Folosind pluginul WPScan pentru a găsi vulnerabilități pe site-ul dvs. WordPress
Publicat: 2021-09-15Asigurarea securității site-ului dvs. WordPress implică o mulțime de sarcini diferite. Una dintre sarcini este să vă asigurați că pluginurile, temele și versiunea WordPress pe care le utilizați pe site-ul dvs. web nu au vulnerabilități cunoscute. Din fericire, această sarcină poate fi automatizată cu WPScan, un plugin WordPress gratuit.
Pluginul WPScan poate afla dacă software-ul pe care îl executați are vulnerabilități, efectuând scanări regulate. Acesta verifică rezultatele cu o bază de date dedicată actualizată cu vulnerabilități și vă informează dacă există vulnerabilități pe site-ul dvs. web, cum ar fi SQL Injection. Dacă nu știți ce este SQL Injection, puteți citi glosarul nostru de terminologie și cuvinte de securitate WordPress, care vă oferă explicații concise pentru a vă ajuta să rămâneți în vârful jocului.
Acest articol explică cum puteți instala și configura pluginul WPScan pentru a vă scana site-ul WordPress pentru vulnerabilități. Înainte de aceasta, evidențiază de ce WPScan poate fi vital pentru securitatea site-ului dvs. web.
Vă prezentăm WPScan
Mai întâi, să explicăm ce este WPScan. WPScan este un scaner de vulnerabilități WordPress care vă poate scana nucleul, temele și pluginurile WordPress pentru vulnerabilități cunoscute și probleme de securitate.
Este disponibil ca software open source, ca plugin WordPress și ca serviciu online plătit. Rețineți că acest articol se concentrează pe modul de configurare și utilizare a pluginului gratuit WPScan WordPress. Pentru a afla mai multe despre scanerul open source, citiți cum să începeți cu scanerul WPScan.
Cum funcționează pluginul WPScan?
Odată ce pluginul detectează ce pluginuri, teme și versiunea de bază WordPress pe care le utilizați pe site-ul dvs. web, verifică dacă vreunul dintre software-ul pe care îl utilizați are vreo vulnerabilitate. Verifică acest lucru trimițând cereri către o bază de date de vulnerabilități, care este întreținută de echipa WPScan.
Această bază de date conține mii de vulnerabilități WordPress cunoscute. Înainte ca o vulnerabilitate să fie adăugată la baza de date, aceasta este verificată de un expert. Aceasta înseamnă că fiecare intrare este preluată, verificată și adăugată la baza de date prin ochi umani.
În plus, există un ciclu constant pentru a găsi noi vulnerabilități pentru baza de date. De exemplu, în mai 2021, peste 70 de noi vulnerabilități și-au găsit drum în baza de date.
Odată ce scanarea site-ului web este finalizată, primiți notificări prin e-mail cu privire la rezultatul unei scanări. De asemenea, puteți primi rapoarte PDF și le puteți descărca pentru a le partaja echipei dvs.
Pluginul gratuit WPScan este suficient pentru a scana site-ul web mediu în fiecare zi. Cu toate acestea, dacă trebuie să scanați mai multe site-uri web de mai multe ori pe dată, aveți nevoie de un plan WPScan premium. Accesați site-ul web WPScan pentru mai multe informații despre prețuri și planuri.
Cum vă ajută WPScan să vă protejați site-ul web
WPScan vă ajută prin automatizarea procesului de identificare a software-ului vulnerabil pe site-ul dvs. web. Puteți configura pluginul să ruleze scanări zilnice sau chiar pe oră și să vă trimită o notificare prin e-mail cu rezultatele scanării odată ce identifică orice problemă.
Acesta este un lucru mai puțin de care trebuie să vă faceți griji în programul dvs. de securitate WordPress, permițându-vă mai mult timp să vă concentrați asupra afacerii dvs.
Beneficiile utilizării pluginului WPScan WordPress
Până acum, știți ce poate face WPScan pentru site-ul dvs. Iată câteva beneficii ale rulării pluginului WPScan pe site-ul dvs. web:
- Echipa WPScan este o parte integrantă în comunitatea de securitate WordPress, așa că cercetătorii de securitate aleg să trimită vulnerabilități în baza lor de date. Aceasta menține lista actuală, ceea ce înseamnă că site-ul dvs. web va fi întotdeauna verificat pentru cele mai recente amenințări cunoscute.
- Baza de date a vulnerabilităților WPScn în sine este de o valoare imensă. Începând de astăzi, are peste 20.000 de intrări, toate verificate și adăugate printr-o echipă de experți. Nu există nicio altă colecție de vulnerabilități WordPress ca aceasta disponibilă în altă parte.
- Veți fi primul care află despre o vulnerabilitate de bază, plugin sau temă WordPress. În multe cazuri, dvs. și WPS puteți învinge utilizatorii rău intenționați până la capăt. Cu alte cuvinte, vă protejați site-ul înainte ca o vulnerabilitate să fie exploatată în sălbăticie.
