Strumenti per la scansione del sito

15 strumenti gratuiti per controllare la sicurezza del sito con la scansione di vulnerabilità, virus, trojan horse e Malware.

La sicurezza del sito è uno degli aspetti più importanti, anche se a volte sottovalutati, nella creazione e nella gestione di un sito internet. Troppo spesso i committenti si concentrano esclusivamente sul design, pensano ai contenuti, alla SEO e trascurano la sicurezza, un aspetto essenziale che ha un impatto micidiale sulla reputazione aziendale in tutti i sensi (SEO compresa). In questo articolo esaminiamo alcune risorse utili per la scansione di un sito alla ricerca di vulnerabilità

Table Of Contents
  1. Premessa
  2. Sucuri
  3. Qualys
  4. Hosted Scan Security
  5. Quttera
  6. Detectify
  7. UpGuard
  8. Observatory
  9. ImmuniWeb
  10. SiteGuarding
  11. Probely
  12. Pentest-Tools
  13. Intruder
  14. WordPress Security Scanner
  15. VirusTotal
  16. CookieYes
  17. Conclusioni
Strumenti per la scansione del sito - Superoltd

Premessa

Ci sono varie statistiche relative alle più comuni vulnerabilità di un sito web, di seguito riportiamo una tra le più condivise anche se le percentuali possono cambiare a seconda della fonte e del momento.

  • 15% Cross Site Scripting
  • 12% Vulnerabilità nei componenti adottati
  • 9% Scarsa sicurezza nell’autenticazione
  • 8% Altri tipi di injection
  • 6% Interazione con servizi esterni
  • 6% Esposizione del codice
  • 6% SQL injection
  • 5% Esposizione di sistema
  • 4% Caricamento file malevoli
  • 4% Esposizione di informazioni sensibili
  • 3% Errata gestione degli errori
  • 3% Problemi di autenticazione
  • 3% Open Redirection
  • 2% Vulnerabilità DOM Based
  • 2% Gestione delle sessioni non sicura
  • 2% Richieste Cross site
  • 11% Altro

Sucuri

Sucuri

Sucuri è uno degli strumenti più popolari tra quelli segnalati in questo articolo, probabilmente per la sua estrema semplicità: si inserisce l’indirizzo del sito e il tool effettua una scansione alla ricerca di Malware. Contemporaneamente controlla che il sito non sia segnalato nelle più usate black list in circolazione, i risultati si ottengono in pochi secondi, è un ottimo strumento per un controllo periodico.

Qualys

qualys scan ssl

Qualys effettua un controllo approfondito sui protocolli SSL/TLS usati dal sito, il certificato usato ed eventuali vulnerabilità. Questo strumento va usato al momento della pubblicazione del sito oppure quando sono state fatte delle modifiche alla configurazione della comunicazione SSL.

Hosted Scan Security

HostedScan com

Hosted Scan è un servizio online che mette a disposizione una scansione gratuita del sito, basta fornire un indirizzo email per accedere ai risultati. La scansione è molto completa (può richiedere parecchi minuti) e controlla molti aspetti del sito. Le comunicazioni di rete vengono esaminate in modo completo, quindi il tool procede ad esaminare il software in uso verificando anche il CMS in uso.

Quttera

Screenshot 2022 02 27 at 19 39 20 FREE Online Website Malware Scanner Website Security Monitoring Malware Removal Quttera

Quttera è un altro strumento per controllare infezioni e vulnerabilità del proprio sito. Nella versione gratuita è piuttosto lento, il tempo per completare la scansione dipende anche dal numero di richieste ricevute in quel momento. Il tool controlla anche se il sito è presente nelle liste nere di Google, Yandex e altri.

Detectify

Screenshot 2022 02 28 at 13 39 56 Vulnerabilities Detectify

Creato da un gruppo di hacker etici, Detectify propone una serie di tool sofisticati. Il prezzo di un account parte da 70 dollari al mese per accedere ai “semplici” strumenti di scansione, il monitoring più sofisticato parte da 250 dollari al mese: si tratta di strumenti professionali, pensati per agenzie web e amministratori di sistema. E’ disponibile un periodo di prova di due settimane in cui si possono testare gli (ottimi) strumenti messi a disposizione.

UpGuard

Upguard

Anche UpGuard effetta una scansione del sito alla ricerca di vulnerabilità. La versione gratuita effettua un controllo del server e dei protocolli di comunicazione utilizzati, oltre a verificare che il sito non sia stato listato in qualche blacklist. La versione professionale effettua una scansione più approfondita, esaminando anche le componenti software in uso.

