การใช้ปลั๊กอิน WPScan เพื่อค้นหาช่องโหว่ในเว็บไซต์ WordPress ของคุณ

เผยแพร่แล้ว: 2021-09-15

การดูแลความปลอดภัยของเว็บไซต์ WordPress นั้นเกี่ยวข้องกับงานต่างๆ มากมาย งานหนึ่งคือต้องตรวจสอบให้แน่ใจว่าปลั๊กอิน ธีม และเวอร์ชัน WordPress ที่คุณใช้บนเว็บไซต์ไม่มีช่องโหว่ที่ทราบ โชคดีที่งานนี้สามารถทำได้โดยอัตโนมัติด้วย WPScan ซึ่งเป็นปลั๊กอิน WordPress ฟรี

ปลั๊กอิน WPScan สามารถตรวจสอบได้ว่าซอฟต์แวร์ที่คุณกำลังใช้งานมีช่องโหว่หรือไม่โดยทำการสแกนเป็นประจำ โดยจะตรวจสอบผลลัพธ์กับฐานข้อมูลช่องโหว่ที่เป็นปัจจุบันโดยเฉพาะ และแจ้งให้คุณทราบหากมีช่องโหว่บนเว็บไซต์ของคุณ เช่น SQL Injection หากคุณไม่รู้ว่า SQL Injection คืออะไร คุณสามารถอ่านอภิธานศัพท์เกี่ยวกับคำศัพท์และคำศัพท์ด้านความปลอดภัยของ WordPress ซึ่งมีคำอธิบายที่กระชับเพื่อช่วยให้คุณอยู่ในอันดับต้นๆ ของเกม

บทความนี้อธิบายวิธีที่คุณสามารถติดตั้งและตั้งค่าปลั๊กอิน WPScan เพื่อสแกนหาช่องโหว่ในเว็บไซต์ WordPress ของคุณ ก่อนหน้านี้ จะเน้นว่าเหตุใด WPScan จึงมีความสำคัญต่อความปลอดภัยของเว็บไซต์ของคุณ

ขอแนะนำ WPScan

ก่อนอื่น เรามาอธิบายว่า WPScan คืออะไร WPScan เป็นเครื่องสแกนช่องโหว่ของ WordPress ที่สามารถสแกนแกน WordPress ธีมและปลั๊กอินของคุณเพื่อหาช่องโหว่ที่ทราบและปัญหาด้านความปลอดภัย

มีให้ใช้งานในรูปแบบซอฟต์แวร์โอเพ่นซอร์ส เป็นปลั๊กอิน WordPress และเป็นบริการออนไลน์แบบชำระเงิน โปรดทราบว่าบทความนี้เน้นที่วิธีการตั้งค่าและใช้ปลั๊กอิน WPScan WordPress ฟรี หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับสแกนเนอร์โอเพ่นซอร์ส อ่านการเริ่มต้นใช้งานสแกนเนอร์ WPScan

ปลั๊กอิน WPScan

ปลั๊กอิน WPScan ทำงานอย่างไร

เมื่อปลั๊กอินตรวจพบว่าคุณกำลังใช้ปลั๊กอิน ธีม และเวอร์ชันหลักของ WordPress ใดบนเว็บไซต์ ปลั๊กอินจะตรวจสอบว่าซอฟต์แวร์ที่คุณใช้มีช่องโหว่หรือไม่ ตรวจสอบสิ่งนี้โดยส่งคำขอไปยังฐานข้อมูลช่องโหว่ซึ่งดูแลโดยทีม WPScan

ฐานข้อมูลนี้มีช่องโหว่ WordPress ที่รู้จักนับพันรายการ ก่อนที่ช่องโหว่จะถูกเพิ่มลงในฐานข้อมูล ช่องโหว่นั้นจะถูกตรวจสอบโดยผู้เชี่ยวชาญ ซึ่งหมายความว่าแต่ละรายการมีแหล่งที่มา ตรวจสอบ และเพิ่มลงในฐานข้อมูลผ่านสายตามนุษย์

