Verwendung des WPScan-Plugins, um Schwachstellen in Ihrer WordPress-Website zu finden

Veröffentlicht: 2021-09-15

Sich um die Sicherheit Ihrer WordPress-Website zu kümmern, umfasst viele verschiedene Aufgaben. Eine der Aufgaben besteht darin, sicherzustellen, dass die Plugins, Themes und die WordPress-Version, die Sie auf Ihrer Website verwenden, keine bekannten Schwachstellen aufweisen. Glücklicherweise kann diese Aufgabe mit WPScan, einem kostenlosen WordPress-Plugin, automatisiert werden.

Das Plugin WPScan kann durch regelmäßige Scans herausfinden, ob die von Ihnen ausgeführte Software Schwachstellen aufweist. Es vergleicht die Ergebnisse mit einer dedizierten, aktuellen Datenbank mit Schwachstellen und informiert Sie, wenn auf Ihrer Website Schwachstellen vorhanden sind, z. B. SQL-Injection. Wenn Sie nicht wissen, was SQL Injection ist, können Sie unser Glossar der WordPress-Sicherheitsterminologie und -wörter lesen, das Ihnen prägnante Erklärungen liefert, die Ihnen helfen, auf dem neuesten Stand zu bleiben.

Dieser Artikel erklärt, wie Sie das WPScan-Plugin installieren und einrichten können, um Ihre WordPress-Website auf Schwachstellen zu scannen. Zuvor wird hervorgehoben, warum WPScan für die Sicherheit Ihrer Website von entscheidender Bedeutung sein kann.

Wir stellen WPScan vor

Lassen Sie uns zunächst erklären, was WPScan ist. WPScan ist ein WordPress-Schwachstellen-Scanner, der deinen WordPress-Kern, Themes und Plugins auf bekannte Schwachstellen und Sicherheitsprobleme scannen kann.

Es ist als Open-Source-Software, als WordPress-Plugin und als kostenpflichtiger Onlinedienst verfügbar. Beachten Sie, dass sich dieser Artikel auf die Einrichtung und Verwendung des kostenlosen WPScan WordPress-Plugins konzentriert. Um mehr über den Open-Source-Scanner zu erfahren, lesen Sie Erste Schritte mit dem WPScan-Scanner.

WPScan-Plugin

Wie funktioniert das WPScan-Plugin?

Sobald das Plugin erkennt, welche Plugins, Themes und WordPress-Kernversion Sie auf Ihrer Website verwenden, prüft es, ob eine der von Ihnen verwendeten Software Schwachstellen aufweist. Es überprüft dies, indem es Anfragen an eine Schwachstellendatenbank sendet, die vom WPScan-Team gepflegt wird.

Diese Datenbank enthält Tausende bekannter WordPress-Schwachstellen. Bevor eine Schwachstelle der Datenbank hinzugefügt wird, wird sie von einem Experten überprüft. Das bedeutet, dass jeder Eintrag durch menschliche Augen beschafft, verifiziert und der Datenbank hinzugefügt wird.

Darüber hinaus gibt es einen ständigen Zyklus, um neue Schwachstellen für die Datenbank zu finden. Beispielsweise fanden im Mai 2021 über 70 neue Schwachstellen ihren Weg in die Datenbank.

WPScan-Datenbank bekannter WordPress-Schwachstellen

Sobald der Website-Scan abgeschlossen ist, erhalten Sie E-Mail-Benachrichtigungen über das Ergebnis des Scans. Sie können auch PDF-Berichte empfangen und herunterladen, um sie mit Ihrem Team zu teilen.

Das kostenlose Plugin WPScan reicht aus, um eine durchschnittliche Website jeden Tag zu scannen. Wenn Sie jedoch mehrere Websites mehrmals am Tag scannen müssen, benötigen Sie einen Premium-WPScan-Plan. Weitere Informationen zu Preisen und Plänen finden Sie auf der WPScan-Website.