Desigur, puteți primi și o notificare dacă există o problemă care necesită atenția dvs. Cu toate acestea, puteți utiliza și baza de date pentru a verifica dacă există vulnerabilități în pluginurile pe care doriți să le instalați.
Acest lucru este de neprețuit, deoarece vă puteți proteja site-ul într-un mod proactiv. În plus, puteți preveni ca o vulnerabilitate să vă afecteze site-ul în cel mai bun mod posibil – păstrați tema sau pluginul la îndemână până când știți că este sigur de utilizat.
Aveți, de asemenea, o modalitate flexibilă de a vizualiza baza de date și de a efectua o scanare. Pluginul WordPress oferă cel mai accesibil mod de a lucra.
Noțiuni introductive cu pluginul WPScan
Pe scurt, pluginul WordPress al WPScan este un fel de „înveliș” de bază pentru baza de date de vulnerabilități. Chiar și așa, îți recomandăm să-l folosești datorită experienței pe care o oferă.
Pasul 1: Instalați pluginul
Procesul de instalare este la fel ca orice alt plugin gratuit WordPress. Navigați la pagina Plugin -uri de pe WordPress, căutați baza de date WPScan și faceți clic pe Instalare . Odată ce pluginul este instalat, activați-l.
Odată activat, veți vedea o notificare pentru a prelua un token API:
Acest lucru este necesar pentru ca pluginul să trimită solicitări API către baza de date de vulnerabilități. Puteți trimite gratuit până la 25 de solicitări API pe zi. Pentru majoritatea site-urilor, acest lucru este suficient, având în vedere că site-ul mediu are aproximativ 20 de plugin-uri.
Pasul 2: obțineți indicativul API
Pentru a obține indicativul API, faceți clic pe linkul furnizat în notificare sau mergeți la site-ul web WPScan și faceți clic pe Obțineți simbolul API gratuit .
După ce ați trimis formularul, va trebui să confirmați prin adresa dvs. de e-mail, apoi să vă conectați la contul dvs. Odată conectat, tabloul de bord WPScan va afișa indicativul API ca prima informație:
Pasul 3: Activați cheia API
Reveniți la pagina de setări a pluginului WPScan din WordPress și inserați simbolul API în câmpul relevant:
Pasul 4: Setați setările de scanare automată
În timp ce vă aflați în Setări, puteți configura frecvența scanărilor și timpul în care ar trebui să ruleze:
Puteți seta o scanare pentru fiecare zi, de două ori pe zi sau la oră. Cu cheia API gratuită, puteți rula doar o scanare pe zi, ceea ce este suficient de bun pentru a începe.
Din setări puteți, de asemenea, să dezactivați verificările de securitate și să excludeți pluginurile sau temele din scanarea vulnerabilităților, ceea ce nu este recomandat.
Cam asta e tot. Salvați setările și scanarea vulnerabilităților va rula atunci când este programată.
Rezultatele scanării vulnerabilităților site-ului WordPress
Ecranul Rapoarte vă oferă o perspectivă a ceea ce a identificat pluginul pe site-ul dvs. web și ce probleme ar putea exista. De exemplu, puteți vedea versiunea dvs. actuală de WordPress și toate pluginurile și temele pe care le-ați instalat:
Aici vei putea vedea toate vulnerabilitățile pe care le găsește o scanare pe site-ul tău. Dacă verificați colțul de sus al ecranului, veți vedea butonul Run All. Aceasta efectuează o scanare completă a site-ului dvs.:
Dacă doriți să primiți o notificare prin e-mail, puteți face asta prin caseta meta Notificare din partea dreaptă:
Există, de asemenea, mult mai multe verificări pe care le puteți efectua pe site-ul dvs. De fapt, există o listă la îndemână care vă permite să rulați fiecare pe o bază individuală:
Când sunteți gata, puteți descărca și un raport PDF de aici. Acest lucru este bun pentru a le împărtăși cu echipa sau clienții dvs., fie ca dovadă de securitate, fie ca plan de acțiune cu privire la modul de îmbunătățire a unui site.
Rulați un site WordPress fără vulnerabilități
Fiecare acțiune pe care o puteți face pentru a vă securiza site-ul WordPress este vitală. Indiferent dacă site-ul dvs. în sine sau utilizatorii dvs. sunt în pericol, este important să profitați de fiecare oportunitate pentru a rula cea mai sigură versiune posibilă a software-ului pe care îl utilizați.
Una dintre cele mai bune modalități de a face acest lucru este să utilizați pluginul WPScan, un plugin complet de scanare a vulnerabilităților care poate fi configurat în câteva minute și efectuează scanări automate, așa că trebuie să vă faceți griji cu un singur lucru.