如果互联网上的恶作剧者能找到一种方法来破坏 WordPress 网站,那就太好了。仅仅为了挥霍一下,互联网上近 30% 的网站上都可以拍到它们的照片。这就是 WordPress 作为最受欢迎的 CMS 的缺点。作为网站所有者,就我们而言,我们需要积极主动并定期审查/更新安全措施以防止黑客攻击。安全清单中一个重要且易于实施的步骤是扫描 WordPress 的漏洞。
为什么要扫描 WordPress 的漏洞
- 您的 WordPress 站点可能是用户提交的敏感个人信息的存储库。他们相信您可以防止这些信息落入不受欢迎的人手中。
- 其他人可能会在他们的网站上放置反向链接、重定向、广告或网站横幅。
- 未经授权的用户访问您的网站可能会耗尽您的带宽,即使您并不知道。
- 恶意软件潜伏在您的网站上,只要未被检测到就会收集信息。它还可以向其他人发送垃圾邮件,并在此过程中感染他们。这可能会导致 Google 和其他安全服务(例如 AVG 或 Norton)将您的网站列入黑名单。同样,您甚至可能不知道。
- 定期扫描可以及早发现一些安全威胁,防止您的网站遭到黑客攻击。
扫描 WordPress 的方法
对您的 WordPress 网站执行漏洞的基本扫描既不困难也不昂贵。但是,就像生活中的其他一切一样,您可以选择。在扫描 WordPress 漏洞时,有两种主要方法。
远程扫描器是一种可以执行初始扫描并揭示许多安全漏洞的工具。它们是对您的安全方案的快速检查。大多数扫描仪的功能大致相同,只需在其网页上输入您网站的 URL。您的网站(在您的浏览器中可见)将被扫描并在几分钟内生成一份报告。报告中可能会揭示许多漏洞。一些工具还会建议您可以采取的补救措施。一些远程扫描器专为扫描 WordPress 站点而设计,而其他远程扫描器则在其功能列表中包含 WordPress 扫描。
相反,当您安装插件时,它会访问安装它的托管环境中的服务器并执行更深入的扫描。插件提供了用于设置扫描规则、自动操作和全面扫描的选项,这些选项可以深入到您的数据库中以确保安全。
两者之间的重要区别在于,远程扫描仪仅查看您网站在浏览器中显示的最终呈现版本(类似于搜索引擎机器人)。与插件不同,远程扫描无法看到您的服务器,因此您服务器上的任何恶意元素都可能无法检测到。
有许多免费的远程扫描仪和免费插件可以筛查您的网站是否存在恶意软件——让我们来看看其中一些最好的。
1. MalCare
我们列表中排名第一的是 MalCare,它通过免费插件提供基于云的免费扫描。这个高科技的 WordPress 网站扫描器会查看您的所有文件和整个数据库,甚至可以找到最复杂的恶意软件。最重要的是,由于它使用 MalCare 自己的云服务器来扫描漏洞,因此不会降低您网站的速度。
恶意关怀还提供高级计划,其中包括更多选项,包括早期检测、自动扫描和删除恶意软件、验证码、IP 阻止、推荐的 WordPress 设置(禁用文件编辑器、上传文件夹保护、安全密钥等)、不允许的插件等。根据您的需求,他们甚至可以为您的客户提供带有自定义报告的白标解决方案。
2. Sucuri SiteCheck
Sucuri 是网站安全领域的知名品牌,提供定期和全面的漏洞报告。 Site Check 将扫描所有网站,包括 WordPress 网站,并揭示已知的恶意软件、过时的软件和网站错误。您还可以通过 Google、AVG Antivirus、McAfee 和 Norton 等服务了解黑名单状态。
扫描仪将扫描您的Sucuri 的所有页面都与 Sucuri 数据库进行比较,并报告任何异常情况。该报告还建议您应该如何处理这些异常。
3. WP Seconds Scan
如果您正在寻找专用的 WordPress 扫描仪,WP Seconds 是您的不二之选。在他们的网页上,您可以选择 – 提交您的网站 URL 进行扫描或注册他们的免费/高级帐户。
