | скорость нахождения проблем | количество бесплатного функционала | Итоговая оценка |
| H-X Scanner | 2 | 2 | 2 | 1 | 2 | 14 |
| ImmuniWeb | 2 | 2 | 2 | 1 | 2 | 14 |
| Norton Safe Web | 2 | 2 | 2 | 2 | 1 | 8 |
| Observatory | 2 | 2 | 2 | 2 | 1 | 8 |
| Sucuri SiteCheck | 2 | 2 | 2 | 2 | 1 | 8 |
| VirusTotal | 2 | 2 | 2 | 2 | 1 | 8 |
| Quttera | 1 | 2 | 2 | 2 | 1 | 7 |
| Acunetix | 1 | 0 | 0 | 2 | 2 | 6 |
| SiteGuarding | 1 | 1 | 2 | 2 | 1 | 6 |
| Pentest-Tools | 1 | 1 | 1 | 2 | 1 | 5 |
| Probely | 1 | 2 | 0 | 2 | 1 | 5 |
| Netsparker Cloud | 1 | 1 | 0 | 2 | 1 | 4 |
| Tinfoil Seurity | 1 | 1 | 0 | 1 | 1 | 3 |
| Detectify | 1 | 0 | 0 | 0 | 2 | 2 |
| Intruder | 1 | 0 | 0 | 1 | 1 | 2 |
| UpGuard Scan | 1 | 0 | 0 | 1 | 1 | 2 |
Таким образом, для быстрых задач оценки безопасности веб-сайтов мы рекомендуем пользоваться инструментами H-X Scanner и ImmuniWeb, которые обогнали конкурентов по рассматриваемому набору параметров.
В лиге сканеров безопасности WordPress рейтинг получился такой:
| Сканер | возможность бесплатного использования | простота использования | отсутствие регистрации | скорость нахождения проблем | количество бесплатного функционала | Итоговая оценка |
| Wprecon | 2 | 2 | 2 | 2 | 1 | 8 |
| IsItWP Security Scanner | 2 | 2 | 2 | 0 | 1 | 6 |
| WPsec | 1 | 2 | 0 | 0 | 1 | 3 |
| Web Inspector | 1 | 0 | 0 | 1 | 1 | 2 |
Получается, что сервис Wprecon выглядит наиболее полезным и удобным для проверки безопасности сайта на основе Вордпресс.
Заключение
Мы провели обзор 21 современного инструмента для бесплатной, быстрой, удобной оценки безопасности веб-сайтов в интерактивном режиме, а также сравнительный анализ 20 инструментов.
Таким образом, вне зависимости от того, какой у вас веб-сайт, если вы не хотите тратить много времени на анализ его безопасности, мы рекомендуем использование сервисов H-X Scanner и ImmuniWeb.
Если ваш сайт построен на платформе системы управления содержимым WordPress, дополнительно рекомендуем проверить сайт с помощью сервиса Wprecon.
5-ти минутный внутренний и внешний онлайн SEO анализ сайта бесплатно!
Узнайте показатели оптимизации для продвижения:
- Скорость загрузки сайта
- Корректность отображения на смартфонах
- Общая текстовая оптимизация
Бесплатный СЕО инструмент, который анализирует Ваш сайт
Анализ контента
Получите подробный онлайн анализ и аудит контента сайта. Узнайте соотношение между текстом и HTML кодом.Мета-тэги
Получите полный список мета-тэгов со страницы. Просматривайте заголовки, ключевые слова, описание и многое другое.Сборщик ссылок
Сбор ссылок — Извлекайте ссылки с Вашего веб-сайта, анализируйте их, находите процент внутренних и внешних ссылок.Скорость загрузки
Ускорение загрузки сайта, за счет устранения проблемных мест.Советы
Система автоматически покажет Вам уязвимости и даст советы.Обзор Сайта
Получите подробный анализ сайта и рекомендации бесплатно!
Узнайте соотношение между текстом и HTML кодом.Инструкция для самостоятельного анализа сайта
youtube.com/embed/e5ObsfiwU5s?&rel=0&modestbranding=1&controls=0&fs=0&showinfo=0″>
Найти все ошибки, мешающие выйти сайту в ТОП-10
Сделать seo аудит сайта самостоятельно и получить подробный отчёт о результатах проверки сайта на ошибки для устранения основных и критических ошибок в оптимизации страниц, от которых зависит эффективное продвижение в поисковых системах.
В отчёте, который Вы получаете в результате анализа, указаны проблемы сайта, предупреждения либо их отсутствие.
Посмотреть пример отчета и анализа можно здесь.
Каждый проверяемый фактор детально описан на основе восприятия поисковыми системами и пользователями.
Прилагаются рекомендации для устранения найденных недочетов и оптимизации.
Бесплатный оналйн анализ вы можете произвести по сайтам конкурентов, что бы понять, за счет чего они занимают первые места. и догнать их.
Вы можете заказать индивидуальный расширенный аудит контента и оформления сайта, что бы получить полную картину о том, что надо делать с сайтом, что бы продвинуть свой сайт на первые места.
Такой анализ может произвести только специалист, посредством ручной и визуальной проверки.