ยิ่งไปกว่านั้น มีวงจรคงที่เพื่อค้นหาช่องโหว่ใหม่ๆ สำหรับฐานข้อมูล ตัวอย่างเช่น ในเดือนพฤษภาคม 2564 พบช่องโหว่ใหม่กว่า 70 รายการในฐานข้อมูล

ฐานข้อมูล WPScan ของช่องโหว่ WordPress ที่รู้จัก

เมื่อการสแกนเว็บไซต์เสร็จสิ้น คุณจะได้รับอีเมลแจ้งผลการสแกน คุณยังสามารถรับรายงาน PDF และดาวน์โหลดเพื่อแบ่งปันกับทีมของคุณ

ปลั๊กอิน WPScan ฟรีเพียงพอที่จะสแกนเว็บไซต์โดยเฉลี่ยทุกวัน แม้ว่าหากคุณต้องการสแกนเว็บไซต์หลาย ๆ ครั้งต่อวัน คุณต้องใช้แผน WPScan แบบพรีเมียม ไปที่เว็บไซต์ WPScan เพื่อดูข้อมูลเพิ่มเติมเกี่ยวกับราคาและแผน

WPScan ช่วยคุณปกป้องเว็บไซต์ของคุณได้อย่างไร

WPScan ช่วยคุณโดยทำให้กระบวนการระบุซอฟต์แวร์ที่มีช่องโหว่ในเว็บไซต์ของคุณเป็นไปโดยอัตโนมัติ คุณสามารถกำหนดค่าปลั๊กอินให้เรียกใช้การสแกนรายวันหรือรายชั่วโมง และส่งการแจ้งเตือนทางอีเมลพร้อมผลการสแกนถึงคุณเมื่อระบุปัญหาได้

นั่นเป็นสิ่งหนึ่งที่น้อยกว่าที่คุณต้องกังวลในโปรแกรมรักษาความปลอดภัย WordPress ของคุณ ช่วยให้คุณมีเวลามากขึ้นเพื่อมุ่งเน้นไปที่ธุรกิจของคุณ

ประโยชน์ของการใช้ปลั๊กอิน WPScan WordPress

ถึงตอนนี้ คุณทราบแล้วว่า WPScan สามารถทำอะไรกับเว็บไซต์ของคุณได้บ้าง ต่อไปนี้คือประโยชน์บางประการของการเรียกใช้ปลั๊กอิน WPScan บนเว็บไซต์ของคุณ:

  • ทีมงาน WPScan เป็นโปรแกรมประจำชุมชนความปลอดภัยของ WordPress ดังนั้นนักวิจัยด้านความปลอดภัยจึงเลือกที่จะส่งช่องโหว่ไปยังฐานข้อมูลของตน ซึ่งจะทำให้รายการเป็นปัจจุบัน ซึ่งหมายความว่าเว็บไซต์ของคุณจะถูกตรวจสอบหาภัยคุกคามที่ทราบล่าสุดเสมอ
  • ฐานข้อมูลช่องโหว่ของ WPScn นั้นมีค่ามหาศาล ณ วันนี้ มีผลงานมากกว่า 20,000 รายการ ทั้งหมดผ่านการตรวจสอบและเพิ่มโดยทีมผู้เชี่ยวชาญ ไม่มีการรวบรวมช่องโหว่ของ WordPress แบบนี้ที่อื่น
  • คุณจะเป็นคนแรกที่รู้เกี่ยวกับช่องโหว่ของคอร์ ปลั๊กอิน หรือธีมของ WordPress ในหลายกรณี คุณและ WPS สามารถเอาชนะผู้ใช้ที่ประสงค์ร้ายได้ กล่าวอีกนัยหนึ่ง คุณปกป้องเว็บไซต์ของคุณก่อนที่จะใช้ประโยชน์จากช่องโหว่ในธรรมชาติ

