Korzystanie z wtyczki WPScan do znajdowania luk w witrynie WordPress

Opublikowany: 2021-09-15

Dbanie o bezpieczeństwo witryny WordPress obejmuje wiele różnych zadań. Jednym z zadań jest upewnienie się, że wtyczki, motywy i wersja WordPress, których używasz w swojej witrynie, nie mają żadnych znanych luk w zabezpieczeniach. Na szczęście to zadanie można zautomatyzować za pomocą WPScan, darmowej wtyczki WordPress.

Wtyczka WPScan może dowiedzieć się, czy uruchomione oprogramowanie ma luki w zabezpieczeniach, przeprowadzając regularne skanowanie. Sprawdza wyniki w dedykowanej, aktualnej bazie danych luk w zabezpieczeniach i informuje, czy w Twojej witrynie są jakieś luki, takie jak SQL Injection. Jeśli nie wiesz, czym jest SQL Injection, możesz przeczytać nasz słowniczek terminologii i słów związanych z bezpieczeństwem WordPress, który zawiera zwięzłe wyjaśnienia, które pomogą Ci pozostać na szczycie swojej gry.

W tym artykule wyjaśniono, jak zainstalować i skonfigurować wtyczkę WPScan, aby skanować witrynę WordPress w poszukiwaniu luk w zabezpieczeniach. Wcześniej podkreśla, dlaczego WPScan może mieć kluczowe znaczenie dla bezpieczeństwa Twojej witryny.

Przedstawiamy WPScan

Najpierw wyjaśnijmy, czym jest WPScan. WPScan to skaner luk w zabezpieczeniach WordPress, który może skanować rdzeń WordPress, motywy i wtyczki w poszukiwaniu znanych luk w zabezpieczeniach i problemów z bezpieczeństwem.

Jest dostępny jako oprogramowanie open source, wtyczka WordPress i płatna usługa online. Zwróć uwagę, że ten artykuł koncentruje się na konfiguracji i korzystaniu z bezpłatnej wtyczki WPScan WordPress. Aby dowiedzieć się więcej o skanerze open source, przeczytaj wprowadzenie do skanera WPScan.

Wtyczka WPScan

Jak działa wtyczka WPScan?

Gdy wtyczka wykryje, których wtyczek, motywów i podstawowej wersji WordPressa używasz w swojej witrynie, sprawdza, czy oprogramowanie, z którego korzystasz, ma jakiekolwiek luki w zabezpieczeniach. Sprawdza to, wysyłając żądania do bazy danych o lukach, która jest utrzymywana przez zespół WPScan.

Ta baza danych zawiera tysiące znanych luk w zabezpieczeniach WordPressa. Zanim luka zostanie dodana do bazy danych, jest sprawdzana przez eksperta. Oznacza to, że każdy wpis jest pozyskiwany, weryfikowany i dodawany do bazy danych przez ludzkie oczy.

Co więcej, istnieje ciągły cykl znajdowania nowych luk w bazie danych. Na przykład w maju 2021 r. do bazy danych trafiło ponad 70 nowych luk.

Baza danych WPScan o znanych lukach w WordPressie

Po zakończeniu skanowania witryny otrzymasz powiadomienia e-mail o wyniku skanowania. Możesz także otrzymywać raporty w formacie PDF i pobierać je, aby udostępnić je swojemu zespołowi.

Bezpłatna wtyczka WPScan wystarczy do codziennego skanowania przeciętnej witryny. Chociaż, jeśli chcesz wielokrotnie skanować wiele witryn internetowych, potrzebujesz planu premium WPScan. Wejdź na stronę WPScan, aby uzyskać więcej informacji na temat cen i planów.

Jak WPScan pomaga chronić Twoją witrynę

WPScan pomaga, automatyzując proces identyfikowania wrażliwego oprogramowania w Twojej witrynie. Wtyczkę można skonfigurować tak, aby uruchamiała codzienne lub nawet co godzinę skanowanie oraz wysyłała powiadomienie e-mail z wynikami skanowania po wykryciu jakichkolwiek problemów.

To jedna rzecz mniej, o którą musisz się martwić w swoim programie zabezpieczającym WordPress, dzięki czemu masz więcej czasu na skupienie się na swojej firmie.

Korzyści z używania wtyczki WPScan WordPress

Do tej pory wiesz, co WPScan może zrobić dla Twojej witryny. Oto kilka korzyści płynących z uruchomienia wtyczki WPScan w Twojej witrynie:

  • Zespół WPScan jest stałym elementem społeczności zajmującej się bezpieczeństwem WordPress, więc analitycy bezpieczeństwa decydują się na przesyłanie luk do swojej bazy danych. Dzięki temu lista jest aktualna, co oznacza, że ​​Twoja witryna będzie zawsze sprawdzana pod kątem najnowszych znanych zagrożeń.
  • Sama baza danych luk WPScn ma ogromną wartość. Na dzień dzisiejszy ma ponad 20 000 wpisów, które zostały sprawdzone i dodane przez zespół ekspertów. Nigdzie indziej nie ma podobnej kolekcji luk w zabezpieczeniach WordPressa.
  • Będziesz pierwszym, który dowie się o luce w rdzeniu WordPressa, wtyczce lub motywie. W wielu przypadkach Ty i WPScan pokonujesz złośliwych użytkowników. Innymi słowy, chronisz swoją witrynę, zanim luka w zabezpieczeniach zostanie wykorzystana na wolności.

