Usando o plugin WPScan para encontrar vulnerabilidades em seu site WordPress

Publicados: 2021-09-15

Cuidar da segurança do seu site WordPress envolve muitas tarefas diferentes. Uma das tarefas é garantir que os plugins, temas e a versão do WordPress que você está usando em seu site não tenham vulnerabilidades conhecidas. Felizmente, essa tarefa pode ser automatizada com o WPScan, um plugin WordPress gratuito.

O plug-in WPScan pode descobrir se o software que você está executando possui vulnerabilidades realizando verificações regulares. Ele verifica os resultados em um banco de dados de vulnerabilidades atualizado e dedicado e informa se há alguma vulnerabilidade em seu site, como SQL Injection. Se você não sabe o que é SQL Injection, pode ler nosso glossário de terminologia e palavras de segurança do WordPress, que fornece explicações concisas para ajudá-lo a ficar no topo do seu jogo.

Este artigo explica como você pode instalar e configurar o plug-in WPScan para verificar vulnerabilidades no seu site WordPress. Antes disso, destaca por que o WPScan pode ser vital para a segurança do seu site.

Apresentando o WPScan

Primeiro, vamos explicar o que é o WPScan. O WPScan é um scanner de vulnerabilidades do WordPress que pode verificar seu núcleo, temas e plugins do WordPress em busca de vulnerabilidades e problemas de segurança conhecidos.

Está disponível como software de código aberto, como um plugin do WordPress e como um serviço online pago. Observe que este artigo se concentra em como configurar e usar o plug-in WPScan WordPress gratuito. Para saber mais sobre o scanner de código aberto, leia introdução ao scanner WPScan.

Plugin WPScan

Como funciona o plugin WPScan?

Depois que o plug-in detecta quais plug-ins, temas e versão principal do WordPress você está usando em seu site, ele verifica se algum software que você está usando tem alguma vulnerabilidade. Ele verifica isso enviando solicitações para um banco de dados de vulnerabilidades, que é mantido pela equipe do WPScan.

Este banco de dados contém milhares de vulnerabilidades conhecidas do WordPress. Antes de uma vulnerabilidade ser adicionada ao banco de dados, ela é avaliada por um especialista. Isso significa que cada entrada é obtida, verificada e adicionada ao banco de dados por meio de olhos humanos.

Além disso, há um ciclo constante para encontrar novas vulnerabilidades para o banco de dados. Por exemplo, em maio de 2021, mais de 70 novas vulnerabilidades chegaram ao banco de dados.

Banco de dados WPScan de vulnerabilidades conhecidas do WordPress

Quando a verificação do site estiver concluída, você receberá notificações por e-mail sobre o resultado da verificação. Você também pode receber relatórios em PDF e baixá-los para compartilhar com sua equipe.

O plugin WPScan gratuito é suficiente para escanear o site médio todos os dias. No entanto, se você precisar verificar vários sites várias vezes por dia, precisará de um plano WPScan premium. Acesse o site do WPScan para obter mais informações sobre preços e planos.

Como o WPScan ajuda você a proteger seu site

O WPScan ajuda você automatizando o processo de identificação de software vulnerável em seu site. Você pode configurar o plug-in para executar verificações diárias ou mesmo de hora em hora e enviar uma notificação por e-mail com os resultados da verificação assim que identificar quaisquer problemas.

Isso é uma coisa a menos com a qual você precisa se preocupar em seu programa de segurança do WordPress, permitindo que você tenha mais tempo para se concentrar em seus negócios.

Os benefícios de usar o plugin WPScan WordPress

Até agora, você sabe o que o WPScan pode fazer pelo seu site. Aqui estão alguns benefícios de executar o plugin WPScan em seu site:

  • A equipe do WPScan é um membro da comunidade de segurança do WordPress, então os pesquisadores de segurança optam por enviar vulnerabilidades ao seu banco de dados. Isso mantém a lista atualizada, o que significa que seu site sempre será verificado quanto às ameaças conhecidas mais recentes.
  • O próprio banco de dados de vulnerabilidades WPScn é de imenso valor. A partir de hoje, tem mais de 20.000 entradas, todas examinadas e adicionadas por uma equipe de especialistas. Não há outra coleção de vulnerabilidades do WordPress como esta disponível em nenhum outro lugar.
  • Você será o primeiro a saber sobre uma vulnerabilidade de núcleo, plugin ou tema do WordPress. Em muitos casos, você e o WPScan vencem os usuários maliciosos. Em outras palavras, você protege seu site antes que uma vulnerabilidade seja explorada à solta.

