Folosind pluginul WPScan pentru a găsi vulnerabilități pe site-ul dvs. WordPress

Publicat: 2021-09-15

Asigurarea securității site-ului dvs. WordPress implică o mulțime de sarcini diferite. Una dintre sarcini este să vă asigurați că pluginurile, temele și versiunea WordPress pe care le utilizați pe site-ul dvs. web nu au vulnerabilități cunoscute. Din fericire, această sarcină poate fi automatizată cu WPScan, un plugin WordPress gratuit.

Pluginul WPScan poate afla dacă software-ul pe care îl executați are vulnerabilități, efectuând scanări regulate. Acesta verifică rezultatele cu o bază de date dedicată actualizată cu vulnerabilități și vă informează dacă există vulnerabilități pe site-ul dvs. web, cum ar fi SQL Injection. Dacă nu știți ce este SQL Injection, puteți citi glosarul nostru de terminologie și cuvinte de securitate WordPress, care vă oferă explicații concise pentru a vă ajuta să rămâneți în vârful jocului.

Acest articol explică cum puteți instala și configura pluginul WPScan pentru a vă scana site-ul WordPress pentru vulnerabilități. Înainte de aceasta, evidențiază de ce WPScan poate fi vital pentru securitatea site-ului dvs. web.

Vă prezentăm WPScan

Mai întâi, să explicăm ce este WPScan. WPScan este un scaner de vulnerabilități WordPress care vă poate scana nucleul, temele și pluginurile WordPress pentru vulnerabilități cunoscute și probleme de securitate.

Este disponibil ca software open source, ca plugin WordPress și ca serviciu online plătit. Rețineți că acest articol se concentrează pe modul de configurare și utilizare a pluginului gratuit WPScan WordPress. Pentru a afla mai multe despre scanerul open source, citiți cum să începeți cu scanerul WPScan.

Plugin WPScan

Cum funcționează pluginul WPScan?

Odată ce pluginul detectează ce pluginuri, teme și versiunea de bază WordPress pe care le utilizați pe site-ul dvs. web, verifică dacă vreunul dintre software-ul pe care îl utilizați are vreo vulnerabilitate. Verifică acest lucru trimițând cereri către o bază de date de vulnerabilități, care este întreținută de echipa WPScan.

Această bază de date conține mii de vulnerabilități WordPress cunoscute. Înainte ca o vulnerabilitate să fie adăugată la baza de date, aceasta este verificată de un expert. Aceasta înseamnă că fiecare intrare este preluată, verificată și adăugată la baza de date prin ochi umani.

În plus, există un ciclu constant pentru a găsi noi vulnerabilități pentru baza de date. De exemplu, în mai 2021, peste 70 de noi vulnerabilități și-au găsit drum în baza de date.

Baza de date WPScan a vulnerabilităților WordPress cunoscute

Odată ce scanarea site-ului web este finalizată, primiți notificări prin e-mail cu privire la rezultatul unei scanări. De asemenea, puteți primi rapoarte PDF și le puteți descărca pentru a le partaja echipei dvs.

Pluginul gratuit WPScan este suficient pentru a scana site-ul web mediu în fiecare zi. Cu toate acestea, dacă trebuie să scanați mai multe site-uri web de mai multe ori pe dată, aveți nevoie de un plan WPScan premium. Accesați site-ul web WPScan pentru mai multe informații despre prețuri și planuri.

Cum vă ajută WPScan să vă protejați site-ul web

WPScan vă ajută prin automatizarea procesului de identificare a software-ului vulnerabil pe site-ul dvs. web. Puteți configura pluginul să ruleze scanări zilnice sau chiar pe oră și să vă trimită o notificare prin e-mail cu rezultatele scanării odată ce identifică orice problemă.

Acesta este un lucru mai puțin de care trebuie să vă faceți griji în programul dvs. de securitate WordPress, permițându-vă mai mult timp să vă concentrați asupra afacerii dvs.

Beneficiile utilizării pluginului WPScan WordPress

Până acum, știți ce poate face WPScan pentru site-ul dvs. Iată câteva beneficii ale rulării pluginului WPScan pe site-ul dvs. web:

  • Echipa WPScan este o parte integrantă în comunitatea de securitate WordPress, așa că cercetătorii de securitate aleg să trimită vulnerabilități în baza lor de date. Aceasta menține lista actuală, ceea ce înseamnă că site-ul dvs. web va fi întotdeauna verificat pentru cele mai recente amenințări cunoscute.
  • Baza de date a vulnerabilităților WPScn în sine este de o valoare imensă. Începând de astăzi, are peste 20.000 de intrări, toate verificate și adăugate printr-o echipă de experți. Nu există nicio altă colecție de vulnerabilități WordPress ca aceasta disponibilă în altă parte.
  • Veți fi primul care află despre o vulnerabilitate de bază, plugin sau temă WordPress. În multe cazuri, dvs. și WPS puteți învinge utilizatorii rău intenționați până la capăt. Cu alte cuvinte, vă protejați site-ul înainte ca o vulnerabilitate să fie exploatată în sălbăticie.