แน่นอน คุณยังสามารถรับการแจ้งเตือนได้หากมีปัญหาที่คุณต้องดำเนินการ คุณยังสามารถใช้ฐานข้อมูลเพื่อตรวจสอบช่องโหว่ในปลั๊กอินที่คุณต้องการติดตั้งได้เช่นกัน

สิ่งนี้มีค่ามาก เนื่องจากคุณสามารถปกป้องไซต์ของคุณในเชิงรุก ยิ่งไปกว่านั้น คุณสามารถป้องกันช่องโหว่ไม่ให้ส่งผลกระทบต่อไซต์ของคุณได้ดีที่สุด - เก็บธีมหรือปลั๊กอินไว้ใกล้มือ จนกว่าคุณจะรู้ว่าปลอดภัย

คุณยังมีวิธีที่ยืดหยุ่นในการดูฐานข้อมูลและดำเนินการสแกน ปลั๊กอิน WordPress เป็นวิธีที่เข้าถึงได้มากที่สุดในการทำงาน

เริ่มต้นใช้งานปลั๊กอิน WPScan

โดยสรุป ปลั๊กอิน WordPress ของ WPScan เป็น 'ตัวห่อหุ้ม' พื้นฐานสำหรับฐานข้อมูลช่องโหว่ อย่างไรก็ตาม เราขอแนะนำให้คุณใช้เนื่องจากประสบการณ์ที่ได้รับ

โลโก้สแกน WPS

ขั้นตอนที่ 1: ติดตั้งปลั๊กอิน

ขั้นตอนการติดตั้งเหมือนกับปลั๊กอิน WordPress ฟรีอื่นๆ ไปที่หน้า ปลั๊กอิน บน WordPress ค้นหาฐานข้อมูล WPScan แล้วคลิก ติดตั้ง เมื่อติดตั้งปลั๊กอินแล้ว ให้เปิดใช้งาน

เมื่อเปิดใช้งานแล้ว คุณจะเห็นการแจ้งเตือนให้คว้าโทเค็น API:

การติดตั้งปลั๊กอิน WPScan

สิ่งนี้จำเป็นสำหรับปลั๊กอินในการส่งคำขอ API ไปยังฐานข้อมูลช่องโหว่ คุณสามารถส่งคำขอ API ได้ถึง 25 รายการต่อวันฟรี สำหรับเว็บไซต์ส่วนใหญ่ นี่ก็เพียงพอแล้ว เมื่อพิจารณาว่าเว็บไซต์โดยเฉลี่ยมีปลั๊กอินประมาณ 20 ตัว

ขั้นตอนที่ 2: รับโทเค็น API ของคุณ

ในการรับโทเค็น API ของคุณ ให้คลิกที่ลิงก์ที่ให้ไว้ในการแจ้งเตือนหรือไปที่เว็บไซต์ WPScan แล้วคลิก Get Your Free API Token

รับโทเค็น API ของคุณ

เมื่อคุณส่งแบบฟอร์มแล้ว คุณจะต้องยืนยันผ่านที่อยู่อีเมลของคุณ จากนั้นลงชื่อเข้าใช้บัญชีของคุณ เมื่อเข้าสู่ระบบในแดชบอร์ด WPScan จะแสดงโทเค็น API ของคุณเป็นข้อมูลชิ้นแรก:

ยืนยันโทเค็น API ของคุณทางอีเมล

ขั้นตอนที่ 3: เปิดใช้งานคีย์ API

กลับไปที่หน้าการตั้งค่าปลั๊กอิน WPScan ภายใน WordPress และวางโทเค็น API ลงในฟิลด์ที่เกี่ยวข้อง:

การเปิดใช้งานคีย์ API

ขั้นตอนที่ 4: ตั้งค่าการสแกนอัตโนมัติของคุณ

ขณะที่คุณอยู่ในการตั้งค่า คุณสามารถกำหนดค่าความถี่ของการสแกนและเวลาที่ควรทำได้:

