5 Công cụ quét mã độc website tốt nhất – Đa số miễn phí

Bạn đang tìm công cụ kiểm tra bảo mật website tốt nhất?

Bạn muốn đảm bảo website àn toàn và không có lỗ hổng bảo mật nào?

Bạn rất quan tâm đến bảo mật website mà không biết phải làm thế nào?

Sau đây là những công cụ quét mã độc website cho bạn.

Chúng đều miễn phí hoặc cho dùng thử trong 14 ngày (không cần thẻ tín dụng).

cong-cu-quet-bao-mat-website

Mỗi công cụ mình sẽ chỉ rõ những điểm nổi bật của nó.

Giúp bạn có thể dễ dàng lựa chọn phù hợp nhất với bản thân.

Giới hạn của các công cụ quét mã độc webiste

Tất cả các công cụ dưới đây đều được có điểm mạnh riêng của mình, nhưng chúng vẫn có giới hạn.

Về cơ bản nó sẽ giống một người bên ngoài, đang quan sát và đánh giá website của bạn.

Điều này cho phép họ tìm thấy các lỗ hổng có thể xâm nhập vào trang web của bạn.

Tuy nhiên, nếu một mã độc nào đó đang ẩn sâu trong server của bạn.

Nó sẽ không thể tìm thấy được.

Để tìm phần mềm độc hại theo cách này, bạn có thể cần một công cụ chuyên dụng hơn và nó có thể quét tất cả các file trên server.

Cho nên cũng đừng quá yên tâm, nếu website bạn không quét thấy vấn đề gì.

Điều đó không đảm bảo 100% rằng website bạn đang ăn toàn.

Mình đang muốn các bạn thực sự hiểu các công cụ này đang làm gì.


1. Sucuri SiteCheck

sucuri-site-check

Sucuri SiteCheck là một trong những công cụ scan website miễn phí rất nổi tiếng.

Cách sử dụng cũng vô cùng đơn giản, chỉ cần nhập URL là xong.

Surcuri SiteCheck sẽ kiểm tra:

  • Quét các malware có trên website bạn.
  • Virus.
  • Site có bị vào Blacklis không.
  • Lỗi trên website.
  • Các phần mềm chưa update.
  • Mã độc.
Hãy nhớ rằng nó không thẻ quét mã độc hoàn toàn được, vì nó thực sự quét bộ file trên server.

Sau đó, sẽ là một danh sách kết quả những điều kiện bạn vượt qua.

sucuri-site-check-list

Hay những gợi ý về bảo mật bạn có thể cải thiện.

Nếu bạn sử dụng WordPress, hãy cài plugin Sucuri Security WordPress nó hoàn toàn miễn phí.

Sẽ có nhiều thông tin hữu ích hơn phiên bản trên web này.

Nó còn có bản quét dành riêng cho WordPress, như giám sát toàn bộ core WordPress.

Cả Sucuri SiteCheck và plugin Sucuri Security WordPress đều miễn phí 100%.

Nhưng Sucuri  có cung cấp dịch vụ tường lửa / bảo mật mất phí, nếu bạn muốn bảo vệ chủ động hơn.

Ưu điểm 

  • Rất dễ sử dụng.
  • Miễn phí 100%.
  • Có plugin miễn phí cho WordPress.

Nhược điểm 

  • Kết quả quét chưa được chi tiết như một số công cụ khác
Đi đến Sucuri SiteCheck


2. Mozilla Observatory

Observatory-site-check

Observatory là một dự án kiểm tra bảo mật website miễn phí đến từ Mozila.

Công ty đằng sau trình duyệt rất nổi tiếng Firefox.

Nó tích hợp tất cả các thử nghiệm riêng của chính mình.

Cũng như một số thử nghiệm tích hợp từ bên thứ 3 như SSL Labs.

Lúc đầu mình định cho SSL Labs vào danh sách này, nhưng nó có trong Observatory nên mình sẽ bỏ qua.

