moje.cert.pl – darmowy skaner bezpieczeństwa Twojej domeny od CERT Polska
Prowadzisz stronę internetową, mały sklep online albo firmowy serwis? Zastanawiałeś się kiedyś, czy ktoś właśnie nie testuje Twoich zabezpieczeń? CERT Polska uruchomił serwis moje.cert.pl – bezpłatną platformę, która pozwala każdemu przeskanować swoje domeny pod kątem podatności, wycieków danych i zagrożeń sieciowych. Oto co powinieneś o niej wiedzieć.
Czym jest moje.cert.pl?
Serwis moje.cert.pl to projekt zespołu CERT Polska działającego w ramach NASK (Państwowy Instytut Badawczy). Platforma wystartowała testowo pod koniec 2024 roku, a w lutym 2025 została oficjalnie udostępniona publicznie. Od tamtej pory zyskała już prawie 16 tysięcy zarejestrowanych użytkowników i przeskanowała ponad 3,3 miliona domen, subdomen i adresów IP, wykrywając ponad pół miliona podatności i błędnych konfiguracji.
Jak ujął to Marcin Dudek, kierownik CERT Polska – jest to rozwiązanie unikalne na skalę światową, ponieważ tak kompleksowe narzędzie diagnostyczne nie było dotychczas udostępniane bezpłatnie i publicznie w żadnym innym kraju.
Co dokładnie oferuje serwis?
Skanowanie bezpieczeństwa domen
Sercem platformy jest narzędzie Artemis – autorski skaner bezpieczeństwa rozwijany przez CERT Polska. Artemis wykorzystuje znane narzędzia open source (m.in. nuclei, sqlmap) i zawiera kilkadziesiąt modułów sprawdzających różne aspekty bezpieczeństwa strony. System wykrywa między innymi:
- podatności SQL Injection umożliwiające kradzież całej bazy danych,
- błędne konfiguracje serwerów,
- brak mechanizmów SPF i DMARC (ochrona przed fałszywymi e-mailami),
- podatności na zdalne wykonanie kodu,
- inne luki wiążące się z wysokim ryzykiem.
Skanowanie jest cykliczne — domyślnie co dwa miesiące, ale interwał można zmienić w ustawieniach. Wyniki trafiają wyłącznie do administratora danej domeny i nie są nigdzie upubliczniane.
Monitoring wycieków haseł
Serwis monitoruje wycieki danych z wielu źródeł — komercyjnych (m.in. Recorded Future), publicznych baz wycieków oraz materiałów pozyskanych przez CERT Polska w ramach pracy operacyjnej (np. hasła wykradzione przez złośliwe oprogramowanie). Jeśli w Twojej domenie pojawi się wyciek, otrzymasz natychmiastowy alert.
Powiadomienia o zagrożeniach sieciowych
System n6, zintegrowany z platformą, codziennie przetwarza miliony zdarzeń, identyfikując infekcje złośliwym oprogramowaniem, hostowanie szkodliwych treści oraz podatności aplikacji dostępnych publicznie z internetu. Administratorzy sieci otrzymują powiadomienia o problemach w swoich zasobach.
Komunikaty o zagrożeniach
Od maja 2025 w serwisie dostępna jest zakładka z ostrzeżeniami dotyczącymi polskiej cyberprzestrzeni i alertami o podatnościach. Komunikaty są widoczne bezpośrednio w panelu, przez kanał RSS, a po wyrażeniu zgody — także wysyłane e-mailem.
Infrastruktura organizacji (nowość 2026)
Najnowsza funkcja pozwala spojrzeć na swoją infrastrukturę oczami potencjalnego atakującego. System identyfikuje publicznie widoczne zasoby organizacji: subdomeny, użyte technologie, panele administracyjne, otwarte porty — w tym te zapomniane lub niezgłoszone. Dzięki temu administrator może ograniczyć powierzchnię ataku, ukrywając lub dodatkowo zabezpieczając niepotrzebnie eksponowane elementy.
Dla kogo jest moje.cert.pl?
Platforma jest zaprojektowana z myślą o szerokim gronie odbiorców:
- Osoby prywatne posiadające własne strony internetowe mogą szybko sprawdzić, czy ich witryna jest bezpieczna.
