Se calcula que hay 547.000 nuevos sitios web al día, 380 nuevos sitios web cada minuto y 7 nuevos sitios web cada segundo; actualmente hay más de 1.700 millones de sitios web en línea en todo el mundo.
Asegurar un sitio web para que no sea hackeado es mucho más difícil que construirlo, ya que la mayoría de los usuarios no saben mucho sobre seguridad o dónde buscar vulnerabilidades en sus sitios web.
Según IBM, cada día se pierden 30.000 sitios web a manos de los piratas informáticos, es decir, 20 sitios web cada minuto. Estos sitios web perdidos suelen ser sitios legítimos de pequeñas empresas con pocas o ninguna medida de seguridad por parte de los propietarios.
Otro estudio también demostró que los hackeos de la web se producen cada 39 segundos, una media de 2.244 veces al día.
Si bien esta estadística parece sombría, se vuelve más aterradora, ya que la mayoría de las empresas más grandes gastan millones de dólares en ciberseguridad y, sin embargo, se enfrentan a violaciones de la vulnerabilidad.
Empresas de primer nivel como Intel, Snapchat, Cisco, Dropbox, Apple, Facebook y Google organizan programas de caza de bugs y dan pagos a los hackers de sombrero blanco que informan de una vulnerabilidad en su infraestructura.
Para el propietario de una pequeña empresa que trata de aprovechar Internet, tener un bolsillo profundo para pagar programas de búsqueda de errores y evaluaciones de amenazas de vulnerabilidad podría ser demasiado caro.
Supongamos que está a punto de construir su sitio web o que ya tiene uno, este artículo hablará de las herramientas que puede utilizar para escanear sitios web y cómo hacerlo.
Nmap es uno de los escáneres de red y comprobadores de vulnerabilidad más fáciles de usar. Utiliza la IP o la URL para encontrar qué hosts están disponibles, qué servicio está ejecutando el sistema operativo (SO) y qué tipo de cortafuegos está en uso. Nmap es gratuito y de código abierto. Escanea en busca de fallos de auditoría de seguridad. Nmap también funciona en todos los sistemas operativos, incluyendo Linux, Windows y Mac OS.
Para empezar, descargue la última herramienta Nmap para su sistema.
Introduzca la URL o la dirección IP de destino y cambie el perfil a un escaneo intenso o opte por un escaneo rápido para no tener que esperar mucho tiempo a que se complete el escaneo.
Una vez completado, notará un montón de puertos abiertos. Los puertos abiertos no siempre son malos, ya que permiten que sus sitios web hablen con otros servicios, pero no todos los puertos deben estar disponibles, cierre los puertos no utilizados.
Puede comprobar sus puertos con el Sistema de Puntuación de Vulnerabilidad Común para ver qué puertos deberían estar abiertos y cuáles deberían estar cerrados si el sitio no los necesita.
Burp Suite funciona como un intermediario que atrapa todas las conexiones de su sitio web a Internet y de vuelta; supervisa las solicitudes y las respuestas mientras están en tránsito.
Burp Suite es una práctica herramienta que todo propietario de un sitio web debería utilizar. Tiene una versión gratuita que rastrea errores, ejecuta pruebas de penetración y analiza las respuestas de los registros.
Obtenga el escáner de vulnerabilidad web de la suite Burp aquí
Abra la suite Burp y cree un proyecto temporal.
En este caso, opte por la configuración predeterminada de Burp, ya que es posible que no sea experto en ajustar las configuraciones. Sin embargo, puede aprender más sobre esto aquí
Haga clic en Siguiente para empezar.
Puede ejecutar algunos escaneos en modo restringido. La versión limitada debería ser suficiente para ejecutar escaneos de vulnerabilidad y rastrear el tráfico de su sitio web.
El escáner de sitios web gratuito de Sucuri le permite buscar vulnerabilidades en su sitio web. Comprueba si hay malware y si su sitio web ha sido incluido en una lista negra, inyectado con spam o desfigurado.
Pegue su URL y haga clic en escanear el sitio web; debería tomar sólo unos minutos y Sucuri le mostrará un resultado de la seguridad de su sitio web.
Sucuri trabaja en plataformas de sitios web y algunas de las más destacadas son WordPress, Joomla, Magento, Drupal y phpBB.
Nessus es una potente herramienta que puede escanear puertos, ejecutar la detección de servicios y acceder a la vulnerabilidad mientras comprueba los falsos positivos.
Nessus escanea qué software es vulnerable a los ataques, se escanean puertos como File Transfer Protocol (FTP), Secure Shell (SSH) y Server Message Block (SMB).
Cuando Nessus se inicia, comienza a escanear los sitios web contra las vulnerabilidades conocidas e intenta descubrir qué puerto o servicio es vulnerable.
Por favor, seleccione su producto preferido. Voy a elegir el Nessus Essential ya que es la versión gratuita.
A continuación, elija un nombre de usuario y una contraseña y acceda a su panel de control, que descargará todos los plugins necesarios.
Haga clic en escanear y ejecute un escaneo básico en cualquier dirección que desee. Asegúrese de que está autorizado a realizar dicho escaneo.
La plataforma de escaneo de aplicaciones web de Indusface ayuda a detectar vulnerabilidades, fallos lógicos y malware. Contiene facilidades para escaneos automatizados y pruebas de penetración manuales que proporcionan un escaneo completo.
La solución detecta eficazmente las vulnerabilidades comunes de las aplicaciones que validan The Open Web Application Security Project (OWASP) y The Web Application Security Consortium (WASC). Puede detectar inmediatamente las vulnerabilidades que se producen debido a los cambios y actualizaciones de las aplicaciones.
Agregue el sitio que desea escanear y verifique la propiedad (para no ir a escanear sitios web que no está autorizado a inspeccionar).
Ejecute el escaneo y descargue el informe.
Ha aprendido sobre los diferentes escáneres y comprobadores de vulnerabilidad y cómo mantener su sitio web, aplicación o software seguros.