Como saber si tu sitio web tiene vulnerabilidades, Scanner de sitios web

Como saber si tu sitio web tiene vulnerabilidades

Como saber si tu sitio web tiene vulnerabilidades

El escaneo de las vulnerabilidades de seguridad de tu sitio web automáticamente


La creación de una página web y ponerla en línea genera muchísima satisfacción, pero este trabajo definitivamente no estará completo si no la proteges de los ataques cibernéticos del día.

Es de suma importancia darle seguridad a tu sitio para que funcione correctamente y no sea víctima de los famosos «hackers» y virus y una acción indispensable para blindar tu página web, es el escaneo de sus vulnerabilidades y el malware.

Aquí te vamos a dar una lista de herramientas que puedes utilizar para reconocer los puntos débiles y hacer de tu página toda una fortaleza en el reino del internet.

EVITA LAS MALAS EXPERIENCIAS

¿Cuántas veces no hemos escuchado noticias de que sitios web muy importantes fueron víctimas de «hackers» y de robo de información?

Los «hackers» cada vez están más activos y sólo están viendo cómo vulnerar para obtener datos que son de vital interés.

Estas herramientas que te enlistaremos son softwares que hacen pruebas sobre la aplicación web, buscando esos puntos vulnerables con pruebas funcionales. 

PRIMERO LO PRIMERO

Aunque puede hacerse manualmente, el automatizar el escaneo de las vulnerabilidades del sitio ahorra mucho tiempo y trabajo.

El proceso de automatización te permitirá recibir notificaciones cuando se detecten puntos débiles.

A continuación, las herramientas que te pueden ayudar con el blindaje de tu página, y que no necesariamente te las enlistamos en ranking, sino de forma aleatoria.

1.- SITEGUARDIAN: TODO UN GUARDIÁN

El SiteGuarding.com vigila tu sitio web las 24 horas, durante los siete días de la semana. ¿Todo un guardián de sitio, ¿verdad? Mantiene limpia, segura y protegida la página con un antivirus que usa un algoritmo heurístico para detectar virus desconocidos.

No sólo monitorea, sino que investiga como todo un detective cibernético y da con el problema. ¿Qué quieres un informe completo? ¡Pues también te lo da!

Lo mejor de todo es que hay una prueba gratuita de 14 días.

¿Pero qué hace este guardián?:

  • Te escanea del lado del servidor y monitorea cambios de archivos
  • Detecta virus
  • Elimina malware
  • Detecta pirateos y ataques
  • Elimina lista negra
  • Analiza por completo tu web cada 24 horas.

2.- WAPITI: MULTI DEFENSA

Wapiti realiza pruebas de caja negra al escanear sitios web e inyectar datos. Detecta múltiples puntos débiles y es una aplicación de línea de comandos. 

Wapiti puede no ser fácil para los principiantes porque se necesita aprender muchos comandos, pero para los expertos o avanzados funcionará muy bien. 

Puede detectar las siguientes vulnerabilidades:

  • File Disclosure
  • File inclusion
  • Cross Site Scripting (XSS)
  • Command execution detection
  • CRLF Injection
  • SEL Injection and Xpath Injection
  • Weak .htaccess configuration
  • Backup files disclosure

3.- SUCURI: SEGURIDAD COMPLETA

SUCURI ofrece una opción de seguridad completa a través de una combinación de antivirus para sitios web y firewall de aplicaciones web.

Si optas por SUCURI, hay que permitirle escanear tu sitio a diario para que pueda limpiar toda infección detectada. ¡Adiós a los virus!

Estás son algunas de las principales características de SUCURI:

  • Detección y eliminación de malware;
  • seguimiento y eliminación de listas negras;
  • monitoreo de reputación de marca; monitoreo de DNS;
  • detección de cambio de archivo;
  • sitio web completo de limpieza de hackeo;
  • reparación infecciones de SEO;
  • eliminación de roturas;
  • protección de DDoS;
  • protección de fuerza bruta: SQL, XSS y prevención de inyección de código.

