Uso del complemento WPScan para encontrar vulnerabilidades en su sitio web de WordPress

Publicado: 2021-09-15

Cuidar la seguridad de su sitio web de WordPress implica muchas tareas diferentes. Una de las tareas es asegurarse de que los complementos, los temas y la versión de WordPress que está utilizando en su sitio web no tengan vulnerabilidades conocidas. Afortunadamente, esta tarea se puede automatizar con WPScan, un complemento gratuito de WordPress.

El complemento WPScan puede averiguar si el software que está ejecutando tiene vulnerabilidades realizando escaneos regulares. Comprueba los resultados con una base de datos de vulnerabilidades actualizada y dedicada, y le informa si hay alguna vulnerabilidad en su sitio web, como SQL Injection. Si no sabe qué es SQL Injection, puede leer nuestro glosario de terminología y palabras de seguridad de WordPress, que le brinda explicaciones concisas para ayudarlo a mantenerse en la cima de su juego.

Este artículo explica cómo puede instalar y configurar el complemento WPScan para escanear su sitio web de WordPress en busca de vulnerabilidades. Antes de esto, destaca por qué WPScan puede ser vital para la seguridad de su sitio web.

Introducción a WPScan

Primero, expliquemos qué es WPScan. WPScan es un escáner de vulnerabilidades de WordPress que puede escanear su núcleo, temas y complementos de WordPress en busca de vulnerabilidades conocidas y problemas de seguridad.

Está disponible como software de código abierto, como complemento de WordPress y como servicio en línea de pago. Tenga en cuenta que este artículo se centra en cómo configurar y utilizar el complemento gratuito WPScan WordPress. Para obtener más información sobre el escáner de código abierto, lea Introducción al escáner WPScan.

Complemento WPScan

¿Cómo funciona el complemento WPScan?

Una vez que el complemento detecta qué complementos, temas y versión principal de WordPress está utilizando en su sitio web, comprueba si alguno de los programas que está utilizando tiene alguna vulnerabilidad. Comprueba esto enviando solicitudes a una base de datos de vulnerabilidades, que es mantenida por el equipo de WPScan.

Esta base de datos contiene miles de vulnerabilidades conocidas de WordPress. Antes de agregar una vulnerabilidad a la base de datos, un experto la examina. Esto significa que cada entrada se obtiene, verifica y agrega a la base de datos a través de ojos humanos.

Además, existe un ciclo constante para encontrar nuevas vulnerabilidades para la base de datos. Por ejemplo, en mayo de 2021, más de 70 nuevas vulnerabilidades se abrieron paso en la base de datos.

Base de datos WPScan de vulnerabilidades conocidas de WordPress

Una vez que se completa el escaneo del sitio web, recibe notificaciones por correo electrónico del resultado del escaneo. También puede recibir informes en PDF y descargarlos para compartirlos con su equipo.

El complemento WPScan gratuito es suficiente para escanear el sitio web promedio todos los días. Sin embargo, si necesita escanear varios sitios web varias veces por fecha, necesita un plan WPScan premium. Dirígete al sitio web de WPScan para obtener más información sobre precios y planes.

Cómo le ayuda WPScan a proteger su sitio web

WPScan lo ayuda al automatizar el proceso de identificación de software vulnerable en su sitio web. Puede configurar el complemento para ejecutar escaneos diarios o incluso cada hora, y para enviarle una notificación por correo electrónico con los resultados del escaneo una vez que identifique cualquier problema.

Esa es una cosa menos de la que debe preocuparse en su programa de seguridad de WordPress, lo que le permite tener más tiempo para concentrarse en su negocio.

Los beneficios de usar el complemento WPScan WordPress

A estas alturas, ya sabe lo que WPScan puede hacer por su sitio. Aquí hay algunos beneficios de ejecutar el complemento WPScan en su sitio web:

  • El equipo de WPScan es un elemento fijo dentro de la comunidad de seguridad de WordPress, por lo que los investigadores de seguridad eligen enviar vulnerabilidades a su base de datos. Esto mantiene la lista actualizada, lo que significa que su sitio web siempre será revisado en busca de las últimas amenazas conocidas.
  • La propia base de datos de vulnerabilidades de WPScn tiene un valor inmenso. A día de hoy, cuenta con más de 20 000 entradas, todas examinadas y añadidas a través de un equipo de expertos. No hay otra colección de vulnerabilidades de WordPress como esta disponible en ningún otro lugar.
  • Serás el primero en enterarte de una vulnerabilidad del núcleo, complemento o tema de WordPress. En muchos casos, usted y WPScan se adelantan a los usuarios malintencionados. En otras palabras, protege su sitio web antes de que se explote una vulnerabilidad en la naturaleza.