Wie WPScan Ihnen hilft, Ihre Website zu schützen

WPScan hilft Ihnen, indem es den Prozess der Identifizierung anfälliger Software auf Ihrer Website automatisiert. Sie können das Plugin so konfigurieren, dass es tägliche oder sogar stündliche Scans ausführt und Ihnen eine E-Mail-Benachrichtigung mit den Scan-Ergebnissen sendet, sobald es Probleme erkennt.

Das ist eine Sache weniger, um die Sie sich in Ihrem WordPress-Sicherheitsprogramm kümmern müssen, sodass Sie mehr Zeit haben, sich auf Ihr Geschäft zu konzentrieren.

Die Vorteile der Verwendung des WPScan WordPress-Plugins

Inzwischen wissen Sie, was WPScan für Ihre Website tun kann. Hier sind einige Vorteile der Ausführung des WPScan-Plugins auf Ihrer Website:

  • Das WPScan-Team ist eine feste Größe in der WordPress-Sicherheitsgemeinschaft, daher entscheiden sich Sicherheitsforscher dafür, Schwachstellen an ihre Datenbank zu übermitteln. Dadurch bleibt die Liste auf dem neuesten Stand, was bedeutet, dass Ihre Website immer auf die neuesten bekannten Bedrohungen überprüft wird.
  • Die WPScn-Schwachstellendatenbank selbst ist von immensem Wert. Bis heute hat es mehr als 20.000 Einträge, die alle von einem Expertenteam überprüft und hinzugefügt wurden. Es gibt nirgendwo sonst eine Sammlung von WordPress-Schwachstellen wie diese.
  • Sie werden der Erste sein, der von einer Schwachstelle im WordPress-Kern, -Plug-in oder -Theme erfährt. In vielen Fällen sind Sie und WPScan böswilligen Benutzern zuvorgekommen. Mit anderen Worten, Sie schützen Ihre Website, bevor eine Schwachstelle in freier Wildbahn ausgenutzt wird.

Natürlich können Sie auch eine Benachrichtigung erhalten, wenn ein Problem Ihre Aufmerksamkeit erfordert. Sie können die Datenbank jedoch auch verwenden, um nach Schwachstellen in Plugins zu suchen, die Sie ebenfalls installieren möchten.

Dies ist von unschätzbarem Wert, da Sie Ihre Website proaktiv schützen können. Darüber hinaus können Sie bestmöglich verhindern, dass eine Schwachstelle Ihre Website beeinträchtigt – halten Sie das Design oder Plug-in in Reichweite, bis Sie wissen, dass es sicher verwendet werden kann.

Sie haben auch eine flexible Möglichkeit, die Datenbank anzuzeigen und einen Scan durchzuführen. Das WordPress-Plugin bietet die zugänglichste Art zu arbeiten.

Erste Schritte mit dem WPScan-Plugin

Kurz gesagt, das WordPress-Plugin von WPScan ist eine Art grundlegender „Wrapper“ für die Schwachstellendatenbank. Trotzdem empfehlen wir Ihnen, es wegen der Erfahrung zu verwenden, die es bietet.

WPScan-Logo

Schritt 1: Installieren Sie das Plugin

Der Installationsprozess ist genauso wie bei jedem anderen kostenlosen WordPress-Plugin. Navigieren Sie in Ihrem WordPress zur Plugins -Seite, suchen Sie nach der WPScan-Datenbank und klicken Sie auf Installieren . Sobald das Plugin installiert ist, aktivieren Sie es.

Nach der Aktivierung sehen Sie eine Benachrichtigung, um ein API-Token zu erhalten:

Installieren des WPScan-Plugins

Dies ist erforderlich, damit das Plugin API-Anfragen an die Schwachstellendatenbank senden kann. Sie können bis zu 25 API-Anfragen pro Tag kostenlos senden. Für die meisten Websites ist dies ausreichend, wenn man bedenkt, dass eine durchschnittliche Website etwa 20 Plugins hat.