Desigur, puteți primi și o notificare dacă există o problemă care necesită atenția dvs. Cu toate acestea, puteți utiliza și baza de date pentru a verifica dacă există vulnerabilități în pluginurile pe care doriți să le instalați.

Acest lucru este de neprețuit, deoarece vă puteți proteja site-ul într-un mod proactiv. În plus, puteți preveni ca o vulnerabilitate să vă afecteze site-ul în cel mai bun mod posibil – păstrați tema sau pluginul la îndemână până când știți că este sigur de utilizat.

Aveți, de asemenea, o modalitate flexibilă de a vizualiza baza de date și de a efectua o scanare. Pluginul WordPress oferă cel mai accesibil mod de a lucra.

Noțiuni introductive cu pluginul WPScan

Pe scurt, pluginul WordPress al WPScan este un fel de „înveliș” de bază pentru baza de date de vulnerabilități. Chiar și așa, îți recomandăm să-l folosești datorită experienței pe care o oferă.

Sigla WPScan

Pasul 1: Instalați pluginul

Procesul de instalare este la fel ca orice alt plugin gratuit WordPress. Navigați la pagina Plugin -uri de pe WordPress, căutați baza de date WPScan și faceți clic pe Instalare . Odată ce pluginul este instalat, activați-l.

Odată activat, veți vedea o notificare pentru a prelua un token API:

Instalarea pluginului WPScan

Acest lucru este necesar pentru ca pluginul să trimită solicitări API către baza de date de vulnerabilități. Puteți trimite gratuit până la 25 de solicitări API pe zi. Pentru majoritatea site-urilor, acest lucru este suficient, având în vedere că site-ul mediu are aproximativ 20 de plugin-uri.

Pasul 2: obțineți indicativul API

Pentru a obține indicativul API, faceți clic pe linkul furnizat în notificare sau mergeți la site-ul web WPScan și faceți clic pe Obțineți simbolul API gratuit .

Obținerea simbolului API

După ce ați trimis formularul, va trebui să confirmați prin adresa dvs. de e-mail, apoi să vă conectați la contul dvs. Odată conectat, tabloul de bord WPScan va afișa indicativul API ca prima informație:

Confirmarea simbolului API prin e-mail

Pasul 3: Activați cheia API

Reveniți la pagina de setări a pluginului WPScan din WordPress și inserați simbolul API în câmpul relevant:

Activarea cheii API

Pasul 4: Setați setările de scanare automată

În timp ce vă aflați în Setări, puteți configura frecvența scanărilor și timpul în care ar trebui să ruleze:

Setarea setărilor de scanare automată

Puteți seta o scanare pentru fiecare zi, de două ori pe zi sau la oră. Cu cheia API gratuită, puteți rula doar o scanare pe zi, ceea ce este suficient de bun pentru a începe.

Din setări puteți, de asemenea, să dezactivați verificările de securitate și să excludeți pluginurile sau temele din scanarea vulnerabilităților, ceea ce nu este recomandat.

Cam asta e tot. Salvați setările și scanarea vulnerabilităților va rula atunci când este programată.

Rezultatele scanării vulnerabilităților site-ului WordPress

Ecranul Rapoarte vă oferă o perspectivă a ceea ce a identificat pluginul pe site-ul dvs. web și ce probleme ar putea exista. De exemplu, puteți vedea versiunea dvs. actuală de WordPress și toate pluginurile și temele pe care le-ați instalat:

Rapoarte WPScan

Aici vei putea vedea toate vulnerabilitățile pe care le găsește o scanare pe site-ul tău. Dacă verificați colțul de sus al ecranului, veți vedea butonul Run All. Aceasta efectuează o scanare completă a site-ului dvs.:

Realizarea unei scanări complete a site-ului dvs

Dacă doriți să primiți o notificare prin e-mail, puteți face asta prin caseta meta Notificare din partea dreaptă:

Configurarea notificărilor prin e-mail

Există, de asemenea, mult mai multe verificări pe care le puteți efectua pe site-ul dvs. De fapt, există o listă la îndemână care vă permite să rulați fiecare pe o bază individuală:

Verificări de securitate WPScan

Când sunteți gata, puteți descărca și un raport PDF de aici. Acest lucru este bun pentru a le împărtăși cu echipa sau clienții dvs., fie ca dovadă de securitate, fie ca plan de acțiune cu privire la modul de îmbunătățire a unui site.

Rulați un site WordPress fără vulnerabilități

Fiecare acțiune pe care o puteți face pentru a vă securiza site-ul WordPress este vitală. Indiferent dacă site-ul dvs. în sine sau utilizatorii dvs. sunt în pericol, este important să profitați de fiecare oportunitate pentru a rula cea mai sigură versiune posibilă a software-ului pe care îl utilizați.

Una dintre cele mai bune modalități de a face acest lucru este să utilizați pluginul WPScan, un plugin complet de scanare a vulnerabilităților care poate fi configurat în câteva minute și efectuează scanări automate, așa că trebuie să vă faceți griji cu un singur lucru.