Cảm nhận sau khi sử dụng: “Đây là công cụ chi tiết nhất trong danh sách này

Website sẽ được đánh giá chi tiết trong 4 phần:

  • HTTP Observatory
  • TLS Observatory
  • SSH Observatory
  • Third-party Tests

Ngay khi nhìn vào trang kết quả, bạn sẽ thấy rất khó hiểu.

Observatory-website-security-scan

Đừng lo lắng, mỗi một kết quả sẽ liên kết đến một trang để giải thích chi tiết ý nghĩa.

Bạn sẽ mất chút thời gian để hiểu được chúng rõ ràng.

Nhưng với đống tài liệu đó, sẽ giúp bạn hiểu những gì đang xảy ra, và nó rất chi tiết

Cuối cùng thì Observation miễn phí 100%

Ưu điểm 

  • Kết quả đánh giá rất chi tiết
  • Có tích hợp kết quả đánh giá từ công cụ thứ 3 như SSL Labs
  • Miễn phí 100%
  • Tài liệu chi tiết đầy đủ

Nhược điểm 

  • Các đánh giá khá khó để hiểu nếu lần đầu sử dụng, bạn sẽ mất thời gian làm quen cũng như đọc tài liệu.
Đi đến Mozilla Observatory


3. Detectify

detectify-website-security-scan

Đây là một công cụ khá “nặng đô” và nó mất phí, nhưng cái gì cũng có giá của nó.

Detectify sẽ giúp bạn quét 1500+ lỗ hổng bảo mật bao gồm: CORS, Top 10 của OWASP và Amazon S3.

Phương pháp scan của Detectify phải nói là rất độc đáo.

Với hơn 150 hacker mũ trắng được lựa chọn cẩn thận kỹ lưỡng.

Đóng góp để xây dựng lên hệ thống quét tự động này.

Cho nên nó có chất lướng quét chi tiết nhất trong các công cụ trong danh sách này.

Nhưng nó sẽ mất một khoản phí tương đối ( $60/tháng).

Bạn có thể kiểm tra thử với bản dùng thử miễn phí 14 ngày (không cần thẻ tín dụng).

Để bắt đầu, bạn sẽ cần xác minh trang web của mình trước.

Tuy nhiên, khá đơn giản, giống như bạn cài đặt Google Analytics (như thêm thẻ meta, tải file lên…)

Ưu điểm

  • Khả năng quét báo mật rất chi tiết (1500+ lỗ hổng).
  • Phương pháp quét rất độc đáo.
  • Chạy quét bảo mật trên tất cả các trang của bạn, (thường chỉ quét đúng URL mà bạn nhập)
  • Dùng thử miễn phí 14 ngày không cần thẻ tín dụng.

Nhược điểm 

  • Không có gói Free.
  • Chi phí khá cao.
Đi đến Detectify



4. SSLTrust

SSLTrust-scan-security-website

Nhìn vào tên nhiều bạn sẽ nhầm lẫn đây là chỉ là công ty cung cấp SSL.

Nhưng họ cũng có một công cụ để scan bảo mật website.

Nó sẽ dựa trên kho dữ liệu khổng lồ của bên thứ 3 để quét:

  • OpenPhish.
  • Google Safe Browsing.
  • Sucuri SiteCheck.
  • Opera blacklist.
  • Avira.
  • Comodo.
  • Etc.

Công cụ này sẽ kiểm tra website bạn qua tổng cộng 66 dịch vụ khác nhau.

Tuy nhiên ngoại trừ kiểm tra SSL, thì mọi bài test khác chỉ là đánh giá là pass/fail.

scan-website-SSLTrust

Cho bạn sẽ không thể biết được chi tiết vấn đề nếu gặp phải.

Theo Diều Hâu, bạn không tin dựa vào công cụ này để đánh giá (chỉ nên dùng để tham khảo).

