Использование плагина WPScan для поиска уязвимостей на вашем сайте WordPress

Опубликовано: 2021-09-15

Забота о безопасности вашего сайта WordPress включает в себя множество различных задач. Одна из задач — убедиться, что плагины, темы и версия WordPress, которые вы используете на своем веб-сайте, не имеют известных уязвимостей. К счастью, эту задачу можно автоматизировать с помощью WPScan, бесплатного плагина для WordPress.

Плагин WPScan может определить наличие уязвимостей в используемом вами программном обеспечении путем регулярного сканирования. Он сравнивает результаты со специальной актуальной базой данных уязвимостей и информирует вас о наличии уязвимостей на вашем веб-сайте, таких как SQL Injection. Если вы не знаете, что такое SQL-инъекция, вы можете прочитать наш глоссарий терминологии и слов безопасности WordPress, который предоставит вам краткие объяснения, которые помогут вам оставаться на вершине своей игры.

В этой статье объясняется, как установить и настроить плагин WPScan для сканирования вашего веб-сайта WordPress на наличие уязвимостей. Перед этим он подчеркивает, почему WPScan может быть жизненно важен для безопасности вашего сайта.

Представляем WPScan

Во-первых, давайте объясним, что такое WPScan. WPScan — это сканер уязвимостей WordPress, который может сканировать ядро ​​WordPress, темы и плагины на наличие известных уязвимостей и проблем с безопасностью.

Он доступен как программное обеспечение с открытым исходным кодом, как плагин WordPress и как платный онлайн-сервис. Обратите внимание, что в этой статье основное внимание уделяется настройке и использованию бесплатного плагина WPScan для WordPress. Чтобы узнать больше о сканере с открытым исходным кодом, прочтите статью Начало работы со сканером WPScan.

Плагин WPScan

Как работает плагин WPScan?

Как только плагин определяет, какие плагины, темы и версию ядра WordPress вы используете на своем веб-сайте, он проверяет, есть ли какие-либо уязвимости в используемом вами программном обеспечении. Он проверяет это, отправляя запросы в базу данных уязвимостей, которая поддерживается командой WPScan.

Эта база данных содержит тысячи известных уязвимостей WordPress. Прежде чем уязвимость будет добавлена ​​в базу данных, она проверяется экспертом. Это означает, что каждая запись создается, проверяется и добавляется в базу данных глазами человека.

Более того, существует постоянный цикл поиска новых уязвимостей для базы данных. Например, в мае 2021 года в базу данных попало более 70 новых уязвимостей.

База данных WPScan известных уязвимостей WordPress

После завершения сканирования веб-сайта вы получите уведомление по электронной почте о результатах сканирования. Вы также можете получать отчеты в формате PDF и загружать их, чтобы поделиться ими со своей командой.

Бесплатный плагин WPScan достаточен для ежедневного сканирования среднего веб-сайта. Однако, если вам нужно сканировать несколько веб-сайтов несколько раз за день, вам потребуется премиум-план WPScan. Перейдите на веб-сайт WPScan для получения дополнительной информации о ценах и планах.

Как WPScan помогает защитить ваш сайт

WPScan помогает вам, автоматизируя процесс выявления уязвимого программного обеспечения на вашем веб-сайте. Вы можете настроить плагин для запуска ежедневного или даже ежечасного сканирования, а также для отправки вам уведомления по электронной почте с результатами сканирования при обнаружении каких-либо проблем.

Это на одну вещь меньше, о которой вам нужно беспокоиться в вашей программе безопасности WordPress, что дает вам больше времени, чтобы сосредоточиться на своем бизнесе.

Преимущества использования плагина WPScan WordPress

К настоящему времени вы знаете, что WPScan может сделать для вашего сайта. Вот несколько преимуществ использования плагина WPScan на вашем веб-сайте:

  • Команда WPScan является неотъемлемой частью сообщества безопасности WordPress, поэтому исследователи безопасности предпочитают отправлять уязвимости в свою базу данных. Это поддерживает актуальность списка, а это означает, что ваш сайт всегда будет проверяться на наличие последних известных угроз.
  • Сама по себе база данных уязвимостей WPScn имеет огромную ценность. На сегодняшний день в нем более 20 000 записей, все проверены и добавлены командой экспертов. Такой коллекции уязвимостей WordPress больше нигде нет.
  • Вы будете первым, кто узнает об уязвимости ядра, плагина или темы WordPress. Во многих случаях вы и WPScan побеждаете злоумышленников. Другими словами, вы защищаете свой веб-сайт до того, как уязвимость будет использована в дикой природе.

