การใช้ปลั๊กอิน WPScan เพื่อค้นหาช่องโหว่ในเว็บไซต์ WordPress ของคุณ
เผยแพร่แล้ว: 2021-09-15การดูแลความปลอดภัยของเว็บไซต์ WordPress นั้นเกี่ยวข้องกับงานต่างๆ มากมาย งานหนึ่งคือต้องตรวจสอบให้แน่ใจว่าปลั๊กอิน ธีม และเวอร์ชัน WordPress ที่คุณใช้บนเว็บไซต์ไม่มีช่องโหว่ที่ทราบ โชคดีที่งานนี้สามารถทำได้โดยอัตโนมัติด้วย WPScan ซึ่งเป็นปลั๊กอิน WordPress ฟรี
ปลั๊กอิน WPScan สามารถตรวจสอบได้ว่าซอฟต์แวร์ที่คุณกำลังใช้งานมีช่องโหว่หรือไม่โดยทำการสแกนเป็นประจำ โดยจะตรวจสอบผลลัพธ์กับฐานข้อมูลช่องโหว่ที่เป็นปัจจุบันโดยเฉพาะ และแจ้งให้คุณทราบหากมีช่องโหว่บนเว็บไซต์ของคุณ เช่น SQL Injection หากคุณไม่รู้ว่า SQL Injection คืออะไร คุณสามารถอ่านอภิธานศัพท์เกี่ยวกับคำศัพท์และคำศัพท์ด้านความปลอดภัยของ WordPress ซึ่งมีคำอธิบายที่กระชับเพื่อช่วยให้คุณอยู่ในอันดับต้นๆ ของเกม
บทความนี้อธิบายวิธีที่คุณสามารถติดตั้งและตั้งค่าปลั๊กอิน WPScan เพื่อสแกนหาช่องโหว่ในเว็บไซต์ WordPress ของคุณ ก่อนหน้านี้ จะเน้นว่าเหตุใด WPScan จึงมีความสำคัญต่อความปลอดภัยของเว็บไซต์ของคุณ
ขอแนะนำ WPScan
ก่อนอื่น เรามาอธิบายว่า WPScan คืออะไร WPScan เป็นเครื่องสแกนช่องโหว่ของ WordPress ที่สามารถสแกนแกน WordPress ธีมและปลั๊กอินของคุณเพื่อหาช่องโหว่ที่ทราบและปัญหาด้านความปลอดภัย
มีให้ใช้งานในรูปแบบซอฟต์แวร์โอเพ่นซอร์ส เป็นปลั๊กอิน WordPress และเป็นบริการออนไลน์แบบชำระเงิน โปรดทราบว่าบทความนี้เน้นที่วิธีการตั้งค่าและใช้ปลั๊กอิน WPScan WordPress ฟรี หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับสแกนเนอร์โอเพ่นซอร์ส อ่านการเริ่มต้นใช้งานสแกนเนอร์ WPScan
ปลั๊กอิน WPScan ทำงานอย่างไร
เมื่อปลั๊กอินตรวจพบว่าคุณกำลังใช้ปลั๊กอิน ธีม และเวอร์ชันหลักของ WordPress ใดบนเว็บไซต์ ปลั๊กอินจะตรวจสอบว่าซอฟต์แวร์ที่คุณใช้มีช่องโหว่หรือไม่ ตรวจสอบสิ่งนี้โดยส่งคำขอไปยังฐานข้อมูลช่องโหว่ซึ่งดูแลโดยทีม WPScan
ฐานข้อมูลนี้มีช่องโหว่ WordPress ที่รู้จักนับพันรายการ ก่อนที่ช่องโหว่จะถูกเพิ่มลงในฐานข้อมูล ช่องโหว่นั้นจะถูกตรวจสอบโดยผู้เชี่ยวชาญ ซึ่งหมายความว่าแต่ละรายการมีแหล่งที่มา ตรวจสอบ และเพิ่มลงในฐานข้อมูลผ่านสายตามนุษย์
ยิ่งไปกว่านั้น มีวงจรคงที่เพื่อค้นหาช่องโหว่ใหม่ๆ สำหรับฐานข้อมูล ตัวอย่างเช่น ในเดือนพฤษภาคม 2564 พบช่องโหว่ใหม่กว่า 70 รายการในฐานข้อมูล
เมื่อการสแกนเว็บไซต์เสร็จสิ้น คุณจะได้รับอีเมลแจ้งผลการสแกน คุณยังสามารถรับรายงาน PDF และดาวน์โหลดเพื่อแบ่งปันกับทีมของคุณ
ปลั๊กอิน WPScan ฟรีเพียงพอที่จะสแกนเว็บไซต์โดยเฉลี่ยทุกวัน แม้ว่าหากคุณต้องการสแกนเว็บไซต์หลาย ๆ ครั้งต่อวัน คุณต้องใช้แผน WPScan แบบพรีเมียม ไปที่เว็บไซต์ WPScan เพื่อดูข้อมูลเพิ่มเติมเกี่ยวกับราคาและแผน