Проверка сайтов на CMS Битрикс, Могута, Modx, WordPress, Joomla, CS-Cart, OpenCart, CsCart, Wix, LPMotor и других популярных системах управления.
Полный внутренний сео анализ сайта дает понимание:
- Почему низкие позиции в поисковой системе
- Почему посетители не становятся клиентами
- Как внедрить сильные стороны конкурентов
- Как сократить расходы на продвижение
- Как правильно закупать внешние ссылки
После составления отчетов и рекомендаций по устранению найденных ошибок вы сможете легко их внедрить в свой проект для более эффективного продвижения в поиске.
Последние обзоры
Hanti.coffee-mashine.ru
Набрано баллов: 66/100
Обзор
Hasavurt.
coffee-mashine.ruНабрано баллов: 69/100
Обзор
Himki.coffee-mashine.ru
Набрано баллов: 72/100
Обзор
coffee-mashine.ruОтзывы клиентов по аудиту сайта
Ежемесячная подписка на
по плану | CMS
Обеспечивает ежемесячную регистрацию на уровне плана для всех типов организаций.
| Название | Отчетный период |
|---|---|
| Ежемесячная регистрация по плану | 2022-12 |
| Ежемесячная регистрация по плану | 2022-11 |
| Ежемесячная регистрация по плану | 2022-10 |
| Ежемесячная регистрация по плану | 2022-09 |
| Ежемесячная регистрация по плану | 2022-08 |
| Ежемесячная регистрация по плану | 2022-07 |
| Ежемесячная регистрация по плану | 2022-06 |
| Ежемесячная регистрация по плану | 2022-05 |
| Ежемесячная регистрация по плану | 2022-04 |
| Ежемесячная регистрация по плану | 2022-03 |
Research Data Assistance Center (ResDAC)
Research Data Assistance Center (ResDAC) предоставляет бесплатную помощь академическим и некоммерческим исследователям, заинтересованным в использовании данных Medicare, Medicaid, SCHIP и Medicare Current Beneficiary Survey (MCBS) для исследований.
Основное финансирование ResDAC поступает из исследовательского контракта CMS. ResDAC — это консорциум преподавателей и сотрудников Университета Миннесоты, Бостонского университета, Медицинской школы Дартмута и Медицинской школы Морхаус.
ResDAC предлагает ряд услуг для исследователей с любым уровнем опыта использования или планирования использования данных CMS. Услуги включают техническую поддержку данных, информацию о доступных ресурсах данных и обучение.
Служба поддержки
Служба поддержки ResDAC, расположенная в Миннесотском университете, оказывает техническую помощь исследователям, заинтересованным в использовании данных CMS. В службе поддержки ResDAC работают технические консультанты (ТА) уровня магистра, обладающие обширными знаниями в области методологии исследований и применения данных CMS для исследований.
За последние шесть лет сотрудники ResDAC помогли тысячам исследователей определить файлы данных CMS, подходящие для их работы, заполнить пакеты запросов данных CMS, освоить технические детали доступа к данным и понять результаты анализа.
Сотрудники службы поддержки ResDAC осведомлены о:
- Истории систем Medicare и Medicaid в их отношении к исследованиям
- Создание файлов административных данных CMS и обработка требований
- Сильные и слабые стороны и применение данных Medicare и Medicaid
- Методы идентификации когорты и спецификации файла
- Преобразование необработанных данных в пригодные для использования наборы данных
- Правила программы Medicare и Medicaid и вопросы покрытия
- Процесс запроса данных из CMS
В службу поддержки можно позвонить по бесплатному номеру (888)9-ResDAC (888-973-7322)
Ресурсы веб-сайта
Веб-сайт ResDAC представляет собой централизованный источник информации о наборах данных CMS, включая Medicare, Medicaid, SCHIP, MCBS и другие. Ресурсы на веб-сайте ResDAC включают:
- Часто задаваемые вопросы (FAQ) о программах, данных и опросах CMS
- Словари данных, технические обзоры и инструменты анализа для исследователей
- Информация о предстоящих семинарах ResDAC информация о конфиденциальности
Семинары по обучению
ResDAC предлагает семинары с использованием данных Medicare и Medicaid несколько раз в год в разных местах по всей территории Соединенных Штатов.
Двух- или трехдневные компьютерные семинары направлены на повышение рабочих знаний и практических навыков исследователей, анализирующих различные файлы данных CMS. Информация о предстоящих семинарах доступна на веб-сайте ResDAC, www.resdac.umn.edu.
Для получения дополнительной информации о технической помощи и семинарах обращайтесь в ResDAC:
Через Интернет — www.resdac.org
По электронной почте — [email protected]
По телефону — 888-9-RESDAC
По факсу — 612- 378-4866
Квалификация ResDAC
Преподаватели ResDAC и технические консультанты обладают многолетним опытом работы во всех аспектах сбора и анализа данных CMS; а именно, при запросе данных; при чтении лент данных; при построении аналитических файлов, включая разработку файлов данных на уровне человека; в анализе; а также при написании и публикации отчетов. Каждый преподаватель и технический консультант ResDAC имеет степень магистра или доктора в таких областях, как медицина, исследования в области здравоохранения, эпидемиология, биостатистика, информатика в области здравоохранения или общественное здравоохранение.