一个免费账户给你每周自动扫描的权利。如果您管理多个 WordPress 站点,您可以从一个仪表板跟踪所有站点的安全性。如果发现任何错误或您的 WordPress 安装需要更新,您也会收到电子邮件提醒。
基本报告可以列出一些安全漏洞并告诉您如何正确设置。您还可以访问扫描报告记录以供将来参考。 WPScans 维护着一个包含最新错误和安全威胁的庞大数据库,这意味着可以使用此扫描程序检测更多常见威胁。
4. WordPress Security Scan
WordPress Security Scan 还提供了两个选项——免费的基本版和高级版。它通过使用周期性 Web 请求调用多个页面并分析相应的 HTML 源代码来实现此目的。扫描会发现明显的 WordPress 安全漏洞,并建议对配置进行安全改进,以增强对未来攻击的保护。
免费扫描查看自Google WordPress 版本、主机信誉、地理位置和站点信誉。它还检查外部链接、插件列表和插件目录索引。它列出了当前的 iframe 和链接的 Javascript,两者都可用于传递恶意代码。然后您可以查看您不熟悉的任何脚本。
5. First Site Guide
First Site Guide Scanner 的工作方式与任何其他扫描仪相同 - 输入您的站点 URL 并点击“扫描”按钮。它测试有关 WordPress 版本、用户名或失败登录尝试的信息是否可检测到。
它还会检查是否访问通过 HTTP 的 readme.html 文件、install.php 文件和 upgrade.php 文件,以及是否可以浏览上传文件夹。但是对于涵盖 40 多个测试的真正有意义的扫描,他们建议安装 Security Ninja。
6. Wordfence
Fence 是一个全面的安全插件,可以扫描您网站上所有与 WordPress 相关的内容,包括源代码和图像文件。如果启用该选项,它还会扫描与 WordPress 无关的文件。他们的威胁防御源不断更新,扫描器使用它来识别可疑软件。
扫描会发现更多超过 44,000 个已知的恶意软件和后门程序,以及所有评论、帖子和文件中的网络钓鱼 URL。不仅如此,它还会扫描核心文件、主题和插件,并将它们与 WordPress 存储库中的文件进行比较。
7.病毒扫描器
您可以通过 Google 的子公司 Total Virus 提交您的网站 URL,而不是通过多个扫描器运行您的网站 URL。它可以聚合来自多个扫描仪(例如 Avira、Comodo、Sucuri 和 Qettera)的扫描结果。
这种方法的优点重点是您可以更轻松地从扫描仪中检测到误报。当 URL 通过多个扫描器运行时,您会知道是否有任何良性资源被错误分类为恶意软件。这个工具不是专门针对WordPress的,各种网站都可以使用扫描器。 Virus Total 不是一个全面的病毒测试工具,而是来自不同扫描仪的扫描结果的集合。
提交给 Virus Total 的文件和 URL 将与安全公司共享,并用于提高整体网络安全性。
8. Quttera
虽然 Quttera 确实提供一键式在线扫描,但它也打包在 WordPress 特定的扫描仪中,这需要您将其插件下载到您的 WordPress 站点。
这个插件会在您在网站上搜索可疑脚本、恶意媒体和隐藏威胁,并让您知道您是否在任何黑名单上。 Quttera 的远程服务器将扫描数据。扫描完成后,您将收到一份详细的调查报告,其中会推荐纠正措施。这些报告被归类为“干净”、“可能可疑”、“可疑”和“恶意”,可供公众查看。
这些免费的在线扫描程序和插件可以完成发现恶意软件和漏洞的基本工作。如需更全面的分析和减少漏洞的建议,您需要研究其高级计划。这些程序捆绑了监控、清理和面对威胁时的实际支持等服务。而且,正如我在开头提到的,扫描您的网站只是 WordPress 安全的第一步。