Observatory

observatory

L’osservatorio messo a disposizione dalla Mozilla Foundation permette di eseguire una scansione del sito alla ricerca di vulnerabilità. Procede a controllare la sicurezza del server e i protocolli di rete implementati, offre la possibilità di lanciare contemporaneamente la scansione con strumenti di terze parti i cui risultati sono consultabili alla fine del test, che dura una manciata di secondi.

ImmuniWeb

Immuniweb

ImmuniWeb è un altro tool piuttosto popolare, meritatamente. E’ molto rapido ed effettua dei controlli approfonditi, oltre a verificare la configurazione di rete e del server, effettua alcune verifiche legate al CMS usato dal sito. Effettua anche un controllo basilare sulla adeguatezza nei confronti del GPDR.

SiteGuarding

siteguarding.com

Nella sua versione gratuita SiteGuarding effettua una scansione del sito, controlla la rete, il server e verifica se il dominio risulta iscritto in qualche blacklist. Effettua anche una verifica dell’indirizzo ip usato per controllare che non ci siano vicini poco gradevoli. Controlla anche i link del sito, sempre per verificare che non ci siano collegamenti con vicini spiacevoli.  La versione a pagamento è più sofisticata, prevede la necessità di installare del software sul server, ad esempio per WordPress è disponibile un plugin. Al momento in cui scriviamo c’è la possibilità di una prova gratuita per trenta giorni.

Probely

Screenshot 2022 02 28 at 13 38 51 Probely

Probely è uno dei tool di sicurezza tra i più sofisticati. Lo strumento è adatto per l’uso professionale e permette di fare una scansione approfondita di un sito o di una applicazione. Gli strumenti messi a disposizione dal sito sono pensati soprattutto per sviluppatori. I prezzi sono ragionevoli, la versione a pagamento parte da 39 euro al mese ed è disponibile un periodo gratuito di prova di 14 giorni.

Pentest-Tools

Pentest Tool scan light

Nella sua versione a pagamento Pentest mette a disposizione una serie di strumenti che si occupano di cercare vulnerabilità in un sito a livello di rete, server, CMS e software utilizzato. E’ disponibile una scansione gratuita che effettua una verifica “light” del sito inviato, la versione “full” effettua verifica molto più approfondite ed è a pagamento. Il costo della sottoscrizione parte da 110 euro al mese e permette di verificare 10 siti.

Intruder

Intruder report

Per poter usare il tool è necessario registrarsi ed effettuare il login, nella versione gratuita si hanno a disposizione cinque scansioni per il periodo di prova di trenta giorni. Si tratta di uno strumento completo che esamina le connessioni di rete, il server, il CMS usato con i suoi plugin e verifica che tutti i componenti software in uso siano aggiornati. Una scansione richiede un certo tempo, a seconda del sito possono volerci da 15 minuti ad alcune ore.

WordPress Security Scanner

Screenshot 2022 02 28 at 20 08 27 Geekflare WP Security Scanner Powered by WPScan

Come dice il nome questo test realizzato di Geekflare,  è utile soltanto per siti realizzati in WordPress. Si limita a controllare la versione di WordPress, del tema e dei plugin per verificare che siano tutti correttamente aggiornati oltre ad alcuni controlli di base. E’ comunque utile, per controllare di non aver dimenticato niente.

VirusTotal

Scansione VirusTotal

Questo tool è piuttosto noto ed è piuttosto diverso dagli altri esaminati in questo articolo. VirusTotal non fa una scansione di sicurezza ma si limita a controllare se un sito (o un file) è infetto. In altre parole è un antivirus online, il motivo per cui ne parliamo in questo articolo è che si rivela utile per confermare eventuali segnali positivi ed eventualmente mettere in evidenza falsi positivi (vero, Avast?)

CookieYes

Screenshot 2022 02 28 at 13 24 52 Cookie Scanner CookieYes

Questo strumento non ha niente a che fare con la sicurezza, lo abbiamo incluso in questo articolo perchè è un ottimo tool, utilissimo per verificare i cookie usati e quindi anche lo stato del sito al cospetto del GDPR. CookieYes fa una scansione di tutti i cookie usati a un certo indirizzo e ne propone una classificazione, usando una terminologia identica a quella delle norme comunitarie.

Conclusioni

In questo articolo abbiamo individuato 15 strumenti utili per controllare la sicurezza di un sito. Tutti i siti linkati mettono a disposizione, come minimo, un periodo di prova gratuito e nella maggior parte dei casi è possibile fare una scansione senza neanche registrarsi.

La sicurezza è un aspetto fondamentale nella gestione del sito, grazie a questi strumenti non sono richieste competenze di altissimo livello, almeno per un controllo di base. Non esiste un valido motivo per trascurare la sicurezza del sito.

Articoli correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Torna in alto