使用 WPScan 插件查找 WordPress 网站中的漏洞

已发表: 2021-09-15

维护 WordPress 网站的安全涉及许多不同的任务。 其中一项任务是确保您在网站上使用的插件、主题和 WordPress 版本没有任何已知漏洞。 幸运的是,这项任务可以通过免费的 WordPress 插件 WPScan 自动完成。

WPScan 插件可以通过执行定期扫描来找出您正在运行的软件是否存在漏洞。 它根据专用的最新漏洞数据库检查结果,并通知您网站上是否存在任何漏洞,例如 SQL 注入。 如果您不知道什么是 SQL 注入,您可以阅读我们的 WordPress 安全术语和词汇表,它为您提供简明的解释,帮助您保持领先地位。

本文介绍了如何安装和设置 WPScan 插件来扫描您的 WordPress 网站以查找漏洞。 在此之前,它强调了为什么 WPScan 对您的网站的安全性至关重要。

介绍 WPScan

首先,让我们解释一下什么是WPScan。 WPScan 是一个 WordPress 漏洞扫描程序,可以扫描您的 WordPress 核心、主题和插件以查找已知漏洞和安全问题。

它可以作为开源软件、WordPress 插件和付费在线服务使用。 请注意,本文重点介绍如何设置和使用免费的 WPScan WordPress 插件。 要了解有关开源扫描仪的更多信息,请阅读 WPScan 扫描仪入门。

WPScan 插件

WPScan 插件如何工作?

一旦插件检测到您在您的网站上使用了哪些插件、主题和 WordPress 核心版本,它就会检查您使用的任何软件是否存在任何漏洞。 它通过向 WPScan 团队维护的漏洞数据库发送请求来检查这一点。

该数据库包含数千个已知的 WordPress 漏洞。 在将漏洞添加到数据库之前,将由专家进行审查。 这意味着每个条目都是通过人眼获取、验证并添加到数据库中的。

更重要的是,有一个不断的循环来为数据库寻找新的漏洞。 例如,2021 年 5 月,超过 70 个新漏洞进入数据库。

已知 WordPress 漏洞的 WPScan 数据库

网站扫描完成后,您会收到有关扫描结果的电子邮件通知。 您还可以接收 PDF 报告,并下载它们以与您的团队共享。

免费的 WPScan 插件足以每天扫描普通网站。 但是,如果您需要在一个日期多次扫描多个网站,则需要高级 WPScan 计划。 有关定价和计划的更多信息,请访问 WPScan 网站。

WPScan 如何帮助您保护您的网站

WPScan 通过自动化识别您网站上易受攻击的软件的过程来帮助您。 您可以将插件配置为每天甚至每小时运行一次扫描,并在发现任何问题后向您发送包含扫描结果的电子邮件通知。

这是您在 WordPress 安全程序中不必担心的一件事,让您有更多时间专注于您的业务。

使用 WPScan WordPress 插件的好处

到目前为止,您知道 WPScan 可以为您的站点做什么。 以下是在您的网站上运行 WPScan 插件的一些好处:

  • WPScan 团队是 WordPress 安全社区中的固定成员,因此安全研究人员选择将漏洞提交到他们的数据库。 这使列表保持最新,这意味着将始终检查您的网站是否有最新的已知威胁。
  • WPScn 漏洞数据库本身具有巨大的价值。 截至今天,它有超过 20,000 个条目,所有条目都经过专家团队的审查和添加。 在其他任何地方都没有其他类似的 WordPress 漏洞集合。
  • 您将是第一个知道 WordPress 核心、插件或主题漏洞的人。 在很多情况下,您和 WPScan 击败了恶意用户。 换句话说,您可以在漏洞被广泛利用之前保护您的网站。

当然,如果有需要您注意的问题,您也可以收到通知。 不过,您也可以使用数据库来检查要安装的插件中​​的漏洞。

这是非常宝贵的,因为您可以主动保护您的网站。 更重要的是,您可以以最佳方式防止漏洞影响您的网站——将主题或插件放在触手可及的地方,直到您知道可以安全使用为止。

您还可以灵活地查看数据库并执行扫描。 WordPress 插件提供了最方便的工作方式。

WPScan 插件入门

简而言之,WPScan 的 WordPress 插件是漏洞数据库的基本“包装器”。 即便如此,我们还是建议您使用它,因为它提供的体验。

WPScan 徽标

第一步:安装插件

安装过程与所有其他免费 WordPress 插件相同。 导航到 WordPress 上的插件页面,搜索 WPScan 数据库并单击安装。 安装插件后,激活它。

激活后,您将看到获取 API 令牌的通知:

安装 WPScan 插件

这是插件向漏洞数据库发送 API 请求所必需的。 您每天最多可以免费发送 25 个 API 请求。 对于大多数网站来说,这已经足够了,考虑到平均网站有大约 20 个插件。

第 2 步:获取您的 API 令牌

要获取您的 API 令牌,请单击通知中提供的链接或前往 WPScan 网站并单击获取您的免费 API 令牌

获取您的 API 令牌

提交表格后,您需要通过您的电子邮件地址进行确认,然后登录您的帐户。 登录 WPScan 仪表板后,您的 API 令牌将显示为第一条信息:

通过电子邮件确认您的 API 令牌

第 3 步:激活 API 密钥

返回 WordPress 中的 WPScan 插件设置页面,并将 API 令牌粘贴到相关字段中:

激活 API 密钥

第 4 步:设置自动扫描设置

在“设置”中,您可以配置扫描的频率以及它们应该运行的时间:

设置自动扫描设置

您可以设置每天、每天两次或每小时扫描一次。 使用免费的 API 密钥,您每天只能运行一次扫描,这已经足够开始了。

从设置中,您还可以禁用安全检查,并从漏洞扫描中排除插件或主题,不推荐这样做。

这就是全部。 保存设置,漏洞扫描将按计划运行。

WordPress网站漏洞扫描结果

报告屏幕让您深入了解插件在您的网站上识别的内容以及可能存在的问题。 例如,您可以查看当前的 WordPress 版本,以及您安装的所有插件和主题:

WPScan 报告

在这里,您将看到扫描在您的站点上发现的所有漏洞。 如果您查看屏幕的上角,您将看到 Run All 按钮。 这将对您的网站进行全面扫描:

对您的网站进行全面扫描

如果您想接收电子邮件通知,您可以通过右侧的通知元框来完成:

设置电子邮件通知

您还可以在您的网站上进行更多检查。 事实上,有一个方便的列表可让您单独运行每个列表:

WPScan 安全检查

准备就绪后,您还可以在此处下载 PDF 报告。 这有利于与您的团队或客户分享,既可以作为安全证明,也可以作为改进网站的行动计划。

运行无漏洞的 WordPress 网站

您为保护 WordPress 网站而采取的每一项措施都至关重要。 无论您的网站本身还是您的用户都处于危险之中,抓住一切机会运行您使用的软件的最安全版本是很重要的。

做到这一点的最佳方法之一是使用 WPScan 插件,这是一个功能齐全的漏洞扫描插件,可以在几分钟内设置并执行自动扫描,因此您不必担心一件事。