WPScan ช่วยคุณปกป้องเว็บไซต์ของคุณได้อย่างไร
WPScan ช่วยคุณโดยทำให้กระบวนการระบุซอฟต์แวร์ที่มีช่องโหว่ในเว็บไซต์ของคุณเป็นไปโดยอัตโนมัติ คุณสามารถกำหนดค่าปลั๊กอินให้เรียกใช้การสแกนรายวันหรือรายชั่วโมง และส่งการแจ้งเตือนทางอีเมลพร้อมผลการสแกนถึงคุณเมื่อระบุปัญหาได้
นั่นเป็นสิ่งหนึ่งที่น้อยกว่าที่คุณต้องกังวลในโปรแกรมรักษาความปลอดภัย WordPress ของคุณ ช่วยให้คุณมีเวลามากขึ้นเพื่อมุ่งเน้นไปที่ธุรกิจของคุณ
ประโยชน์ของการใช้ปลั๊กอิน WPScan WordPress
ถึงตอนนี้ คุณทราบแล้วว่า WPScan สามารถทำอะไรกับเว็บไซต์ของคุณได้บ้าง ต่อไปนี้คือประโยชน์บางประการของการเรียกใช้ปลั๊กอิน WPScan บนเว็บไซต์ของคุณ:
- ทีมงาน WPScan เป็นโปรแกรมประจำชุมชนความปลอดภัยของ WordPress ดังนั้นนักวิจัยด้านความปลอดภัยจึงเลือกที่จะส่งช่องโหว่ไปยังฐานข้อมูลของตน ซึ่งจะทำให้รายการเป็นปัจจุบัน ซึ่งหมายความว่าเว็บไซต์ของคุณจะถูกตรวจสอบหาภัยคุกคามที่ทราบล่าสุดเสมอ
- ฐานข้อมูลช่องโหว่ของ WPScn นั้นมีค่ามหาศาล ณ วันนี้ มีผลงานมากกว่า 20,000 รายการ ทั้งหมดผ่านการตรวจสอบและเพิ่มโดยทีมผู้เชี่ยวชาญ ไม่มีการรวบรวมช่องโหว่ของ WordPress แบบนี้ที่อื่น
- คุณจะเป็นคนแรกที่รู้เกี่ยวกับช่องโหว่ของคอร์ ปลั๊กอิน หรือธีมของ WordPress ในหลายกรณี คุณและ WPS สามารถเอาชนะผู้ใช้ที่ประสงค์ร้ายได้ กล่าวอีกนัยหนึ่ง คุณปกป้องเว็บไซต์ของคุณก่อนที่จะใช้ประโยชน์จากช่องโหว่ในธรรมชาติ
แน่นอน คุณยังสามารถรับการแจ้งเตือนได้หากมีปัญหาที่คุณต้องดำเนินการ คุณยังสามารถใช้ฐานข้อมูลเพื่อตรวจสอบช่องโหว่ในปลั๊กอินที่คุณต้องการติดตั้งได้เช่นกัน
สิ่งนี้มีค่ามาก เนื่องจากคุณสามารถปกป้องไซต์ของคุณในเชิงรุก ยิ่งไปกว่านั้น คุณสามารถป้องกันช่องโหว่ไม่ให้ส่งผลกระทบต่อไซต์ของคุณได้ดีที่สุด - เก็บธีมหรือปลั๊กอินไว้ใกล้มือ จนกว่าคุณจะรู้ว่าปลอดภัย
คุณยังมีวิธีที่ยืดหยุ่นในการดูฐานข้อมูลและดำเนินการสแกน ปลั๊กอิน WordPress เป็นวิธีที่เข้าถึงได้มากที่สุดในการทำงาน
เริ่มต้นใช้งานปลั๊กอิน WPScan
โดยสรุป ปลั๊กอิน WordPress ของ WPScan เป็น 'ตัวห่อหุ้ม' พื้นฐานสำหรับฐานข้อมูลช่องโหว่ อย่างไรก็ตาม เราขอแนะนำให้คุณใช้เนื่องจากประสบการณ์ที่ได้รับ
ขั้นตอนที่ 1: ติดตั้งปลั๊กอิน
ขั้นตอนการติดตั้งเหมือนกับปลั๊กอิน WordPress ฟรีอื่นๆ ไปที่หน้า ปลั๊กอิน บน WordPress ค้นหาฐานข้อมูล WPScan แล้วคลิก ติดตั้ง เมื่อติดตั้งปลั๊กอินแล้ว ให้เปิดใช้งาน
เมื่อเปิดใช้งานแล้ว คุณจะเห็นการแจ้งเตือนให้คว้าโทเค็น API:
สิ่งนี้จำเป็นสำหรับปลั๊กอินในการส่งคำขอ API ไปยังฐานข้อมูลช่องโหว่ คุณสามารถส่งคำขอ API ได้ถึง 25 รายการต่อวันฟรี สำหรับเว็บไซต์ส่วนใหญ่ นี่ก็เพียงพอแล้ว เมื่อพิจารณาว่าเว็บไซต์โดยเฉลี่ยมีปลั๊กอินประมาณ 20 ตัว
