WordPress web sitenizdeki güvenlik açıklarını bulmak için WPScan eklentisini kullanma

Yayınlanan: 2021-09-15

WordPress web sitenizin güvenliğine bakmak, birçok farklı görevi içerir. Görevlerden biri, web sitenizde kullandığınız eklentilerin, temaların ve WordPress sürümünün bilinen herhangi bir güvenlik açığı olmadığından emin olmaktır. Neyse ki, bu görev ücretsiz bir WordPress eklentisi olan WPScan ile otomatikleştirilebilir.

WPScan eklentisi, çalıştırdığınız yazılımın güvenlik açıkları olup olmadığını düzenli taramalar yaparak öğrenebilir. Sonuçları, atanmış güncel bir güvenlik açığı veritabanına karşı kontrol eder ve web sitenizde SQL Injection gibi herhangi bir güvenlik açığı olup olmadığını size bildirir. SQL Injection'ın ne olduğunu bilmiyorsanız, oyununuzun zirvesinde kalmanıza yardımcı olacak kısa açıklamalar sağlayan WordPress güvenlik terminolojisi ve kelimeleri sözlüğümüzü okuyabilirsiniz.

Bu makale, WordPress web sitenizi güvenlik açıklarına karşı taramak için WPScan eklentisini nasıl kurabileceğinizi ve ayarlayabileceğinizi açıklar. Bundan önce, WPScan'in web sitenizin güvenliği için neden hayati olabileceğini vurgular.

WPScan ile tanışın

Öncelikle WPScan nedir onu açıklayalım. WPScan, bilinen güvenlik açıkları ve güvenlik sorunları için WordPress çekirdeğinizi, temalarınızı ve eklentilerinizi tarayabilen bir WordPress güvenlik açığı tarayıcısıdır.

Açık kaynaklı yazılım, WordPress eklentisi ve ücretli çevrimiçi hizmet olarak mevcuttur. Bu makalenin ücretsiz WPScan WordPress eklentisinin nasıl kurulacağına ve kullanılacağına odaklandığını unutmayın. Açık kaynak tarayıcı hakkında daha fazla bilgi edinmek için WPScan tarayıcıyı kullanmaya başlama bölümünü okuyun.

WPScan eklentisi

WPScan eklentisi nasıl çalışır?

Eklenti, web sitenizde hangi eklentileri, temaları ve WordPress çekirdek sürümünü kullandığınızı tespit ettikten sonra, kullandığınız yazılımlardan herhangi birinin güvenlik açığı olup olmadığını kontrol eder. Bunu, WPScan ekibi tarafından tutulan bir güvenlik açığı veritabanına istek göndererek kontrol eder.

Bu veritabanı, bilinen binlerce WordPress güvenlik açığı içerir. Veritabanına bir güvenlik açığı eklenmeden önce bir uzman tarafından incelenir. Bu, her girişin kaynaklandığı, doğrulandığı ve insan gözüyle veritabanına eklendiği anlamına gelir.

Dahası, veritabanı için yeni güvenlik açıkları bulmak için sürekli bir döngü vardır. Örneğin, Mayıs 2021'de 70'in üzerinde yeni güvenlik açığı veritabanına girdi.

Bilinen WordPress güvenlik açıklarının WPScan veritabanı

Web sitesi taraması tamamlandığında, taramanın sonucuyla ilgili e-posta bildirimleri alırsınız. Ayrıca PDF raporları alabilir ve ekibinizle paylaşmak için indirebilirsiniz.

Ücretsiz WPScan eklentisi, ortalama bir web sitesini her gün taramak için yeterlidir. Yine de, birden fazla web sitesini bir tarihte birden çok kez taramanız gerekiyorsa, premium bir WPScan planına ihtiyacınız vardır. Fiyatlandırma ve planlar hakkında daha fazla bilgi için WPScan web sitesine gidin.

WPScan web sitenizi korumanıza nasıl yardımcı olur?

WPScan, web sitenizdeki savunmasız yazılımları belirleme sürecini otomatikleştirerek size yardımcı olur. Eklentiyi günlük, hatta saatlik taramalar yapacak ve herhangi bir sorun tespit ettiğinde size tarama sonuçlarıyla birlikte bir e-posta bildirimi gönderecek şekilde yapılandırabilirsiniz.

Bu, WordPress güvenlik programınızda endişelenmeniz gereken bir şey daha azdır ve işinize odaklanmak için daha fazla zaman sağlar.

WPScan WordPress eklentisini kullanmanın faydaları

Artık WPScan'ın siteniz için neler yapabileceğini biliyorsunuz. Web sitenizde WPScan eklentisini çalıştırmanın birkaç avantajı:

  • WPScan ekibi, WordPress güvenlik topluluğu içinde bir demirbaştır, bu nedenle güvenlik araştırmacıları, güvenlik açıklarını veritabanlarına göndermeyi seçer. Bu, listeyi güncel tutar, bu da web sitenizin her zaman bilinen en son tehditler için kontrol edileceği anlamına gelir.
  • WPScn güvenlik açığı veritabanının kendisi muazzam bir değere sahiptir. Bugün itibariyle, tümü uzman bir ekip tarafından incelenmiş ve eklenmiş 20.000'den fazla girişe sahiptir. Başka hiçbir yerde bunun gibi başka bir WordPress güvenlik açığı koleksiyonu yoktur.
  • Bir WordPress çekirdeği, eklenti veya tema güvenlik açığını ilk öğrenen siz olacaksınız. Çoğu durumda, siz ve WPS, kötü niyetli kullanıcıları son noktaya kadar yenebilirsiniz. Başka bir deyişle, vahşi doğada bir güvenlik açığından yararlanılmadan önce web sitenizi korursunuz.