Por supuesto, también puede recibir una notificación si hay un problema que requiere su atención. Sin embargo, también puede usar la base de datos para buscar vulnerabilidades en los complementos que también desea instalar.

Esto es invaluable, porque puede proteger su sitio de manera proactiva. Además, puede evitar que una vulnerabilidad afecte a su sitio de la mejor manera posible: mantenga el tema o complemento al alcance de la mano hasta que sepa que es seguro usarlo.

También tiene una forma flexible de ver la base de datos y realizar un escaneo. El complemento de WordPress ofrece la forma más accesible de trabajar.

Primeros pasos con el complemento WPScan

En pocas palabras, el complemento de WordPress de WPScan es una especie de "envoltorio" básico para la base de datos de vulnerabilidades. Aun así, te recomendamos su uso por la experiencia que ofrece.

Logotipo de WPScan

Paso 1: Instala el complemento

El proceso de instalación es el mismo que cualquier otro complemento gratuito de WordPress. Vaya a la página Complementos en su WordPress, busque la base de datos de WPScan y haga clic en Instalar . Una vez instalado el complemento, actívelo.

Una vez activado, verá una notificación para obtener un token de API:

Instalación del complemento WPScan

Esto es necesario para que el complemento envíe solicitudes de API a la base de datos de vulnerabilidades. Puede enviar hasta 25 solicitudes de API por día de forma gratuita. Para la mayoría de los sitios web, esto es suficiente, considerando que el sitio web promedio tiene alrededor de 20 complementos.

Paso 2: obtenga su token API

Para obtener su token de API, haga clic en el enlace proporcionado en la notificación o diríjase al sitio web de WPScan y haga clic en Obtenga su token de API gratuito .

Obtener su token de API

Una vez que envíe el formulario, deberá confirmar a través de su dirección de correo electrónico y luego iniciar sesión en su cuenta. Una vez que haya iniciado sesión, el panel de control de WPScan mostrará su token API como la primera información:

Confirmación de su token API por correo electrónico

Paso 3: activa la clave API

Regrese a la página de configuración del complemento WPScan dentro de WordPress y pegue el token API en el campo correspondiente:

Activación de la clave API

Paso 4: Establezca su configuración de escaneo automático

Mientras está en la Configuración, puede configurar la frecuencia de los análisis y el tiempo que deben ejecutarse:

Configuración de la configuración de escaneo automático

Puede configurar un escaneo para todos los días, dos veces al día o por hora. Con la clave API gratuita, solo puede ejecutar un escaneo por día, lo cual es lo suficientemente bueno para comenzar.

Desde la configuración también puede deshabilitar los controles de seguridad y excluir complementos o temas del análisis de vulnerabilidades, lo cual no se recomienda.

Eso es todo. Guarde la configuración y el análisis de vulnerabilidades se ejecutará cuando esté programado.

Los resultados del análisis de vulnerabilidades del sitio web de WordPress

La pantalla Informes le brinda una idea de lo que identificó el complemento en su sitio web y qué problemas podría haber. Por ejemplo, puede ver su versión actual de WordPress y todos los complementos y temas que ha instalado:

Informes WPScan

Es aquí donde podrá ver todas las vulnerabilidades que un análisis encuentra en su sitio. Si revisa la esquina superior de la pantalla, verá el botón Ejecutar todo. Esto lleva a cabo un escaneo completo de su sitio web:

Realización de un escaneo completo de su sitio web

Si desea recibir una notificación por correo electrónico, puede hacerlo a través del cuadro meta de Notificación en el lado derecho:

Configuración de notificaciones por correo electrónico

También hay muchas más comprobaciones que puede realizar en su sitio. De hecho, hay una lista útil que le permite ejecutar cada uno de forma individual:

Comprobaciones de seguridad WPScan

Cuando esté listo, también puede descargar un informe en PDF aquí. Esto es bueno para compartir con su equipo o clientes, ya sea como prueba de seguridad o como un plan de acción sobre cómo mejorar un sitio.

Ejecute un sitio web de WordPress libre de vulnerabilidades

Cada acción que puede tomar para proteger su sitio web de WordPress es vital. Ya sea que su sitio o sus usuarios estén en riesgo, es importante aprovechar todas las oportunidades para ejecutar la versión más segura posible del software que utiliza.

Una de las mejores maneras de hacer esto es usar el complemento WPScan, un complemento de escaneo de vulnerabilidades con todas las funciones que se puede configurar en minutos y realiza escaneos automáticos, por lo que tiene que preocuparse por una cosa menos.