Oczywiście możesz również otrzymać powiadomienie, jeśli pojawi się problem, który wymaga Twojej uwagi. Chociaż możesz również użyć bazy danych, aby sprawdzić luki we wtyczkach, które chcesz zainstalować.

Jest to nieocenione, ponieważ możesz chronić swoją witrynę w sposób proaktywny. Co więcej, możesz w najlepszy możliwy sposób zapobiec wpływowi luki w zabezpieczeniach witryny — trzymaj motyw lub wtyczkę w zasięgu ręki, dopóki nie będziesz wiedział, że można z niej bezpiecznie korzystać.

Masz również elastyczny sposób przeglądania bazy danych i przeprowadzania skanowania. Wtyczka WordPress oferuje najbardziej przystępny sposób pracy.

Pierwsze kroki z wtyczką WPScan

Krótko mówiąc, wtyczka WordPress WPScan jest podstawowym rodzajem „opakowania” dla bazy danych luk. Mimo to zalecamy korzystanie z niego ze względu na oferowane przez niego wrażenia.

Logo WPScan

Krok 1: Zainstaluj wtyczkę

Proces instalacji jest taki sam, jak w przypadku każdej innej bezpłatnej wtyczki WordPress. Przejdź do strony Wtyczki na swoim WordPressie, wyszukaj bazę danych WPScan i kliknij Zainstaluj . Po zainstalowaniu wtyczki aktywuj ją.

Po aktywacji zobaczysz powiadomienie, aby pobrać token API:

Instalowanie wtyczki WPScan

Jest to niezbędne, aby wtyczka wysyłała żądania API do bazy podatności. Możesz bezpłatnie wysłać do 25 żądań API dziennie. W przypadku większości witryn to wystarczy, biorąc pod uwagę, że przeciętna witryna ma około 20 wtyczek.

Krok 2: Zdobądź token API

Aby uzyskać token API, kliknij link podany w powiadomieniu lub przejdź do witryny WPScan i kliknij Uzyskaj bezpłatny token API .

Zdobycie tokena API

Po przesłaniu formularza musisz potwierdzić swój adres e-mail, a następnie zalogować się na swoje konto. Po zalogowaniu się do pulpitu nawigacyjnego WPScan wyświetli Twój token API jako pierwszą informację:

Potwierdzenie tokena API przez e-mail

Krok 3: Aktywuj klucz API

Wróć do strony ustawień wtyczki WPScan w WordPress i wklej token API w odpowiednim polu:

Aktywacja klucza API

Krok 4: Skonfiguruj ustawienia automatycznego skanowania

Będąc w Ustawieniach, możesz skonfigurować częstotliwość skanowań i czas ich uruchomienia:

Konfigurowanie ustawień automatycznego skanowania

Możesz ustawić skanowanie na każdy dzień, dwa razy dziennie lub co godzinę. Dzięki darmowemu kluczowi API możesz uruchamiać skanowanie tylko dziennie, co jest wystarczająco dobre na początek.

W ustawieniach możesz także wyłączyć kontrolę bezpieczeństwa i wykluczyć wtyczki lub motywy ze skanowania podatności, co nie jest zalecane.

To wszystko. Zapisz ustawienia, a skanowanie luk w zabezpieczeniach zostanie uruchomione zgodnie z harmonogramem.

Wyniki skanowania podatności witryny WordPress

Ekran Raporty daje wgląd w to, co wtyczka zidentyfikowała w Twojej witrynie i jakie mogą wystąpić problemy. Na przykład możesz zobaczyć swoją aktualną wersję WordPressa oraz wszystkie zainstalowane wtyczki i motywy:

Raporty WPScan

Tutaj zobaczysz wszystkie luki w zabezpieczeniach wykryte w Twojej witrynie przez skanowanie. Jeśli sprawdzisz górny róg ekranu, zobaczysz przycisk Uruchom wszystko. Przeprowadza to pełny skan Twojej witryny:

Przeprowadzanie pełnego skanu Twojej witryny

Jeśli chcesz otrzymać powiadomienie e-mail, możesz to zrobić za pomocą pola Meta powiadomienia po prawej stronie:

Konfigurowanie powiadomień e-mail

Istnieje również znacznie więcej kontroli, które możesz przeprowadzić w swojej witrynie. W rzeczywistości istnieje przydatna lista, która pozwala uruchamiać każdą z osobna:

Kontrole bezpieczeństwa WPScan

Kiedy będziesz gotowy, możesz również pobrać raport w formacie PDF tutaj. Jest to dobre do udostępniania zespołowi lub klientom jako dowód bezpieczeństwa lub jako plan działania dotyczący ulepszenia witryny.

Uruchom witrynę WordPress wolną od luk

Każde działanie, które możesz podjąć, aby zabezpieczyć swoją witrynę WordPress, ma kluczowe znaczenie. Niezależnie od tego, czy zagrożona jest sama witryna, czy użytkownicy, należy wykorzystać każdą okazję, aby uruchomić możliwie najbezpieczniejszą wersję używanego oprogramowania.

Jednym z najlepszych sposobów na to jest użycie wtyczki WPScan, w pełni funkcjonalnej wtyczki do skanowania luk w zabezpieczeniach, którą można skonfigurować w ciągu kilku minut i która przeprowadza automatyczne skanowanie, więc o jedną rzecz mniej, o którą musisz się martwić.