Schritt 2: Holen Sie sich Ihr API-Token

Um Ihr API-Token zu erhalten, klicken Sie auf den Link in der Benachrichtigung oder gehen Sie zur WPScan-Website und klicken Sie auf Holen Sie sich Ihr kostenloses API-Token .

Abrufen Ihres API-Tokens

Sobald Sie das Formular abgeschickt haben, müssen Sie es mit Ihrer E-Mail-Adresse bestätigen und sich dann bei Ihrem Konto anmelden. Sobald Sie sich angemeldet haben, zeigt das WPScan-Dashboard Ihr API-Token als erste Information an:

Bestätigung Ihres API-Tokens per E-Mail

Schritt 3: Aktivieren Sie den API-Schlüssel

Gehen Sie zurück zu Ihrer WPScan-Plugin-Einstellungsseite in WordPress und fügen Sie das API-Token in das entsprechende Feld ein:

Aktivierung des API-Schlüssels

Schritt 4: Legen Sie Ihre automatischen Scaneinstellungen fest

Während Sie sich in den Einstellungen befinden, können Sie die Häufigkeit der Scans und die Zeit, zu der sie ausgeführt werden sollen, konfigurieren:

Automatische Scaneinstellungen festlegen

Sie können einen Scan für jeden Tag, zweimal täglich oder stündlich festlegen. Mit dem kostenlosen API-Schlüssel können Sie nur einen Scan pro Tag ausführen, was für den Anfang gut genug ist.

In den Einstellungen können Sie auch die Sicherheitsprüfungen deaktivieren und Plugins oder Designs vom Schwachstellenscan ausschließen, was nicht empfohlen wird.

Das ist alles. Speichern Sie die Einstellungen und der Schwachstellenscan wird wie geplant ausgeführt.

Die Ergebnisse des Schwachstellenscans der WordPress-Website

Der Bildschirm „Berichte“ gibt Ihnen einen Einblick, was das Plug-in auf Ihrer Website identifiziert hat und welche Probleme es möglicherweise gibt. Sie können beispielsweise Ihre aktuelle WordPress-Version und alle von Ihnen installierten Plugins und Themes sehen:

WPScan-Berichte

Hier sehen Sie alle Schwachstellen, die ein Scan auf Ihrer Website findet. Wenn Sie sich die obere Ecke des Bildschirms ansehen, sehen Sie die Schaltfläche Alle ausführen. Dadurch wird ein vollständiger Scan Ihrer Website durchgeführt:

Führen Sie einen vollständigen Scan Ihrer Website durch

Wenn Sie eine E-Mail-Benachrichtigung erhalten möchten, können Sie dies über das Benachrichtigungs-Metafeld auf der rechten Seite tun:

E-Mail-Benachrichtigungen einrichten

Es gibt auch viele weitere Überprüfungen, die Sie auf Ihrer Website durchführen können. Tatsächlich gibt es eine praktische Liste, mit der Sie jedes einzeln ausführen können:

WPScan-Sicherheitsprüfungen

Wenn Sie fertig sind, können Sie hier auch einen PDF-Bericht herunterladen. Dies ist gut, um es mit Ihrem Team oder Ihren Kunden zu teilen, entweder als Sicherheitsbeweis oder als Aktionsplan zur Verbesserung einer Website.

Betreiben Sie eine WordPress-Website ohne Sicherheitslücken

Jede Maßnahme, die Sie ergreifen können, um Ihre WordPress-Website zu sichern, ist von entscheidender Bedeutung. Unabhängig davon, ob Ihre Website selbst oder Ihre Benutzer gefährdet sind, ist es wichtig, jede Gelegenheit zu nutzen, um die sicherste Version der von Ihnen verwendeten Software auszuführen.

Eine der besten Möglichkeiten, dies zu tun, ist die Verwendung des Plugins WPScan, ein voll funktionsfähiges Plugin zum Scannen von Schwachstellen, das innerhalb von Minuten eingerichtet werden kann und automatisierte Scans durchführt, sodass Sie sich um eine Sache weniger kümmern müssen.