4.- GRABER: UN EXPLORADOR PORTÁTIL

Graber puede detectar muchas vulnerabilidades de seguridad en aplicaciones web, gracias a que practica exploraciones. No es muy rápido en comparación con otros escáneres, pero es simple y portátil y es recomendable para uso personal. Hay que aclarar que esta herramienta no ofrece ningún interfaz GUI y tampoco puede crear ningún informe PDF. Esto es lo que te ofrece:

  • SQL injection
  • Ajax testing
  • File inclusion
  • JS source code analyzer
  • Backup file check

5.- SKIPFISH: RASTREADOR IMPLACABLE

Skipfish rastrea el sitio web y luego revisa cada página buscando varias amenazas de seguridad para después preparar un informe final. Esta herramienta esta escrita en C y está muy optimizada para el manejo HTTP y muy pocos recursos de CPU. 

En la descripción dice que puede manejar fácilmente 2,000 solicitudes por segundo sin agregar una carga en la CPU. Utiliza un enfoque heurístico al rastrear y probar páginas web. Esta herramienta también pretende ofrecer alta calidad y menos falsos positivos.

Está disponible para Linux, FreeBSD, MacOS X y Windows.

6.- DETECTIFY: DETECCIÓN EFICIENTE

Detectify es un servicio de escáner de seguridad basado en SaaS (software como servicio) que realiza una prueba de penetración en su sitio web basado en las 10 principales vulnerabilidades de OWASP y las últimas tendencias en amenazas de seguridad. ¡Ni quién te piratee con esta herramienta!

OWASP top 10 cubre una amplia gama de fallas como SQL, LDAP, XPath, inyecciones NoSQL, XSS, malware, sesión interrumpida, etc.

7.- VEGA: ALTERNATIVA EFICAZ

VEGA es una herramienta escrita en Java y ofrece un entorno basado en GUI. Lo tienes disponible para Mac, Linux y Windows.

Puede utilizarse para encontrar SQL injection, header injection, directory listing, shell injection, cross site scripting, file inclusion y otras vulnerabilidades de aplicaciones web. Esta herramienta también se puede ampliar usando una potente API escrita en JavaScript.

8.- SQLMAP: UNA HERRAMIENTA POPULAR

SQLMap es una herramienta popular de test de penetración. Automatiza el proceso de encontrar y explotar la vulnerabilidad de SQL injection en la base de datos de un sitio web. Tiene un poderoso motor de detección y muchas características útiles.

Además, soporta un alto rango de servidores de bases de datos incluyendo MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase y SAP MaxDB. Ofrece soporte completo a 6 tipos de técnicas de SQL injection: time-based blind, boolean-based blind, error-based, UNION query, stacked queries y out-of-band.

Pero si lo que quieres es alfo gratuito para probar cómo darle seguridad a tu sitio web, no te dejamos con las ganas y ahí te va una lista. En ella aparecen incluso algunas de las que ya te detallamos sus virtudes.

1. Scan My Server

2. SUCURI

3. Qualys SSL Labs, Qualys FreeScan

4. Quttera

5. Detectify

6. SiteGuarding

7. Web Inspector

8. Acunetix

9. Asafa Web

10. Netsparker Cloud

CONCLUSIÓN/ ¡Empieza ya!

En resumen, por favor no dejes de aplicar un escaneo de seguridad a tu sitio web. Si lo que quieres es tener una gran reputación no basta con hacer un buen trabajo, también hay que proteger bien la información de tu sitio.

Evita que los «hackers» hagan de las suyas y automatiza este blindaje. No olvides que de esta forma será más rápida y eficaz la protección de la página.

Hay una infinidad de herramientas que te puedan ayudar a conseguirlo, y aquí encontraste varias que te pueden ser de utilidad. 

¡Ahora a ponerlo en práctica!

contactanos

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *