什么是 WordPress 漏洞扫描器,您需要一个吗?
已发表: 2023-03-08可以肯定地说,所有软件都存在某种漏洞。 这并不一定意味着软件不好或不合标准——漏洞可能由于各种原因而出现——从失败的质量保证流程到环境不兼容或配置错误。
漏洞可分为两类——已知漏洞和未知漏洞。 XSS(Cross-site scripting)、SQL注入等已知漏洞是家喻户晓的漏洞。 信誉良好的软件供应商将始终检查这些漏洞并在 QA 和测试过程中消除它们。
另一方面,未知漏洞是那些未知的漏洞。 这些可能是由代码中的错误或环境中的某些东西引起的。 由于 WordPress 拥有如此庞大的用户群,漏洞不会长期未知。 一旦发现漏洞,在发布补丁之前,它被称为零日漏洞。
在本文中,我们将深入研究 WordPress 漏洞、可用的不同类型的扫描器,以及在寻求保护 WordPress 时应注意的事项
目录
- 什么是 WordPress 漏洞?
- 了解漏洞扫描器和安全扫描器之间的区别
- 了解黑盒和白盒测试之间的区别
- 黑盒测试
- 白盒测试
- 常见的 WordPress 漏洞
- 过时的 WordPress 核心
- 弱密码
- 易受攻击的插件和主题
- 蛮力攻击
- SQL注入
- 为什么要扫描漏洞
- 顶级 WordPress 漏洞扫描程序
- WPS扫描
- WPSec
- 苏库里
- 阿库内蒂克斯
- 保护您的 WordPress
- 经常问的问题
- 我可以使用什么工具来扫描 WordPress 漏洞?
- 如何扫描我的 WordPress 网站中的漏洞?
什么是 WordPress 漏洞?
WordPress 漏洞是 WordPress 中已知或未知的软件漏洞。
WPScan 是一个免费的开源 WordPress 漏洞扫描器,我们将在本文后面更详细地讨论它,其数据库中有近 40,000 个 WordPress 漏洞。 他们还提供了一些有趣的统计数据:
WPScan 已发现 4,069 个高级插件存在某种漏洞。 对于免费插件,这个数字高达 98,241。 这并不意味着免费插件不好——付费插件在发布前有更多的资源可以用来测试和检查插件——这就是为什么它们毫无疑问地要花钱的原因。 一般来说,为插件付费时,您会得到额外的安全保障(除了额外的功能)。
插件漏洞占漏洞的比例最大,为 92%,主题漏洞以 5% 位居第二,WordPress 本身为 3%。
了解漏洞扫描器和安全扫描器之间的区别
WordPress 漏洞扫描器是一种专用工具,能够扫描漏洞——造成安全漏洞的软件错误或配置错误。
安全扫描器是一个通用术语,可能包括漏洞扫描,但严格来说,安全扫描器倾向于检查错误配置、遗漏更新、弱密码、恶意软件等。
这种区别很重要,因为您需要知道您正在扫描什么而不是扫描什么。 由于没有法律告诉供应商使用或不使用哪个术语,因此请确保您花时间阅读您选择的任何扫描仪附带的文档。 这将帮助您确保获得所需的保险。
了解黑盒和白盒测试之间的区别
在漏洞测试方面,主要有两种方法:黑盒测试和白盒测试。 这两种方法都有其优点和缺点。 了解它们之间的差异是关键,因为它可以让您了解特定漏洞扫描器涵盖的内容和未涵盖的内容。
黑盒测试
WordPress 黑盒漏洞测试是一种技术,执行测试的人员不假定了解 WordPress 的内部工作原理。 在测试期间,测试人员只能访问输入和输出,而不关心输出是如何产生的。 换句话说,测试人员将 WordPress 视为一个“黑匣子”,并从外部对其进行测试。
黑盒测试的一个优点是它可以由不具备任何编程知识或软件内部架构知识的测试人员执行。 这使得更广泛的测试人员可以访问黑盒测试。
黑盒测试的主要缺点是它可能无法发现与 WordPress 内部工作相关的某些类型的漏洞。
白盒测试
WordPress 白盒测试是一种测试技术,执行测试的人员可以访问 WordPress 的架构、代码和设计。 这种类型的测试也称为透明盒测试或结构测试。
白盒测试的一个优点是它允许测试人员发现与 WordPress 相关的错误。 它还可以用于测试软件的可维护性和可扩展性——WordPress 开发人员和插件开发人员可以从中获益良多。
白盒测试的主要缺点是它要求测试人员具备编程知识和软件的内部架构。
常见的 WordPress 漏洞
虽然 WordPress 漏洞的形式和规模各不相同,但值得注意的是一些更常见的漏洞——正如我们将要看到的那样,这些漏洞很容易预防。 其他的只能由有权访问代码的开发人员解决,如下面最后一个示例所示:
过时的 WordPress 核心
WordPress 中最常见的漏洞之一是过时的 WordPress 核心。 定期发布 WordPress 更新以解决安全问题、修复错误并提高性能和功能。 如果您不更新到最新版本,黑客可能会利用已知漏洞。
怎么办:拥有 WordPress 更新政策可以帮助您更好地管理 WordPress 更新并确保您始终运行最新版本的 WordPress。
弱密码
弱密码可能是另一个主要的 WordPress 安全漏洞。 许多用户倾向于使用容易猜到或破解的弱密码,因为他们更容易记住这些密码。 这可以使黑客很容易获得对网站的未授权访问。