- Małe i średnie firmy zyskują dostęp do narzędzi diagnostycznych, które do niedawna były zarezerwowane dla dużych organizacji z własnymi działami IT security.
- Instytucje publiczne mogą monitorować bezpieczeństwo nawet bardzo złożonych środowisk — bez ponoszenia dodatkowych kosztów.
- Organizacje sektorowe (np. z sektora finansowego) mogą dodatkowo skorzystać z szybszej identyfikacji i reagowania na zagrożenia specyficzne dla ich branży.
Jak zacząć?
- Wejdź na moje.cert.pl i zarejestruj konto.
- Dodaj swoje domeny — system wymaga weryfikacji, że jesteś ich właścicielem lub administratorem (np. przez rekord DNS lub plik na serwerze).
- Zamów skanowanie i poczekaj na wyniki.
- Jeśli korzystasz z zapory sieciowej, warto dodać do białej listy adresy IP skanerów CERT Polska (lista jest dostępna w FAQ serwisu), aby wyniki były kompletne.
Dlaczego warto?
Statystyki mówią same za siebie — wśród pierwszych 1800 przeskanowanych domen system wykrył ponad 30 tysięcy podatności, z czego ponad tysiąc stanowiło wysokie ryzyko. Do tego ponad 34 tysiące przypadków wycieków haseł. Wiele z tych problemów było nieznanych administratorom do momentu otrzymania raportu.
Każda wykryta i usunięta podatność to potencjalny incydent bezpieczeństwa, którego udało się uniknąć. A biorąc pod uwagę, że narzędzie jest całkowicie bezpłatne — naprawdę nie ma powodu, żeby z niego nie skorzystać.
Podsumowanie
Serwis moje.cert.pl to jedno z najciekawszych polskich narzędzi cyberbezpieczeństwa ostatnich lat. Łączy w sobie zaawansowane skanowanie podatności, monitoring wycieków danych, alerty o zagrożeniach sieciowych i mapowanie infrastruktury — wszystko w jednym miejscu i za darmo. Jeśli masz jakąkolwiek stronę internetową lub administrujesz siecią firmową, zarejestruj się i sprawdź, jak Twoja infrastruktura wygląda z perspektywy atakującego. Może się okazać, że nie jest tak bezpieczna, jak myślisz.
Źródła: CERT Polska, NASK, Ministerstwo Cyfryzacji
FAQ: Skaner bezpieczeństwa dla firm – moje.cert.pl od CERT Polska
Moje.cert.pl to bezpłatna platforma uruchomiona przez CERT Polska, która pozwala każdemu właścicielowi domeny przeskanować swoje zasoby internetowe pod kątem podatności, wycieków danych i zagrożeń sieciowych. Serwis jest skierowany przede wszystkim do małych i średnich firm, które prowadzą strony internetowe, sklepy online lub firmowe serwisy, ale nie mają dedykowanego zespołu bezpieczeństwa IT. CERT Polska to rządowy zespół reagowania na incydenty komputerowe, działający w strukturach NASK, więc platforma jest wiarygodna i godna zaufania. Skanowanie obejmuje sprawdzenie konfiguracji SSL/TLS, wykrycie znanych podatności w oprogramowaniu, weryfikację nagłówków bezpieczeństwa HTTP oraz sprawdzenie, czy domena nie figuruje na listach zagrożeń.
Aby przeskanować swoją stronę, wejdź na stronę moje.cert.pl i zarejestruj się lub zaloguj na swoje konto. Następnie dodaj swoją domenę — musisz potwierdzić, że jesteś jej właścicielem, co odbywa się przez dodanie specjalnego rekordu DNS lub pliku na serwerze. Po weryfikacji możesz uruchomić skanowanie, które sprawdzi Twoją domenę pod kątem najczęstszych podatności i zagrożeń. Wyniki są prezentowane w czytelnej formie z oznaczeniem poziomu ryzyka i konkretnymi rekomendacjami naprawczymi. Skanowanie jest całkowicie bezpłatne i możesz je powtarzać regularnie, aby monitorować stan bezpieczeństwa swojej strony. CERT Polska nie udostępnia wyników skanowania osobom trzecim.