ขั้นตอนที่ 2: รับโทเค็น API ของคุณ
ในการรับโทเค็น API ของคุณ ให้คลิกที่ลิงก์ที่ให้ไว้ในการแจ้งเตือนหรือไปที่เว็บไซต์ WPScan แล้วคลิก Get Your Free API Token
เมื่อคุณส่งแบบฟอร์มแล้ว คุณจะต้องยืนยันผ่านที่อยู่อีเมลของคุณ จากนั้นลงชื่อเข้าใช้บัญชีของคุณ เมื่อเข้าสู่ระบบในแดชบอร์ด WPScan จะแสดงโทเค็น API ของคุณเป็นข้อมูลชิ้นแรก:
ขั้นตอนที่ 3: เปิดใช้งานคีย์ API
กลับไปที่หน้าการตั้งค่าปลั๊กอิน WPScan ภายใน WordPress และวางโทเค็น API ลงในฟิลด์ที่เกี่ยวข้อง:
ขั้นตอนที่ 4: ตั้งค่าการสแกนอัตโนมัติของคุณ
ขณะที่คุณอยู่ในการตั้งค่า คุณสามารถกำหนดค่าความถี่ของการสแกนและเวลาที่ควรทำได้:
คุณสามารถตั้งค่าการสแกนได้ทุกวัน วันละสองครั้ง หรือเป็นรายชั่วโมง ด้วยคีย์ API ฟรี คุณสามารถเรียกใช้การสแกนได้ต่อวันเท่านั้น ซึ่งดีพอที่จะเริ่มต้นได้
จากการตั้งค่า คุณยังสามารถปิดใช้งานการตรวจสอบความปลอดภัย และยกเว้นปลั๊กอินหรือธีมจากการสแกนช่องโหว่ ซึ่งไม่แนะนำ
นั่นคือทั้งหมดที่เกี่ยวกับมัน บันทึกการตั้งค่าและการสแกนช่องโหว่จะทำงานเมื่อกำหนดเวลา
ผลการสแกนช่องโหว่ของเว็บไซต์ WordPress
หน้าจอรายงานช่วยให้คุณเข้าใจถึงสิ่งที่ปลั๊กอินระบุบนเว็บไซต์ของคุณ และปัญหาที่อาจจะเกิดขึ้น ตัวอย่างเช่น คุณสามารถดู WordPress เวอร์ชันปัจจุบัน รวมถึงปลั๊กอินและธีมทั้งหมดที่คุณติดตั้งได้:
ที่นี่คุณจะได้เห็นช่องโหว่ทั้งหมดที่สแกนพบในเว็บไซต์ของคุณ หากคุณตรวจสอบที่มุมด้านบนของหน้าจอ คุณจะเห็นปุ่มเรียกใช้ทั้งหมด การดำเนินการนี้ทำการสแกนเว็บไซต์ของคุณอย่างเต็มรูปแบบ:
หากคุณต้องการรับการแจ้งเตือนทางอีเมล คุณสามารถทำได้ผ่านกล่องเมตาการแจ้งเตือนทางด้านขวามือ:
นอกจากนี้ยังมีการตรวจสอบอีกมากมายที่คุณสามารถดำเนินการได้บนไซต์ของคุณ อันที่จริง มีรายการที่มีประโยชน์ซึ่งช่วยให้คุณเรียกใช้แต่ละรายการได้:
เมื่อพร้อมแล้ว คุณยังสามารถดาวน์โหลดรายงาน PDF ได้ที่นี่ นี่เป็นสิ่งที่ดีสำหรับการแบ่งปันกับทีมหรือลูกค้าของคุณ ไม่ว่าจะเป็นหลักฐานการรักษาความปลอดภัยหรือเป็นแผนปฏิบัติการในการปรับปรุงไซต์
เรียกใช้เว็บไซต์ WordPress ที่ไม่มีช่องโหว่
ทุกการกระทำที่คุณทำได้เพื่อรักษาความปลอดภัยของเว็บไซต์ WordPress นั้นมีความสำคัญ ไม่ว่าไซต์ของคุณหรือผู้ใช้ของคุณจะมีความเสี่ยงก็ตาม สิ่งสำคัญคือต้องใช้ทุกโอกาสเพื่อเรียกใช้ซอฟต์แวร์เวอร์ชันที่ปลอดภัยที่สุดเท่าที่จะเป็นไปได้ที่คุณใช้
หนึ่งในวิธีที่ดีที่สุดในการทำเช่นนี้คือการใช้ปลั๊กอิน WPScan ซึ่งเป็นปลั๊กอินการสแกนช่องโหว่ที่มีคุณลักษณะครบถ้วน ซึ่งสามารถตั้งค่าได้ภายในไม่กี่นาทีและดำเนินการสแกนอัตโนมัติ ดังนั้นสิ่งหนึ่งที่คุณไม่ต้องกังวล