Elbette, ilgilenmeniz gereken bir sorun olduğunda da bildirim alabilirsiniz. Yine de, yüklemek istediğiniz eklentilerdeki güvenlik açıklarını kontrol etmek için veritabanını da kullanabilirsiniz.

Bu paha biçilemez çünkü sitenizi proaktif bir şekilde koruyabilirsiniz. Dahası, bir güvenlik açığının sitenizi etkilemesini mümkün olan en iyi şekilde önleyebilirsiniz – kullanımının güvenli olduğunu anlayana kadar temayı veya eklentiyi elinizin altında tutun.

Ayrıca veritabanını görüntülemek ve tarama yapmak için esnek bir yolunuz var. WordPress eklentisi, çalışmanın en erişilebilir yolunu sunar.

WPScan eklentisini kullanmaya başlama

Özetle, WPScan'ın WordPress eklentisi, güvenlik açığı veritabanı için temel bir tür "sarmalayıcı"dır. Yine de sunduğu deneyim nedeniyle kullanmanızı öneririz.

WPScan logosu

Adım 1: Eklentiyi yükleyin

Yükleme işlemi, diğer tüm ücretsiz WordPress eklentileriyle aynıdır. WordPress'inizdeki Eklentiler sayfasına gidin, WPScan veritabanını arayın ve Yükle'ye tıklayın. Eklenti yüklendikten sonra etkinleştirin.

Etkinleştirildiğinde, bir API belirteci almak için bir bildirim görürsünüz:

WPScan eklentisini yükleme

Bu, eklentinin güvenlik açığı veritabanına API istekleri göndermesi için gereklidir. Günde en fazla 25 API isteğini ücretsiz olarak gönderebilirsiniz. Ortalama bir web sitesinde yaklaşık 20 eklenti olduğu düşünüldüğünde, web sitelerinin çoğu için bu yeterlidir.

2. Adım: API simgenizi alın

API simgenizi almak için bildirimde sağlanan bağlantıya tıklayın veya WPScan web sitesine gidin ve Ücretsiz API Simgenizi Alın 'a tıklayın.

API simgenizi alma

Formu gönderdikten sonra, e-posta adresinizi onaylamanız ve ardından hesabınıza giriş yapmanız gerekir. WPScan panosunda oturum açtığınızda, ilk bilgi parçası olarak API simgeniz gösterilir:

API jetonunuzu e-posta yoluyla onaylama

3. Adım: API anahtarını etkinleştirin

WordPress içindeki WPScan eklenti ayarları sayfanıza geri dönün ve API belirtecini ilgili alana yapıştırın:

API anahtarını etkinleştirme

4. Adım: Otomatik tarama ayarlarınızı yapın

Ayarlar'dayken, taramaların sıklığını ve çalıştırılmaları gereken zamanı yapılandırabilirsiniz:

Otomatik tarama ayarlarını belirleme

Her gün, günde iki kez veya saatlik olarak bir tarama ayarlayabilirsiniz. Ücretsiz API anahtarıyla, günde yalnızca bir tarama çalıştırabilirsiniz; bu, başlamak için yeterince iyidir.

Ayarlardan ayrıca güvenlik kontrollerini devre dışı bırakabilir ve eklentileri veya temaları önerilmeyen güvenlik açığı taramasından hariç tutabilirsiniz.

Hepsi bu kadar. Ayarları kaydedin, güvenlik açığı taraması planlandığında çalışacaktır.

WordPress web sitesi güvenlik açığı tarama sonuçları

Raporlar ekranı, eklentinin web sitenizde ne tanımladığı ve ne gibi sorunlar olabileceği konusunda size bir fikir verir. Örneğin, mevcut WordPress sürümünüzü ve yüklediğiniz tüm eklentileri ve temaları görebilirsiniz:

WPScan raporları

Burada, bir taramanın sitenizde bulduğu tüm güvenlik açıklarını görebilirsiniz. Ekranın üst köşesine bakarsanız, Tümünü Çalıştır düğmesini görürsünüz. Bu, web sitenizin tam bir taramasını gerçekleştirir:

Web sitenizin tam taramasını taşıma

Bir e-posta bildirimi almak istiyorsanız, bunu sağ taraftaki Bildirim meta kutusundan yapabilirsiniz:

E-posta bildirimlerini ayarlama

Ayrıca sitenizde gerçekleştirebileceğiniz daha birçok kontrol vardır. Aslında, her birini ayrı ayrı çalıştırmanıza izin veren kullanışlı bir liste var:

WPScan güvenlik kontrolleri

Hazır olduğunuzda, buradan bir PDF raporu da indirebilirsiniz. Bu, bir güvenlik kanıtı veya bir sitenin nasıl iyileştirileceğine ilişkin bir eylem planı olarak ekibinizle veya müşterilerinizle paylaşmak için iyidir.

Güvenlik açığı içermeyen bir WordPress web sitesi çalıştırın

WordPress web sitenizin güvenliğini sağlamak için yapabileceğiniz her işlem hayati önem taşır. Sitenizin kendisi veya kullanıcılarınız risk altında olsun, kullandığınız yazılımın mümkün olan en güvenli sürümünü çalıştırmak için her fırsatı değerlendirmek önemlidir.

Bunu yapmanın en iyi yollarından biri, dakikalar içinde kurulabilen ve otomatik taramalar gerçekleştiren tam özellikli bir güvenlik açığı tarama eklentisi olan WPScan eklentisini kullanmaktır, böylece endişelenmeniz gereken bir şey daha az olur.