Skaner moje.cert.pl wykrywa szeroki zakres podatności i zagrożeń bezpieczeństwa. Sprawdza konfigurację certyfikatów SSL/TLS, wykrywając przestarzałe protokoły i słabe szyfry. Weryfikuje nagłówki bezpieczeństwa HTTP, takie jak Content-Security-Policy, X-Frame-Options, Strict-Transport-Security i inne. Identyfikuje znane podatności w oprogramowaniu serwera (np. przestarzałe wersje Apache, Nginx, PHP). Sprawdza, czy domena nie figuruje na listach zagrożeń i czy nie jest wykorzystywana do rozsyłania spamu lub phishingu. Weryfikuje również konfigurację DNS pod kątem bezpieczeństwa, w tym rekordy SPF, DKIM i DMARC chroniące przed spoofingiem e-maili. Wyniki zawierają konkretne rekomendacje naprawcze z priorytetami.
Tak, mała firma zdecydowanie potrzebuje regularnego skanowania bezpieczeństwa. Cyberprzestępcy coraz częściej atakują małe i średnie przedsiębiorstwa, ponieważ mają one zazwyczaj słabsze zabezpieczenia niż duże korporacje. Nawet prosta strona firmowa może zostać zhakowana i wykorzystana do rozsyłania phishingu, co naraża firmę na utratę reputacji i problemy prawne. Sklep internetowy przechowujący dane klientów podlega przepisom RODO, a wyciek danych oznacza poważne konsekwencje finansowe i prawne. Regularne skanowanie za pomocą moje.cert.pl pozwala wykryć problemy zanim zostaną wykorzystane przez atakujących. To bezpłatne narzędzie, które wymaga minimalnego nakładu pracy, a może uchronić firmę przed kosztownym incydentem bezpieczeństwa.
Zabezpieczenie strony WordPress wymaga kilku kluczowych kroków. Przede wszystkim regularnie aktualizuj WordPress, motywy i wtyczki — większość ataków wykorzystuje znane podatności w przestarzałym oprogramowaniu. Używaj silnych, unikalnych haseł i włącz uwierzytelnianie dwuskładnikowe (2FA) dla konta administratora. Ogranicz liczbę wtyczek do niezbędnego minimum, ponieważ każda wtyczka to potencjalny wektor ataku. Zainstaluj wtyczkę bezpieczeństwa, taką jak Wordfence lub Sucuri, która monitoruje aktywność i blokuje podejrzane żądania. Zmień domyślny prefiks tabel bazy danych i ukryj stronę logowania. Konfiguruj nagłówki bezpieczeństwa HTTP i certyfikat SSL. Regularnie skanuj stronę za pomocą moje.cert.pl i twórz kopie zapasowe zgodnie z zasadą 3-2-1.
CERT Polska (Computer Emergency Response Team) to pierwszy w Polsce zespół reagowania na incydenty komputerowe, działający w strukturach NASK (Naukowej i Akademickiej Sieci Komputerowej). Zespół powstał w 1996 roku i od tego czasu chroni polską cyberprzestrzeń. Do głównych zadań CERT Polska należy reagowanie na incydenty bezpieczeństwa, analiza zagrożeń, publikowanie ostrzeżeń o nowych kampaniach phishingowych i malware, prowadzenie listy ostrzeżeń przed niebezpiecznymi stronami oraz edukacja w zakresie cyberbezpieczeństwa. CERT Polska prowadzi też serwis incydent.cert.pl do zgłaszania incydentów oraz moje.cert.pl do skanowania bezpieczeństwa domen. To zaufana instytucja publiczna, której rekomendacje warto traktować poważnie.
Stronę internetową należy skanować co najmniej raz w miesiącu, a w przypadku sklepów internetowych i serwisów przetwarzających dane osobowe — co tydzień. Dodatkowe skanowanie powinno być przeprowadzone po każdej aktualizacji oprogramowania (CMS, wtyczek, motywów), po zmianie konfiguracji serwera, po wykryciu podejrzanej aktywności oraz po opublikowaniu informacji o nowej podatności dotyczącej używanego oprogramowania. Automatyzacja skanowania jest kluczowa — ręczne sprawdzanie łatwo zaniedbać. Moje.cert.pl pozwala na regularne skanowanie, ale warto uzupełnić je o inne narzędzia, takie jak Qualys SSL Labs do szczegółowej analizy konfiguracji SSL czy SecurityHeaders.com do sprawdzania nagłówków bezpieczeństwa.
