Co skanujemy

Scanthra przeprowadza przyjazny, pasywny sprawdzian Twojej strony internetowej. Nigdy się nie logujemy, nie łamiemy haseł ani nie obciążamy Twojego serwera. Oto dokładnie, co sprawdzamy — prostym językiem.

Pasywny znaczy bezpieczny. Każde sprawdzenie poniżej korzysta ze standardowych żądań, jakie wysłałby każdy odwiedzający — GET, HEAD, OPTIONS, DNS. Nic więcej.

Podstawy — czy Twoja strona jest odpowiednio zabezpieczona?

🔒 Nagłówki HTTP bezpieczeństwa

Sprawdzamy, czy Twoja strona informuje przeglądarkę, żeby działała bezpiecznie: HSTS (wymuszanie HTTPS), CSP (Content Security Policy) (blokowanie wstrzykniętych skryptów), X-Frame-Options (ochrona przed clickjackingiem), X-Content-Type-Options, Referrer-Policy i Permissions-Policy. Brakujące nagłówki to częste źródło małych wycieków, które sumują się w poważny problem.

🔐 Certyfikat TLS / SSL (szyfrowanie połączenia) i szyfrowanie

Czy certyfikat jest ważny, kto go wystawił, kiedy wygasa i czy obsługuje nowoczesny TLS / SSL? Wygasły certyfikat blokuje sprzedaż na cały dzień. Słaby protokół naraża Twoich odwiedzających.

🍪 Flagi ciasteczek (cookies)

Sprawdzamy Twoje ciasteczka (cookies) — czy są oznaczone jako Secure, HttpOnly i czy mają sensowne ustawienie SameSite? Bez tych flag sesje logowania mogą wyciec w publicznej sieci Wi-Fi lub zostać skradzione przez złośliwe skrypty.

Ukryte rzeczy, których nie chciałeś publikować

📁 Odsłonięte pliki

Pliki kopii zapasowych, .env, foldery .git, dumpy bazy danych, zapomniane panele administracyjne — sprawdzamy wyselekcjonowaną listę dobrze znanych ścieżek, które nie powinny być publiczne.

🚪 Strony logowania i panele administracyjne

Notujemy, gdzie znajduje się Twój panel logowania (/wp-admin, /administrator itd.), żebyś mógł zdecydować, czy powinien być ograniczony do konkretnego adresu IP lub chroniony drugim czynnikiem uwierzytelnienia.

🤖 robots.txt i .well-known

Czasem plik robots.txt ujawnia nazwy folderów, których nie chcesz indeksować. Twój katalog .well-known może ujawniać więcej, niż myślisz.

Z czego zbudowana jest Twoja strona

🧱 CMS (system zarządzania treścią) i wersje

Jeśli korzystasz z WordPressa, Joomli, Drupala, Shopify lub PrestaShop, identyfikujemy to i odczytujemy publiczne znaczniki wersji. Przestarzałe wersje CMS (systemów zarządzania treścią) to najczęstsza przyczyna włamań na strony małych firm.

🔍 Identyfikacja technologii

Wykrywamy oprogramowanie serwera (nginx, Apache), język programowania (PHP, Node) i popularne biblioteki front-endowe — wyłącznie na podstawie nagłówków i kodu HTML, które są już publiczne.

📚 Pasywne wyszukiwanie CVE (publicznej bazy luk)

Gdy wykryjemy konkretną wersję znanego komponentu, porównujemy ją z lokalną kopią publicznej bazy luk (NVD). Żadnego exploitowania, żadnego sondowania — tylko „hej, ta wersja ma znany problem; oto potrzebna aktualizacja."

Bezpieczeństwo e-mail — reputacja Twojej domeny

📧 SPF, DKIM i DMARC (zabezpieczenia e-mail)

Jeśli Twoja domena nie ma SPF / DKIM / DMARC (zabezpieczeń e-mail), każdy może podszywać się pod Ciebie w wiadomościach — udawać Twój bank, Twojego klienta, Twojego dostawcę. Sprawdzamy, czy te rekordy DNS istnieją i wyglądają prawidłowo. Brak DMARC to jedna z głównych przyczyn problemów z dostarczalnością i phishingowego podszywania się.

Czego celowo nie robimy

Żadnego skanowania portów, żadnego nmap — nigdy nie sondujemy tego, co nie jest stroną internetową.
Żadnych prób logowania, łamania haseł ani odgadywania haseł.
Żadnego aktywnego exploitowania, wstrzykiwania payloadów ani fuzzingu.
Żadnego zalewania ruchem — wysyłamy może 30 grzecznych żądań łącznie.

Innymi słowy: nic, na co mógłby narzekać Twój dostawca hostingu. Skan Scanthra wygląda jak ciekawski odwiedzający czytający kilka publicznych stron.

Przeskanuj swoją stronę Dlaczego to ważne?