Конечно, вы также можете получить уведомление, если есть проблема, требующая вашего внимания. Тем не менее, вы также можете использовать базу данных для проверки наличия уязвимостей в плагинах, которые вы хотите установить.

Это бесценно, потому что вы можете защитить свой сайт упреждающим образом. Более того, вы можете наилучшим образом предотвратить влияние уязвимости на ваш сайт — держите тему или плагин на расстоянии вытянутой руки, пока не убедитесь, что их безопасно использовать.

У вас также есть гибкий способ просмотра базы данных и выполнения сканирования. Плагин WordPress предлагает наиболее доступный способ работы.

Начало работы с плагином WPScan

В двух словах, плагин WPScan для WordPress представляет собой своего рода базовую «оболочку» для базы данных уязвимостей. Тем не менее, мы рекомендуем вам использовать его из-за опыта, который он предлагает.

Логотип WPScan

Шаг 1: Установите плагин

Процесс установки такой же, как и у любого другого бесплатного плагина WordPress. Перейдите на страницу « Плагины » в вашем WordPress, найдите базу данных WPScan и нажмите « Установить ». После установки плагина активируйте его.

После активации вы увидите уведомление о получении токена API:

Установка плагина WPScan

Это необходимо для того, чтобы плагин отправлял API-запросы в базу данных уязвимостей. Вы можете отправлять до 25 запросов API в день бесплатно. Для большинства веб-сайтов этого достаточно, учитывая, что средний веб-сайт имеет около 20 плагинов.

Шаг 2: Получите токен API

Чтобы получить токен API, щелкните ссылку, указанную в уведомлении, или перейдите на веб-сайт WPScan и нажмите «Получить бесплатный токен API » .

Получение вашего токена API

После того, как вы отправите форму, вам нужно будет подтвердить свой адрес электронной почты, а затем войти в свою учетную запись. После входа в панель инструментов WPScan ваш токен API будет отображаться как первая часть информации:

Подтверждение токена API по электронной почте

Шаг 3: Активируйте ключ API

Вернитесь на страницу настроек плагина WPScan в WordPress и вставьте токен API в соответствующее поле:

Активация ключа API

Шаг 4. Установите параметры автоматического сканирования

Пока вы находитесь в настройках, вы можете настроить частоту сканирования и время, в течение которого оно должно выполняться:

Настройка параметров автоматического сканирования

Вы можете установить сканирование на каждый день, два раза в день или по часам. С бесплатным ключом API вы можете запускать сканирование только в день, что достаточно для начала.

В настройках вы также можете отключить проверки безопасности и исключить плагины или темы из сканирования уязвимостей, что не рекомендуется.

Вот и все. Сохраните настройки, и сканирование уязвимостей будет запущено по расписанию.

Результаты сканирования на уязвимости сайта WordPress

Экран «Отчеты» дает вам представление о том, что плагин обнаружил на вашем веб-сайте, и какие проблемы могут быть. Например, вы можете увидеть свою текущую версию WordPress, а также все установленные вами плагины и темы:

WPScan отчеты

Именно здесь вы сможете увидеть все уязвимости, которые сканирование найдет на вашем сайте. Если вы посмотрите на верхний угол экрана, вы увидите кнопку «Выполнить все». Это выполняет полное сканирование вашего сайта:

Проведение полного сканирования вашего сайта

Если вы хотите получать уведомления по электронной почте, вы можете сделать это через мета-поле уведомлений справа:

Настройка уведомлений по электронной почте

Есть также много других проверок, которые вы можете выполнить на своем сайте. На самом деле, есть удобный список, который позволяет вам запускать каждый по отдельности:

Проверка безопасности WPScan

Когда вы будете готовы, вы также можете скачать отчет в формате PDF здесь. Это хорошо для обмена с вашей командой или клиентами, либо в качестве доказательства безопасности, либо в качестве плана действий по улучшению сайта.

Запустите веб-сайт WordPress без уязвимостей

Каждое действие, которое вы можете предпринять для защиты своего веб-сайта WordPress, жизненно важно. Независимо от того, подвергается ли риску ваш сайт или ваши пользователи, важно использовать любую возможность для запуска максимально безопасной версии используемого вами программного обеспечения.

Один из лучших способов сделать это — использовать подключаемый модуль WPScan, полнофункциональный подключаемый модуль для сканирования уязвимостей, который можно настроить за считанные минуты и который выполняет автоматическое сканирование, поэтому вам не о чем беспокоиться.