Claro, você também pode receber uma notificação se houver um problema que precise de sua atenção. No entanto, você também pode usar o banco de dados para verificar vulnerabilidades nos plug-ins que deseja instalar.

Isso é inestimável, porque você pode proteger seu site de maneira proativa. Além disso, você pode evitar que uma vulnerabilidade afete seu site da melhor maneira possível – mantenha o tema ou plugin ao alcance da mão até saber que é seguro usá-lo.

Você também tem uma maneira flexível de visualizar o banco de dados e realizar uma varredura. O plugin WordPress oferece a maneira mais acessível de trabalhar.

Começando com o plugin WPScan

Em poucas palavras, o plugin WordPress do WPScan é uma espécie de 'empacotador' básico para o banco de dados de vulnerabilidades. Mesmo assim, recomendamos que você o use pela experiência que oferece.

Logo WPScan

Passo 1: Instale o plug-in

O processo de instalação é o mesmo que qualquer outro plugin WordPress gratuito. Navegue até a página Plugins em seu WordPress, procure o banco de dados WPScan e clique em Instalar . Assim que o plugin estiver instalado, ative-o.

Uma vez ativado, você verá uma notificação para pegar um token de API:

Instalando o plugin WPScan

Isso é necessário para que o plug-in envie solicitações de API para o banco de dados de vulnerabilidades. Você pode enviar até 25 solicitações de API por dia gratuitamente. Para a maioria dos sites, isso é suficiente, considerando que o site médio possui cerca de 20 plugins.

Etapa 2: obter seu token de API

Para obter seu token de API, clique no link fornecido na notificação ou acesse o site WPScan e clique em Obter seu token de API gratuito .

Obtendo seu token de API

Depois de enviar o formulário, você precisará confirmar por meio do seu endereço de e-mail e, em seguida, fazer login na sua conta. Uma vez logado, o painel do WPScan mostrará seu token de API como a primeira informação:

Confirmando seu token de API por e-mail

Etapa 3: ativar a chave de API

Volte para a página de configurações do plug-in WPScan no WordPress e cole o token da API no campo relevante:

Ativando a chave de API

Etapa 4: definir suas configurações de verificação automatizada

Enquanto estiver nas Configurações, você pode configurar a frequência das verificações e o tempo em que elas devem ser executadas:

Definindo as configurações de digitalização automatizadas

Você pode definir uma verificação para todos os dias, duas vezes por dia ou por hora. Com a chave de API gratuita, você só pode executar uma verificação por dia, o que é bom o suficiente para começar.

Nas configurações, você também pode desabilitar as verificações de segurança e excluir plugins ou temas da verificação de vulnerabilidades, o que não é recomendado.

Isso é tudo. Salve as configurações e a verificação de vulnerabilidade será executada quando agendada.

Os resultados da verificação de vulnerabilidades do site WordPress

A tela Relatórios fornece uma visão do que o plug-in identificou em seu site e quais problemas podem ocorrer. Por exemplo, você pode ver sua versão atual do WordPress e todos os plugins e temas que você instalou:

Relatórios WPScan

É aqui que você verá todas as vulnerabilidades que uma verificação encontrar em seu site. Se você verificar o canto superior da tela, verá o botão Executar tudo. Isso realiza uma verificação completa do seu site:

Fazendo uma varredura completa do seu site

Se você deseja receber uma notificação por e-mail, pode fazê-lo através da meta box Notification no lado direito:

Configurando notificações por e-mail

Há também muito mais verificações que você pode realizar em seu site. Na verdade, há uma lista útil que permite executar cada um individualmente:

Verificações de segurança WPScan

Quando estiver pronto, você também pode baixar um relatório em PDF aqui. Isso é bom para compartilhar com sua equipe ou clientes, seja como prova de segurança ou como um plano de ação sobre como melhorar um site.

Execute um site WordPress livre de vulnerabilidades

Cada ação que você pode tomar para proteger seu site WordPress é vital. Se o seu próprio site ou seus usuários estão em risco, é importante aproveitar todas as oportunidades para executar a versão mais segura possível do software que você usa.

Uma das melhores maneiras de fazer isso é usar o plug-in WPScan, um plug-in de varredura de vulnerabilidades completo que pode ser configurado em minutos e realiza varreduras automatizadas, portanto, uma coisa a menos com a qual você precisa se preocupar.