Drupal, Joomla nebo WordPress coby trojka nejpoužívanějších redakčních systémů v PHP nabízí kontrolu dostupnosti nových aktualizací pro sebe samy, ale i pro použité moduly/pluginy či témata vzhledu. Podobně je to u redakčních systémů postavených na jiných platformách.
Ovšem i v případě, že žádný ze zmíněných systémů na webu nemáte, vše si tvoříte ručně, měli byste zabezpečení webu pravidelně kontrolovat. Chyby mohou být ve frameworku, který používáte, v knihovně, kterou jste využili, či na serverové straně.
Nabízím přehled nástrojů, které čas od času také využívám a považuji za užitečné o nich vědět. I když s webem možná žádný problém nemáte, mohou vám alespoň poskytnout nějaké tipy na to, co by se dalo vylepšit.
Sucuri SiteCheck
Asi nejznámější nástroj pro kontrolu zabezpečení webů nabízí Sucuri. Bezplatný nástroj slouží vždy na ruční zavolání kontroly zvoleného webu, s měsíčním předplatným můžete kontroly nechat automatizovat.
Sucuri si poradí s weby s různými redakčními systémy, historicky si asi nejlépe rozumí s WordPressem, ale problém pro kontrolu není ani Drupal, Joomla, Magento nebo různá diskuzní fóra. Kontrola zahrnuje výskyt škodlivého software linkovaného na stránkách, kontrolu přítomnosti webu v některém z blacklistů, zabezpečení Sucuri Firewallem (musí nějak vydělávat) a aktuálnost použitých verzí daného systému.
V detailních informacích se pak dozvíte nejen verzi aktuální instalace WordPressu nebo Drupalu (jiné jsem nezkoušel), ale i použitou verzi PHP či webového serveru. Zajímavý může být i seznam framů nalezených ve stránce.
SSL Server Test
Pokud jste už konečně začali používat SSL (váš web tedy běží na https), pak koukněte na kontrolní nástroj od Qualys SSL Labs. Otestuje váš bezpečnostní certifikát, jeho podporu a sílu šifrování. Vše shrne do hodnocení ve formě písmenka, v detailech pak najdete podrobné informace o nalezeném certifikátu a simulaci přístupu na web s různými webovými prohlížeči, včetně těch mobilních. Snadno tak třeba zjistíte, že problém s webem by měl uživatel s IE6 (pokud by se takový dnes ještě našel).
Observatory by Mozilla
Z podobného soudku je nedávno spuštěný kontrolní nástroj od Mozilly. Její Observatory rovněž kontroluje zabezpečení v podobě certifikátu SSL, ale přidává k tomu řadu dalších kontrol. Je tak možné, že web, který měl ve výše uvedeném testu kladné hodnocení, zde příliš neobstojí.
Vyhodnocení probíhá na stobodové stupnici. Najdete zde tak kontrolu Content Security Policy (CSP), cookies, XSS, redirektů a řady dalších kritérií.
Za zmínku stojí, že tato observatoř má k dispozici API na GitHubu, takže ji můžete využít k automatizované kontrole nejenom svých projektů.
Security Headers
Výsledky z webu securityheaders.io jsou částečně zahrnuty v observatoři od Mozilly, doporučuji však na ně kouknout i samostatně. Tento kontrolní nástroj vám zobrazí souhrnné hodnocení v podobě písmene a následně vypíše seznam hodnocených hlaviček a jejich vysvětlení, včetně doporučeného nastavení.
Google Transparency Report
Zjištění, že pro váš web Google zobrazuje stránku upozorňující na bezpečnostní problém, místo aby uživatele na web přesměroval, je vždy nepříjemné. Neuškodí, když tedy čas od času kouknete, jak si váš web u Google z hlediska bezpečnosti stojí.
Příslušný nástroj se v české verzi jmenuje poněkud komplikovaně Stav webu podle Bezpečného prohlížení a je součástí Google Transparency Reportu, který vás informuje o aktuálních bezpečnostních rizicích a jejich statistikách.
Free Online Website Malware Scanner (Quttera)
A konečně poslední nástroj, jemuž kontrola také trvá ze všech zde uvedených nejdéle. Nekontroluje ovšem nastavení serveru jako řada předešlých nástrojů, ale podobně jako Sucuri vyhledává malware, tedy škodlivý kód vložený do webu.
Nástroj od společnosti Quttera mi Sucuri připomíná ve více ohledech, na rozdíl od něj však zde občas čekáte, až proběhne kontrola jiných webů ve frontě před vámi.
Výsledky kontroly kromě klasického výpisu nalezených problémů v konkrétních souborech, ukazují i použitý webový server, počty oskenovaných odkazů a kontrolu výskytu webu na blacklistech.
Security Advisories Checker od SensioLabs
Na úplný závěr jsem si nechal kontrolní nástroj, který stojí tak trochu bokem od výše uvedených. V případě, že stavíte vlastní aplikaci v PHP a využíváte přitom Composer, můžete si nechat pomocí Security Advisories Checkeru ověřit, zda ve vašem composer.lock nejsou umístěny knihovny, které v sobě mají bezpečnostní trhlinu.
Nástroj je zdarma a v betaverzi, kontroluje zatím omezenou množinu projektů. K dispozici je přes webové ovládání i jako aplikace pracující v příkazovém řádku. Podrobnější kontrolu pak nabízí SensioLabsInsight, a to zdarma pro projekty na GitHubu, Bitbucketu nebo v jiném git repozitáři.
Tvůrce webů z Brna se specializací na Drupal, WordPress a Symfony. Acquia Certified Developer & Site Builder. Autor několika knih o Drupalu.
Web Development Director v Lesensky.cz. Ve volných chvílích podnikám výlety na souši i po vodě. Více se dozvíte na polzer.cz a mém LinkedIn profilu.
Dik za tip, toto som hladal par dni doazadu :P