Nên kết hợp thêm một vài tool có khả năng quét tất cả file trên server.

resutl-scan

Ưu điểm

  • Test website qua 66 dịch vụ khác nhau.
  • Rất dễ sử dụng, kết quả rất dễ hiểu.
  • Kết quả kiểm tra SSL khá chi tiết.
  • Miễn phí 100%

Nhược điểm 

  • Ngoại trừ bài kiểm tra SSL, mọi kết quả khác chỉ hiện ở mức pass/fail
Đi đến SSLTrust


5. WPScan

WPScan-WordPress-Vulnerability-Scanner

WPScan là công ty kiểm tra lỗ hổng bảo mật WordPress, được tài trợ bởi Automattic.

Ông lớn đứng sau Woocommerce và WordPress.com.

Điều đặc biệt của công cụ này, là nó tập trung hoàn toàn vào WordPress.

Có nghĩa là nó rất hiệu quả, nếu bạn là một người sử dụng WP.

Nhưng sẽ không phải là sự lựa chọn tốt nếu bạn dùng nền tảng khác.

Theo ý kiến cá nhân, bạn nên dùng thêm các công cụ khác kết hợp với WPScan.

Hiện source code của công cụ có sẵn trên GitHub, bạn có thể thoải mái cài trên server (nếu bạn tin tưởng).

Nếu bạn thấy quá khó để cài đặt, cũng như setting…

Hãy sử dụng plugin miễn phí WPScan trực tiếp tại WordPress.org.

Có 2 lựa chọn rất tốt cho cloud service:

  • WPScan.io – Đây là dịch vụ đám mây “offical” được đề xuất từ nhà cung cấp (miễn phí quét mỗi tháng/ mất phí cho quét hàng ngày).
  • WPSec – Dịch vụ của bên thứ 3 từ Triop AB sử dụng mã WPScan với một số thuật toán riêng. Bạn có thể tự scan bất cứ lúc nào muốn.

Ưu điểm

  • Kiểm tra được các lỗ hổng trong core WordPress, Theme và Plugin.
  • Cách sử dụng rất đa đạng ( cài trên server, cloud scan, plugin).
  • Nó miễn phí ( nếu bạn muốn quét hàng ngày, thì sẽ mất phí).

Nhược điểm 

  • Chỉ quét các lỗ hổng cho các website WordPress .
Đi đến WPScan


Vậy đâu là công cụ quét bảo mật website tốt nhất?

Cuối cùng thì bạn nên sử dụng công cụ nào phía trên.

Chắc chắn là câu trả lời bạn đang muốn tìm kiếm đúng không nào?

Dưới đây là 2 công cụ mình khuyên dùng:

Nếu bạn không có nhiều chi phí, WPScan là lựa chọn rất tốt nếu anh em dùng WordPress. Kết hợp thêm nhiều thủ thuật bảo mật WordPress, theo mình là đã rất ổn cho website vừa và nhỏ.

Còn nếu bạn đang quản lý một website tương đối lớn, có nguồn thu ổn định. Đừng ngại đầu tư bảo mật cho nó với Detecfity (đắt nhưng sắt ra miếng).

Những công cụ trên đa số là miễn phí (điền URL và đợi nó quét là xong).

Nên bạn thoải mái mà dùng và test website mà không sợ mất phí.

Nếu dùng WordPress hãy tham khảo thêm:

Top 5 plugin Bảo Mật tốt nhất cho WordPress (2020)

Nếu có bất kỳ câu hỏi nào hãy comment ở dưới nhé !

0 0 vote
Article Rating
Đăng ký
Thông báo về
guest
3 Comments
Inline Feedbacks
View all comments

VỸ
15/10/2018 10:08 sáng

Góp ý Ad thêm Plugin MalCare Security and Firewall for WordPress, mình đã dùng qua nhiều pugin và đánh giá cao Plugin này ở tốc độ quét, khả năng nhận diện mã độc vào show luôn file bị chèn mã độc.

TrungAZ
Reply to  VỸ
23/10/2018 7:40 chiều

Kinh nghiệm thực tế có khác, thanks bác 🙂

3
0
Would love your thoughts, please comment.x
()
x

Pin It on Pinterest

Shares