怎么做:使用 WordPress 密码策略确保用户使用强密码并鼓励使用密码管理器。
易受攻击的插件和主题
WordPress 主题和插件可以显着增强 WordPress 的功能和外观。 但是,其中一些插件和主题可能包含可被黑客利用的漏洞。
怎么做:使用定期发布更新的受信任供应商的插件和主题——并始终保持一切更新。
蛮力攻击
蛮力攻击是一种攻击类型,恶意行为者会尝试通过尝试不同的用户名和密码组合来猜测用户的登录凭据。
怎么办:添加 WordPress 2FA 以阻止暴力攻击并限制登录尝试失败的次数。
SQL注入
在 SQL 注入期间,黑客通过搜索栏条目、表单和评论等用户输入字段将恶意代码注入网站的数据库。 这可能会导致敏感数据泄露,例如用户名、密码和信用卡详细信息。
怎么办:信誉良好的插件开发人员会在开发过程中消除这种情况。 如果您确实发现了这个漏洞,您应该尽可能禁用导致它的组件——直到修复可用。
为什么要扫描漏洞
正如我们在文章开头分享的统计数据所示,任何软件都可能存在漏洞。 如果您有严格的 WordPress 更新政策并限制自己使用信誉良好的开发人员提供的主题和插件,那么您很可能是安全的——但是,这并不能保证。 为此,您可能需要运行漏洞扫描。
漏洞扫描可以帮助您发现您可能忽略的问题以及可能在更新或配置更改中引入的漏洞。
顶级 WordPress 漏洞扫描程序
在本节中,我们将研究当今市场上可用的一些顶级 WordPress 漏洞扫描程序。
WPS扫描
WPScan 是专为 WordPress 设计的免费安全扫描程序。 它确实会检查漏洞,其数据库中有近 40,000 个漏洞。 新条目非常一致地添加到其漏洞数据库中。
WPScan 可用作 CLI(命令行界面)工具。 这意味着没有 GUI,必须从终端运行。 WPScan 曾经作为免费插件提供,但现在已不再如此。 您还可以使用利用 WPScan API 的 JetPack。
除其他事项外,WPScan 扫描:
- 与 WordPress 核心、插件和主题相关的漏洞
- 用户名和媒体文件枚举
- 弱密码(通过暴力破解)
- 可访问的 wp-config 文件
- 数据库转储
- 暴露的错误日志
WPSec
WPSec 是一个 WordPress 漏洞扫描器。 它通过仪表板进行管理,您可以从中运行扫描、设置通知和发布高级报告。 在扫描方面,WPSec 使用它所谓的 Advanced Scan Technology,它使用 WPScanner 和专有的定制技术。
除其他事项外,WPSec 扫描:
- 已知的 WordPress 错误
- 安全问题
苏库里
Sucuri 以其 WAF(Web 应用程序防火墙)而闻名,还提供许多不同的扫描器来扫描不同的东西,提供更广泛的范围,但不一定像其他扫描器所提供的那样深入。
除其他事项外,Sucuri 会扫描:
- 恶意软件
- IOC(妥协指标)
- 钓鱼网页
- DDoS 脚本
- SSL证书
阿库内蒂克斯
Acunetix 是一种 Web 应用程序安全测试解决方案,也可以用作 WordPress 安全扫描程序。 由于它不是特定于 WordPress 的,因此可以在不同的网站、应用程序和 API 上使用。 它可以同时进行 SAST(静态应用程序安全测试)和 DAST(动态应用程序安全测试)。
除其他外,Acuntiex 扫描:
- 过时的 WordPress 核心和插件
- 恶意软件
- 弱密码
- 易受攻击的 WordPress 用户名
- XML-RPC 漏洞
保护您的 WordPress
WordPress 安全扫描器可以帮助您识别对您的 WordPress 网站的安全威胁。 但是,采取积极主动的安全措施仍然很重要。 虽然您仍然应该解决 WordPress 安全扫描的结果,但 WordPress 管理员和网站所有者还应该了解 WordPress 安全是一个迭代过程,可提供巨大的投资回报率。
保持一切更新是管理员可以用来限制漏洞的最方便的方法之一。 WordPress、主题、插件和 PHP 应始终保持最新。 不要忘记备份并使用 WordPress 暂存环境来限制风险。
WordPress 安全插件还可以提供保护和安心。 防火墙总是一个不错的选择; 但是,拥有 WordPress 活动日志可以帮助您实现更多目标。 同样,使用 2FA 保护您的 WordPress 安装可以帮助您以最小的努力保持更安全。
经常问的问题
我可以使用什么工具来扫描 WordPress 漏洞?
WordPress 漏洞扫描器是可用于扫描漏洞的最佳工具之一。 我们在文章中介绍了许多不同的扫描仪。 需要注意的一件重要事情是,不同的扫描仪可能会扫描不同的东西。 请务必阅读文档以了解您扫描的内容和不扫描的内容。 这将帮助您避免对网站安全产生错觉。
如何扫描我的 WordPress 网站中的漏洞?
这取决于您选择的漏洞扫描器。 一些扫描仪提供自动扫描,甚至会将结果报告直接发送到您的电子邮件收件箱。 其他人可能需要手动扫描,在某些情况下通过 CLI – 命令行界面。