WPScan 플러그인을 사용하여 WordPress 웹사이트의 취약점 찾기
게시 됨: 2021-09-15WordPress 웹 사이트의 보안을 관리하는 데는 다양한 작업이 포함됩니다. 작업 중 하나는 웹 사이트에서 사용하는 플러그인, 테마 및 WordPress 버전에 알려진 취약점이 없는지 확인하는 것입니다. 운 좋게도 이 작업은 무료 WordPress 플러그인인 WPScan을 사용하여 자동화할 수 있습니다.
WPScan 플러그인은 정기적인 검사를 수행하여 실행 중인 소프트웨어에 취약점이 있는지 확인할 수 있습니다. 최신 취약점 전용 데이터베이스와 비교하여 결과를 확인하고 웹사이트에 SQL Injection과 같은 취약점이 있는지 알려줍니다. SQL 인젝션이 무엇인지 모른다면 WordPress 보안 용어 및 단어에 대한 용어집을 읽을 수 있습니다. 이 용어집은 게임에서 최고의 자리를 유지하는 데 도움이 되는 간결한 설명을 제공합니다.
이 문서에서는 WPScan 플러그인을 설치하고 설정하여 WordPress 웹사이트의 취약점을 검색하는 방법을 설명합니다. 그 전에 WPScan이 웹 사이트 보안에 중요한 이유를 강조합니다.
WPScan 소개
먼저 WPScan이 무엇인지 설명하겠습니다. WPScan은 알려진 취약점 및 보안 문제에 대해 WordPress 코어, 테마 및 플러그인을 스캔할 수 있는 WordPress 취약점 스캐너입니다.
오픈 소스 소프트웨어, WordPress 플러그인 및 유료 온라인 서비스로 제공됩니다. 이 기사는 무료 WPScan WordPress 플러그인을 설정하고 사용하는 방법에 중점을 둡니다. 오픈 소스 스캐너에 대해 자세히 알아보려면 WPScan 스캐너 시작하기를 읽어보세요.
WPScan 플러그인은 어떻게 작동합니까?
플러그인이 웹사이트에서 사용 중인 플러그인, 테마 및 WordPress 핵심 버전을 감지하면 사용 중인 소프트웨어에 취약점이 있는지 확인합니다. WPScan 팀에서 유지 관리하는 취약성 데이터베이스에 요청을 보내 이를 확인합니다.
이 데이터베이스에는 알려진 수천 개의 WordPress 취약점이 포함되어 있습니다. 취약점이 데이터베이스에 추가되기 전에 전문가가 이를 검증합니다. 이것은 각 항목이 사람의 눈을 통해 소싱되고 확인되고 데이터베이스에 추가됨을 의미합니다.
게다가 데이터베이스에 대한 새로운 취약점을 찾기 위한 일정한 주기가 있습니다. 예를 들어, 2021년 5월에 70개 이상의 새로운 취약점이 데이터베이스에 침투했습니다.
웹사이트 스캔이 완료되면 스캔 결과에 대한 이메일 알림을 받습니다. PDF 보고서를 수신하고 다운로드하여 팀과 공유할 수도 있습니다.
무료 WPScan 플러그인은 매일 평균 웹사이트를 스캔하기에 충분합니다. 그러나 여러 웹 사이트를 날짜에 여러 번 스캔해야 하는 경우 프리미엄 WPScan 계획이 필요합니다. 가격 및 계획에 대한 자세한 내용은 WPScan 웹사이트로 이동하십시오.
WPScan이 웹사이트를 보호하는 방법
WPScan은 웹사이트에서 취약한 소프트웨어를 식별하는 프로세스를 자동화하여 도움을 줍니다. 매일 또는 매시간 검사를 실행하고 문제가 식별되면 검사 결과가 포함된 이메일 알림을 보내도록 플러그인을 구성할 수 있습니다.
WordPress 보안 프로그램에서 걱정해야 할 것이 하나 줄어들어 비즈니스에 더 많은 시간을 할애할 수 있습니다.
WPScan WordPress 플러그인 사용의 이점
이제 WPScan이 귀하의 사이트에 대해 무엇을 할 수 있는지 알게 되었습니다. 다음은 웹사이트에서 WPScan 플러그인을 실행할 때의 몇 가지 이점입니다.
- WPScan 팀은 WordPress 보안 커뮤니티 내의 고정 장치이므로 보안 연구원은 데이터베이스에 취약점을 제출하기로 선택합니다. 이렇게 하면 목록이 최신 상태로 유지됩니다. 즉, 웹 사이트에서 항상 최신 알려진 위협을 확인합니다.
- WPScn 취약점 데이터베이스 자체는 엄청난 가치가 있습니다. 오늘 현재 20,000개 이상의 항목이 있으며 모두 전문가 팀을 통해 심사 및 추가되었습니다. 다른 곳에서는 이와 같은 WordPress 취약점 모음이 없습니다.
