Utilizzo del plug-in WPScan per trovare le vulnerabilità nel tuo sito Web WordPress

Pubblicato: 2021-09-15

Prendersi cura della sicurezza del proprio sito Web WordPress comporta molte attività diverse. Uno dei compiti è assicurarsi che i plugin, i temi e la versione di WordPress che stai utilizzando sul tuo sito Web non presentino vulnerabilità note. Fortunatamente, questa attività può essere automatizzata con WPScan, un plugin gratuito per WordPress.

Il plug-in WPScan può scoprire se il software in esecuzione presenta delle vulnerabilità eseguendo scansioni regolari. Verifica i risultati rispetto a un database di vulnerabilità dedicato aggiornato e ti informa se ci sono vulnerabilità sul tuo sito Web, come SQL Injection. Se non sai cos'è SQL Injection, puoi leggere il nostro glossario della terminologia e delle parole di sicurezza di WordPress, che ti fornisce spiegazioni concise per aiutarti a rimanere al top del tuo gioco.

Questo articolo spiega come installare e configurare il plug-in WPScan per scansionare il tuo sito Web WordPress alla ricerca di vulnerabilità. Prima di questo, evidenzia perché WPScan può essere vitale per la sicurezza del tuo sito web.

Presentazione di WPScan

Per prima cosa, spieghiamo cos'è WPScan. WPScan è uno scanner di vulnerabilità di WordPress in grado di scansionare il core, i temi e i plug-in di WordPress per rilevare vulnerabilità e problemi di sicurezza noti.

È disponibile come software open source, come plugin per WordPress e come servizio online a pagamento. Tieni presente che questo articolo si concentra su come configurare e utilizzare il plug-in WordPress gratuito WPScan. Per saperne di più sullo scanner open source, leggi Introduzione allo scanner WPScan.

Plugin WPScan

Come funziona il plugin WPScan?

Una volta che il plug-in rileva quali plug-in, temi e versione core di WordPress stai utilizzando sul tuo sito Web, controlla se uno qualsiasi dei software che stai utilizzando presenta vulnerabilità. Lo verifica inviando richieste a un database di vulnerabilità, gestito dal team WPScan.

Questo database contiene migliaia di vulnerabilità note di WordPress. Prima che una vulnerabilità venga aggiunta al database, viene controllata da un esperto. Ciò significa che ogni voce viene prelevata, verificata e aggiunta al database attraverso occhi umani.

Inoltre, c'è un ciclo costante per trovare nuove vulnerabilità per il database. Ad esempio, a maggio 2021, oltre 70 nuove vulnerabilità sono state introdotte nel database.

Database WPScan delle vulnerabilità note di WordPress

Una volta completata la scansione del sito Web, ricevi notifiche e-mail sull'esito di una scansione. Puoi anche ricevere rapporti in PDF e scaricarli per condividerli con il tuo team.

Il plug-in gratuito WPScan è sufficiente per scansionare il sito Web medio ogni giorno. Tuttavia, se devi scansionare più siti Web più volte in una data, è necessario un piano WPScan premium. Vai al sito Web WPScan per ulteriori informazioni su prezzi e piani.

Come WPScan ti aiuta a proteggere il tuo sito web

WPScan ti aiuta automatizzando il processo di identificazione del software vulnerabile sul tuo sito web. Puoi configurare il plug-in per eseguire scansioni giornaliere o anche orarie e per inviarti una notifica e-mail con i risultati della scansione una volta che ha identificato eventuali problemi.

Questa è una cosa in meno di cui ti devi preoccupare nel tuo programma di sicurezza WordPress, che ti dà più tempo per concentrarti sulla tua attività.

I vantaggi dell'utilizzo del plugin WPScan per WordPress

Ormai sai cosa può fare WPScan per il tuo sito. Ecco alcuni vantaggi dell'esecuzione del plug-in WPScan sul tuo sito web:

  • Il team WPScan è un appuntamento fisso nella comunità della sicurezza di WordPress, quindi i ricercatori della sicurezza scelgono di inviare vulnerabilità al proprio database. Ciò mantiene l'elenco aggiornato, il che significa che il tuo sito Web verrà sempre controllato per le ultime minacce note.
  • Lo stesso database di vulnerabilità di WPScn è di immenso valore. Ad oggi, ha più di 20.000 voci, tutte controllate e aggiunte attraverso un team di esperti. Non esiste un'altra raccolta di vulnerabilità di WordPress come questa disponibile da nessun'altra parte.
  • Sarai il primo a sapere di una vulnerabilità del core, del plugin o del tema di WordPress. In molti casi, tu e WPScan avete battuto sul tempo gli utenti malintenzionati. In altre parole, proteggi il tuo sito Web prima che una vulnerabilità venga sfruttata in natura.

