使用 WPScan 插件查找 WordPress 網站中的漏洞

已發表: 2021-09-15

維護 WordPress 網站的安全涉及許多不同的任務。 其中一項任務是確保您在網站上使用的插件、主題和 WordPress 版本沒有任何已知漏洞。 幸運的是,這項任務可以通過免費的 WordPress 插件 WPScan 自動完成。

WPScan 插件可以通過執行定期掃描來找出您正在運行的軟件是否存在漏洞。 它根據專用的最新漏洞數據庫檢查結果,並通知您網站上是否存在任何漏洞,例如 SQL 注入。 如果您不知道什麼是 SQL 注入,您可以閱讀我們的 WordPress 安全術語和詞彙表,它為您提供簡明的解釋,幫助您保持領先地位。

本文介紹瞭如何安裝和設置 WPScan 插件來掃描您的 WordPress 網站以查找漏洞。 在此之前,它強調了為什麼 WPScan 對您的網站的安全性至關重要。

介紹 WPScan

首先,讓我們解釋一下什麼是WPScan。 WPScan 是一個 WordPress 漏洞掃描程序,可以掃描您的 WordPress 核心、主題和插件以查找已知漏洞和安全問題。

它可以作為開源軟件、WordPress 插件和付費在線服務使用。 請注意,本文重點介紹如何設置和使用免費的 WPScan WordPress 插件。 要了解有關開源掃描儀的更多信息,請閱讀 WPScan 掃描儀入門。

WPScan 插件

WPScan 插件如何工作?

一旦插件檢測到您在您的網站上使用了哪些插件、主題和 WordPress 核心版本,它就會檢查您使用的任何軟件是否存在任何漏洞。 它通過向 WPScan 團隊維護的漏洞數據庫發送請求來檢查這一點。

該數據庫包含數千個已知的 WordPress 漏洞。 在將漏洞添加到數據庫之前,將由專家進行審查。 這意味著每個條目都是通過人眼獲取、驗證並添加到數據庫中的。

更重要的是,有一個不斷的循環來為數據庫尋找新的漏洞。 例如,2021 年 5 月,超過 70 個新漏洞進入數據庫。

已知 WordPress 漏洞的 WPScan 數據庫

網站掃描完成後,您會收到有關掃描結果的電子郵件通知。 您還可以接收 PDF 報告,並下載它們以與您的團隊共享。

免費的 WPScan 插件足以每天掃描普通網站。 但是,如果您需要在一個日期多次掃描多個網站,則需要高級 WPScan 計劃。 有關定價和計劃的更多信息,請訪問 WPScan 網站。

WPScan 如何幫助您保護您的網站

WPScan 通過自動化識別您網站上易受攻擊的軟件的過程來幫助您。 您可以將插件配置為每天甚至每小時運行一次掃描,並在發現任何問題後向您發送包含掃描結果的電子郵件通知。

這是您在 WordPress 安全程序中不必擔心的一件事,讓您有更多時間專注於您的業務。

使用 WPScan WordPress 插件的好處

到目前為止,您知道 WPScan 可以為您的站點做什麼。 以下是在您的網站上運行 WPScan 插件的一些好處:

  • WPScan 團隊是 WordPress 安全社區中的固定成員,因此安全研究人員選擇將漏洞提交到他們的數據庫。 這使列表保持最新,這意味著將始終檢查您的網站是否有最新的已知威脅。
  • WPScn 漏洞數據庫本身俱有巨大的價值。 截至今天,它有超過 20,000 個條目,所有條目都經過專家團隊的審查和添加。 在其他任何地方都沒有其他類似的 WordPress 漏洞集合。
  • 您將是第一個知道 WordPress 核心、插件或主題漏洞的人。 在很多情況下,您和 WPScan 擊敗了惡意用戶。 換句話說,您可以在漏洞被廣泛利用之前保護您的網站。

當然,如果有需要您注意的問題,您也可以收到通知。 不過,您也可以使用數據庫來檢查要安裝的插件中的漏洞。

這是非常寶貴的,因為您可以主動保護您的網站。 更重要的是,您可以以最佳方式防止漏洞影響您的網站——將主題或插件放在觸手可及的地方,直到您知道可以安全使用為止。

您還可以靈活地查看數據庫並執行掃描。 WordPress 插件提供了最方便的工作方式。

WPScan 插件入門

簡而言之,WPScan 的 WordPress 插件是漏洞數據庫的基本“包裝器”。 即便如此,我們還是建議您使用它,因為它提供的體驗。

WPScan 徽標

第一步:安裝插件

安裝過程與所有其他免費 WordPress 插件相同。 導航到 WordPress 上的插件頁面,搜索 WPScan 數據庫並單擊安裝。 安裝插件後,激活它。

激活後,您將看到獲取 API 令牌的通知:

安裝 WPScan 插件

這是插件向漏洞數據庫發送 API 請求所必需的。 您每天最多可以免費發送 25 個 API 請求。 對於大多數網站來說,這已經足夠了,考慮到平均網站有大約 20 個插件。

第 2 步:獲取您的 API 令牌

要獲取您的 API 令牌,請單擊通知中提供的鏈接或前往 WPScan 網站並單擊獲取您的免費 API 令牌

獲取您的 API 令牌

提交表格後,您需要通過您的電子郵件地址進行確認,然後登錄您的帳戶。 登錄 WPScan 儀表板後,您的 API 令牌將顯示為第一條信息:

通過電子郵件確認您的 API 令牌

第 3 步:激活 API 密鑰

返回 WordPress 中的 WPScan 插件設置頁面,並將 API 令牌粘貼到相關字段中:

激活 API 密鑰

第 4 步:設置自動掃描設置

在“設置”中,您可以配置掃描的頻率以及它們應該運行的時間:

設置自動掃描設置

您可以設置每天、每天兩次或每小時掃描一次。 使用免費的 API 密鑰,您每天只能運行一次掃描,這已經足夠開始了。

從設置中,您還可以禁用安全檢查,並從漏洞掃描中排除插件或主題,不推薦這樣做。

這就是全部。 保存設置,漏洞掃描將按計劃運行。

WordPress網站漏洞掃描結果

報告屏幕讓您深入了解插件在您的網站上識別的內容以及可能存在的問題。 例如,您可以查看當前的 WordPress 版本,以及您安裝的所有插件和主題:

WPScan 報告

在這裡,您將看到掃描在您的站點上發現的所有漏洞。 如果您查看屏幕的上角,您將看到 Run All 按鈕。 這將對您的網站進行全面掃描:

對您的網站進行全面掃描

如果您想接收電子郵件通知,您可以通過右側的通知元框來完成:

設置電子郵件通知

您還可以在您的網站上進行更多檢查。 事實上,有一個方便的列表可讓您單獨運行每個列表:

WPScan 安全檢查

準備就緒後,您還可以在此處下載 PDF 報告。 這有利於與您的團隊或客戶分享,既可以作為安全證明,也可以作為改進網站的行動計劃。

運行無漏洞的 WordPress 網站

您為保護 WordPress 網站而採取的每一項措施都至關重要。 無論您的網站本身還是您的用戶都處於危險之中,抓住一切機會運行您使用的軟件的最安全版本是很重要的。

做到這一點的最佳方法之一是使用 WPScan 插件,這是一個功能齊全的漏洞掃描插件,可以在幾分鐘內設置並執行自動掃描,因此您不必擔心一件事。