- WordPress 코어, 플러그인 또는 테마 취약점에 대해 가장 먼저 알게 될 것입니다. 많은 경우에 귀하와 WPScan은 악의적인 사용자를 완전히 제압했습니다. 즉, 취약점이 야생에서 악용되기 전에 웹사이트를 보호합니다.
물론 주의가 필요한 문제가 있는 경우 알림을 받을 수도 있습니다. 그러나 데이터베이스를 사용하여 설치하려는 플러그인의 취약성을 확인할 수도 있습니다.
사전 예방적으로 사이트를 보호할 수 있기 때문에 이는 매우 중요합니다. 또한 취약점이 사이트에 영향을 미치지 않도록 가능한 최선의 방법으로 예방할 수 있습니다. 사용하기에 안전하다고 판단될 때까지 테마나 플러그인을 손이 닿는 곳에 두십시오.
또한 데이터베이스를 보고 스캔을 수행하는 유연한 방법이 있습니다. WordPress 플러그인은 가장 접근하기 쉬운 작업 방식을 제공합니다.
WPScan 플러그인 시작하기
간단히 말해서, WPScan의 WordPress 플러그인은 취약점 데이터베이스에 대한 일종의 기본 '래퍼'입니다. 그럼에도 불구하고 제공되는 경험 때문에 사용하는 것이 좋습니다.
1단계: 플러그인 설치
설치 과정은 다른 모든 무료 WordPress 플러그인과 동일합니다. WordPress의 플러그인 페이지로 이동하여 WPScan 데이터베이스를 검색하고 설치 를 클릭합니다. 플러그인이 설치되면 활성화하십시오.
활성화되면 API 토큰을 가져오라는 알림이 표시됩니다.
이것은 플러그인이 취약점 데이터베이스에 API 요청을 보내는 데 필요합니다. 하루에 최대 25개의 API 요청을 무료로 보낼 수 있습니다. 평균 웹 사이트에 약 20개의 플러그인이 있다는 점을 고려하면 대부분의 웹 사이트에서는 이 정도면 충분합니다.
2단계: API 토큰 가져오기
API 토큰을 받으려면 알림에 제공된 링크를 클릭하거나 WPScan 웹사이트로 이동하여 무료 API 토큰 받기 를 클릭하십시오.
양식을 제출하고 나면 이메일 주소를 통해 확인하고 계정에 로그인해야 합니다. WPScan 대시보드에 로그인하면 첫 번째 정보로 API 토큰이 표시됩니다.
3단계: API 키 활성화
WordPress 내의 WPScan 플러그인 설정 페이지로 돌아가 API 토큰을 관련 필드에 붙여넣습니다.
4단계: 자동 스캔 설정 지정
설정에 있는 동안 스캔 빈도와 실행 시간을 구성할 수 있습니다.
매일, 하루에 두 번 또는 시간 단위로 스캔을 설정할 수 있습니다. 무료 API 키를 사용하면 하루에 스캔만 실행할 수 있으므로 시작하기에 충분합니다.
설정에서 보안 검사를 비활성화하고 취약성 검사에서 플러그인이나 테마를 제외할 수도 있습니다. 이는 권장하지 않습니다.
그게 다야. 설정을 저장하면 취약점 검사가 예약된 시간에 실행됩니다.
워드프레스 웹사이트 취약점 스캔 결과
보고서 화면은 플러그인이 웹사이트에서 식별한 내용과 문제가 무엇인지에 대한 통찰력을 제공합니다. 예를 들어 현재 WordPress 버전과 설치한 모든 플러그인 및 테마를 볼 수 있습니다.
여기에서 스캔이 사이트에서 찾은 모든 취약점을 볼 수 있습니다. 화면 상단 모서리를 확인하면 모두 실행 버튼이 표시됩니다. 이렇게 하면 웹사이트의 전체 스캔이 수행됩니다.
이메일 알림을 받고 싶다면 오른쪽에 있는 알림 메타 상자를 통해 할 수 있습니다.
또한 사이트에서 수행할 수 있는 더 많은 검사가 있습니다. 사실, 개별적으로 실행할 수 있는 편리한 목록이 있습니다.
준비가 되면 여기에서 PDF 보고서를 다운로드할 수도 있습니다. 이는 보안 증명으로 또는 사이트 개선 방법에 대한 조치 계획으로 팀이나 고객과 공유하는 데 유용합니다.
취약점 없는 워드프레스 웹사이트 운영
WordPress 웹사이트를 보호하기 위해 취할 수 있는 모든 조치는 매우 중요합니다. 사이트 자체 또는 사용자가 위험에 처해 있든 모든 기회를 활용하여 사용하는 소프트웨어의 가장 안전한 버전을 실행하는 것이 중요합니다.
이를 수행하는 가장 좋은 방법 중 하나는 WPScan 플러그인을 사용하는 것입니다. WPScan 플러그인은 몇 분 안에 설정이 가능하고 자동 스캔을 수행하므로 걱정할 필요가 없는 완전한 기능을 갖춘 취약점 스캔 플러그인입니다.