Naturalmente, puoi anche ricevere una notifica se c'è un problema che richiede la tua attenzione. Tuttavia, puoi anche utilizzare il database per verificare la presenza di vulnerabilità nei plug-in che desideri installare.

Questo è inestimabile, perché puoi proteggere il tuo sito in modo proattivo. Inoltre, puoi impedire che una vulnerabilità influisca sul tuo sito nel miglior modo possibile: tieni il tema o il plug-in a portata di mano finché non sai che è sicuro da usare.

Hai anche un modo flessibile per visualizzare il database ed eseguire una scansione. Il plugin di WordPress offre il modo più accessibile per lavorare.

Iniziare con il plug-in WPScan

In poche parole, il plug-in WordPress di WPScan è una sorta di "wrapper" di base per il database delle vulnerabilità. Anche così, ti consigliamo di usarlo per l'esperienza che offre.

Logo WPScan

Passaggio 1: installa il plug-in

Il processo di installazione è lo stesso di ogni altro plugin gratuito per WordPress. Vai alla pagina Plugin sul tuo WordPress, cerca il database WPScan e fai clic su Installa . Una volta installato il plugin, attivalo.

Una volta attivato, vedrai una notifica per acquisire un token API:

Installazione del plug-in WPScan

Ciò è necessario affinché il plug-in invii richieste API al database delle vulnerabilità. Puoi inviare gratuitamente fino a 25 richieste API al giorno. Per la maggior parte dei siti Web questo è sufficiente, considerando che un sito Web medio ha circa 20 plug-in.

Passaggio 2: ottieni il token API

Per ottenere il tuo token API, fai clic sul collegamento fornito nella notifica o vai al sito Web WPScan e fai clic su Ottieni il tuo token API gratuito .

Ottenere il tuo token API

Una volta inviato il modulo, dovrai confermare tramite il tuo indirizzo email, quindi accedere al tuo account. Una volta effettuato l'accesso, la dashboard di WPScan mostrerà il tuo token API come prima informazione:

Conferma del token API via e-mail

Passaggio 3: attiva la chiave API

Torna alla pagina delle impostazioni del plug-in WPScan all'interno di WordPress e incolla il token API nel campo pertinente:

Attivazione della chiave API

Passaggio 4: imposta le impostazioni di scansione automatica

Mentre sei nelle Impostazioni, puoi configurare la frequenza delle scansioni e il tempo in cui dovrebbero essere eseguite:

Impostazione delle impostazioni di scansione automatica

È possibile impostare una scansione per ogni giorno, due volte al giorno o per ora. Con la chiave API gratuita, puoi eseguire solo una scansione al giorno, il che è abbastanza buono per iniziare.

Dalle impostazioni puoi anche disabilitare i controlli di sicurezza ed escludere plugin o temi dalla scansione delle vulnerabilità, cosa sconsigliata.

Questo è tutto. Salva le impostazioni e la scansione delle vulnerabilità verrà eseguita quando pianificato.

I risultati della scansione delle vulnerabilità del sito Web di WordPress

La schermata Rapporti ti offre un'idea di ciò che il plug-in ha identificato sul tuo sito Web e di quali problemi potrebbero esserci. Ad esempio, puoi vedere la tua versione attuale di WordPress e tutti i plugin e i temi che hai installato:

Rapporti WPScan

È qui che potrai vedere tutte le vulnerabilità rilevate da una scansione sul tuo sito. Se controlli l'angolo superiore dello schermo, vedrai il pulsante Esegui tutto. Questo esegue una scansione completa del tuo sito web:

Effettuando una scansione completa del tuo sito web

Se desideri ricevere una notifica via e-mail, puoi farlo tramite la casella Meta di notifica sul lato destro:

Impostazione delle notifiche e-mail

Ci sono anche molti altri controlli che puoi effettuare sul tuo sito. In effetti, c'è un pratico elenco che ti consente di eseguirli su base individuale:

Controlli di sicurezza di WPScan

Quando sei pronto, puoi anche scaricare un rapporto PDF qui. Questo è utile per la condivisione con il tuo team o clienti, sia come prova di sicurezza che come piano d'azione su come migliorare un sito.

Gestisci un sito Web WordPress privo di vulnerabilità

Ogni azione che puoi intraprendere per proteggere il tuo sito Web WordPress è vitale. Indipendentemente dal fatto che il tuo sito stesso o i tuoi utenti siano a rischio, è importante cogliere ogni opportunità per eseguire la versione più sicura possibile del software che utilizzi.

Uno dei modi migliori per farlo è utilizzare il plug-in WPScan, un plug-in di scansione delle vulnerabilità completo che può essere configurato in pochi minuti ed esegue scansioni automatiche, quindi una cosa in meno di cui ti devi preoccupare.