การตั้งค่าการตั้งค่าการสแกนอัตโนมัติ

คุณสามารถตั้งค่าการสแกนได้ทุกวัน วันละสองครั้ง หรือเป็นรายชั่วโมง ด้วยคีย์ API ฟรี คุณสามารถเรียกใช้การสแกนได้ต่อวันเท่านั้น ซึ่งดีพอที่จะเริ่มต้นได้

จากการตั้งค่า คุณยังสามารถปิดใช้งานการตรวจสอบความปลอดภัย และยกเว้นปลั๊กอินหรือธีมจากการสแกนช่องโหว่ ซึ่งไม่แนะนำ

นั่นคือทั้งหมดที่เกี่ยวกับมัน บันทึกการตั้งค่าและการสแกนช่องโหว่จะทำงานเมื่อกำหนดเวลา

ผลการสแกนช่องโหว่ของเว็บไซต์ WordPress

หน้าจอรายงานช่วยให้คุณเข้าใจถึงสิ่งที่ปลั๊กอินระบุบนเว็บไซต์ของคุณ และปัญหาที่อาจจะเกิดขึ้น ตัวอย่างเช่น คุณสามารถดู WordPress เวอร์ชันปัจจุบัน รวมถึงปลั๊กอินและธีมทั้งหมดที่คุณติดตั้งได้:

รายงานการสแกน WPS

ที่นี่คุณจะได้เห็นช่องโหว่ทั้งหมดที่สแกนพบในเว็บไซต์ของคุณ หากคุณตรวจสอบที่มุมด้านบนของหน้าจอ คุณจะเห็นปุ่มเรียกใช้ทั้งหมด การดำเนินการนี้ทำการสแกนเว็บไซต์ของคุณอย่างเต็มรูปแบบ:

ดำเนินการสแกนเว็บไซต์ของคุณอย่างเต็มรูปแบบ

หากคุณต้องการรับการแจ้งเตือนทางอีเมล คุณสามารถทำได้ผ่านกล่องเมตาการแจ้งเตือนทางด้านขวามือ:

การตั้งค่าการแจ้งเตือนทางอีเมล

นอกจากนี้ยังมีการตรวจสอบอีกมากมายที่คุณสามารถดำเนินการได้บนไซต์ของคุณ อันที่จริง มีรายการที่มีประโยชน์ซึ่งช่วยให้คุณเรียกใช้แต่ละรายการได้:

การตรวจสอบความปลอดภัย WPScan

เมื่อพร้อมแล้ว คุณยังสามารถดาวน์โหลดรายงาน PDF ได้ที่นี่ นี่เป็นสิ่งที่ดีสำหรับการแบ่งปันกับทีมหรือลูกค้าของคุณ ไม่ว่าจะเป็นหลักฐานการรักษาความปลอดภัยหรือเป็นแผนปฏิบัติการในการปรับปรุงไซต์

เรียกใช้เว็บไซต์ WordPress ที่ไม่มีช่องโหว่

ทุกการกระทำที่คุณทำได้เพื่อรักษาความปลอดภัยของเว็บไซต์ WordPress นั้นมีความสำคัญ ไม่ว่าไซต์ของคุณหรือผู้ใช้ของคุณจะมีความเสี่ยงก็ตาม สิ่งสำคัญคือต้องใช้ทุกโอกาสเพื่อเรียกใช้ซอฟต์แวร์เวอร์ชันที่ปลอดภัยที่สุดเท่าที่จะเป็นไปได้ที่คุณใช้

หนึ่งในวิธีที่ดีที่สุดในการทำเช่นนี้คือการใช้ปลั๊กอิน WPScan ซึ่งเป็นปลั๊กอินการสแกนช่องโหว่ที่มีคุณลักษณะครบถ้วน ซึ่งสามารถตั้งค่าได้ภายในไม่กี่นาทีและดำเนินการสแกนอัตโนมัติ ดังนั้นสิ่งหนึ่งที่คุณไม่ต้องกังวล