网站安全检测
验证站点所有权(解锁主动检测)
请登录以获取验证令牌,并在您拥有的网站上运行主动检测。
Website Security Test 是一款免费的在线工具,可以在几秒钟内对任意网站进行常见安全问题的审计。它会检测 HTTPS 与 TLS 配置、HTTP 安全头、Cookie 属性以及暴露的敏感文件。同时也会检测软件版本泄露。在高级模式下,还能找出被 Google 索引的私密或敏感子页面。你将获得清晰的安全评分、评级和结构化的修复建议列表。
什么是 Website Security Test?
从攻击者角度的快速审计
该工具从外部检查你的网站,就像自动化扫描器或攻击者会做的那样。仅使用只读的安全请求。不会登录、不做任何更改,也不会尝试任何攻击。
你可以在几秒钟内了解哪些安全措施具备、哪些缺失或配置错误。每个检测结果都按类别分组,并根据重要性排序,因此你可以优先修复最严重的问题。
这使得该工具非常适合在发布前快速检查、每月例行审计,或对刚接管的网站进行快速评估。
检测内容
扫描涵盖六大领域,包括加密连接和证书、浏览器安全头以及 Cookie 属性。还包括暴露的文件及目录索引、软件泄露和搜索引擎暴露。
每个检测项都返回四种状态之一:严重、警告、信息或通过。附带证据和推荐修复建议。
安全如何影响SEO
搜索引擎更倾向于采用 HTTPS 协议的网站。泄露的测试副本或被索引的后台管理页面可能影响排名并泄露数据。安全且配置正确的网站同时保护访问者和你的自然可见性。
修复报告中的问题能提升信任信号,减少敏感内容被收录。还能消除会吓退访客的浏览器警告。
使用 Website Security Test 的好处
- 获得一份清晰的安全结果和从 A+ 到 F 的评级,适用于任意 URL。
- 以通俗语言展示缺失或薄弱的安全头(CSP、HSTS、X-Content-Type-Options 等)。
- 在别人发现之前检测暴露的 .env、.git 文件、备份和 SQL 转储。
- 发现开放的目录索引和过于详细的服务器头,这些都有利于攻击者。
- 检测 TLS 证书有效性、到期时间以及是否仍启用过时协议。
- 在高级模式下,自动搜索 Google,寻找那些不应被收录的敏感内容。
- 为每个问题提供清晰、可直接落地的修复建议——无需安全术语知识。
主要功能
- 六类安全类别共二十余项单项测试。
- 评分基于问题严重性权重,让你总是优先修复重要问题。
- 检测 HTTPS 跳转、HSTS 头及混合内容。
- 安全头全面评估,符合最新 OWASP 指南。
- 检查 Cookie Secure、HttpOnly 和 SameSite 属性。
- 仅用安全请求探测暴露文件和目录索引。
- 可选的 Google 暴露扫描与付费用户专属 premium 代理。
- 每项测试都附带整改建议,可直接交给开发者。
- Email 认证与 DNS 加固:SPF、DMARC、CAA 记录及 CORS 策略回顾。
- DNSSEC、外部脚本 SRI、以及爬虫/防火墙检测。
- GDPR、PCI DSS 合规预览检测,检视网络可见基础——不替代正式法律或 PCI 审计。
- Googlebot vs 浏览器对比检测隐藏内容(cloaking)——对 HTTP Request 工具的有益补充,比如比较 HTTP 状态、跳转、SEO 信号和内容变化比例。
Website Security Test 工具与其他工具对比
| 功能 | DiagnoSEO | 其他工具 |
|---|---|---|
| 头信息、TLS、Cookie 与暴露项统一结果展现 | ✅ | ❌ |
| 安全头评级(类似 SecurityHeaders.com 或 Mozilla Observatory) | ✅ | ✅ |
| TLS 证书与协议摘要(类似 Qualys SSL Labs) | ✅ | ✅ |
| 暴露的 .env / .git / 备份文件检测 | ✅ | ❌ |
| 检测被 Google 索引的敏感子页面 | ✅ | ❌ |
| 每项检测结果用简单语言描述整改建议 | ✅ | ❌ |
| 基础扫描无需账号 | ✅ | ✅ |
| 作为完整 SEO 工具套件一部分,包含审计与 SERP 工具 | ✅ | ❌ |
免费版和专业版的区别
被动扫描对所有网址均免费,无需账号。主动测试,会探测你的服务器,仅限你验证网站所有权(或在 robots.txt 授权 DiagnoSEO)后使用。Advanced(Pro)计划提供更多高级功能。
| 可用项 | 免费 | 已验证所有者 | Advanced (Pro) |
|---|---|---|---|
| 安全头、HTTPS/TLS、Cookie、版本泄露 | ✅ | ✅ | ✅ |
| robots.txt / security.txt 检测 | ✅ | ✅ | ✅ |
| 被 Google 索引的敏感内容 | ❌ | ❌ | ✅ |
| 暴露的 .env / .git / 备份文件 | ❌ | ✅(基础深度) | ✅(更深) |
| 目录索引检测 | ❌ | ✅ | ✅ |
| CMS 用户枚举 | ❌ | ❌ | ✅ |
| Premium 代理(绕过 WAF/地理封锁) | ❌ | ❌ | ✅ |
如何使用 Website Security Test 工具
- 进入工具面板中的 Website Security Test。
- 在 网站 URL 地址 输入框中填入你想检测的完整网址,例如 https://example.com。
- 如已开通付费计划,打开 高级设置 以启用 premium 代理或 Google 暴露扫描。
- 点击 扫描网站 按钮,等待几秒钟报告生成。
- 查看顶部的总评分与评级。
- 按类别浏览检测结果,从所有 严重 项目开始。
- 展开每个问题,查看证据和整改建议。
- 在服务器或 CMS 系统中应用修复,然后重新扫描以验证。
案例分析
起点
假设你刚接手一个中型电商网站,在规划维护前希望快速了解其安全状况。
你打开工具,粘贴商城首页网址,点击 扫描网站。
几秒钟后,你看到总评分为 C,有三项严重问题被红色高亮。
解读报告
首个严重问题是暴露了带有数据库凭证的 .env 文件。其次是缺乏 HTTP 到 HTTPS 的跳转。第三个是证书链有过期片段。
安全头类别还提示缺失 Content-Security-Policy 和 HSTS 头,每项都简要解释了风险。
问题修复
按建议步骤,你封锁了公开访问 .env 文件。通过 301 跳转强制全站使用 HTTPS。并续签证书、启用自动续期。
随后补充 Content-Security-Policy 头和长期 HSTS 头,完全按照报告建议操作。
结果
你再次扫描。严重问题消失,安全头类别显示为绿色,总评分提升到 A。
现在,该商城对客户更加安全,没有浏览器警告,搜索可见性也大幅提升。
常见问题
-
是的。该工具只会对公网地址发送只读的安全请求。不登录、不修改数据,也不会尝试任何攻击。
-
不需要。基础扫描无需账号。付费计划将解锁高级选项,如 premium 代理与 Google 暴露扫描。
-
得分是所有检测项的加权汇总,0-100 分制,按问题权重计算,最终折算为 A+ 到 F 评级。分值越高越好。
-
在高级模式下,工具会对你的域名发起有针对性的搜索查询,找出可能不应公开的管理后台、目录或文件。
-
不能。这是针对常见配置问题的快速检测。专业渗透测试会更深入,关键系统仍建议进行正式渗透测试。