如果互联网上的恶作剧制造者可以找到损害 WordPress 网站的方法,那将是他们的幸运。只需挥霍一下,他们就可以在互联网上近 30%的网站上拍照。这就是 WordPress 成为最受欢迎的 CMS 的缺点。作为网站所有者,就我们而言,我们需要积极主动并定期审查 / 更新安全措施,以保护免受黑客攻击。安全清单中的一个重要且易于实现的步骤是扫描 WordPress 中的漏洞。

为什么你应该扫描 WordPress 的漏洞

  • 你的 WordPress 网站可能是用户提交的敏感个人信息的存储库。他们信任你,以防止这些信息落入不必要的手中。
  • 其他人可以在他们的网站上放置他们要宣传的网站的反向链接,重定向,广告或横幅。
  • 即使你不知道,未经授权访问你的网站的用户也可能正在占用你的带宽。
  • 只要未检测到,恶意软件就会潜伏在你的网站中并收集信息。它也可以向其他人发送垃圾邮件,在此过程中也感染它们。这可能导致 Google 和其他安全服务(例如 AVG 或 Norton)将你的网站列入黑名单。同样,你甚至可能不知道。
  • 定期扫描可以及早发现一些安全威胁,并防止你的网站被黑客入侵。

扫描 WordPress 的方法

对 WordPress 网站中的漏洞进行基本扫描既不困难也不昂贵。但是,就像生活中的其他事情一样,你可以选择。在扫描 WordPress 的漏洞时,有两种主要方法。

远程扫描程序是可以进行初步扫描并揭示许多安全漏洞的工具。它们是你安全方案中的一种快速检查方法。大多数扫描仪的功能大致相同,只需在其网页上输入你网站的 URL。你的网站(在浏览器中可见)将在几分钟后被扫描并生成报告。报告中可能会显示许多漏洞。一些工具还会建议你可以采取的补救措施。一些远程扫描仪是专门为扫描 WordPress 网站而设计的,而其他一些则是在其功能列表中包括 WordPress 扫描的。

相反,当你安装插件时,它会访问它所在的托管环境中的服务器,并进行更深入的扫描。插件提供了用于设置扫描规则,自动操作以及可深入数据库以确保安全性的完整扫描的选项。

两者之间的重要区别在于,远程扫描器仅查看你的网站的最终呈现版本,就像它出现在浏览器中一样(类似于搜索引擎 bot)。与插件不同,远程扫描无法查看你的服务器,因此服务器上的任何恶意元素都可能未被检测到。

有许多免费的远程扫描仪和免费的插件,可以筛选你的网站上的恶意软件——让我们来看看一些最好的软件。

1. MalCare

我们名单上的第一名是 MalCare,它通过其免费插件提供基于云的免费扫描。这款高科技的 WordPress 网站扫描程序可以查看你的所有文件和整个数据库,甚至可以找到最复杂的恶意软件。最重要的是,由于它使用 MalCare 自己的云服务器来扫描漏洞,因此不会降低你网站的速度。

MalCare 扫描结果

MalCare 还提供高级计划,其中包括更多选项,包括早期检测,自动扫描和删除恶意软件,验证码,IP 阻止,推荐 WordPress 设置(禁用文件编辑器,上载文件夹保护,安全密钥等),不允许使用的插件等等。并且根据你的需求,他们甚至为你的客户提供带有自定义报告的白标解决方案。

2. Sucuri SiteCheck

Sucuri 是网站安全性中的知名网站,它会定期且全面地报告漏洞报告。该 SiteCheck 会扫描所有的网站,包括 WordPress 网站和揭示已知的恶意软件,出过期软件和网站的错误。你还将通过 Google,AVG Antivirus,McAfee 和 Norton 等服务知道自己的黑名单状态。

Sucuri 是网站安全性中的知名网站

扫描仪会将你的所有页面与 Sucuri 数据库进行比较,并报告任何异常情况。该报告还建议你应如何处理这些异常。

3. WP Sec

如果你正在寻找特定于 WordPress 的扫描仪,WP Sec 将适合你。在他们的网页上,你可以选择–提交你的网站 URL 进行扫描或注册他们的免费 / 高级帐户。

一个免费帐户赋予你每周自动扫描的权利。如果要管理多个 WordPress 网站,则可以从一个仪表板跟踪所有网站的安全性。如果发现任何错误或你的 WordPress 安装需要更新,你还将通过电子邮件收到警报。

基本报告可以列出一些安全漏洞,并告诉你如何进行正确设置。你也可以访问扫描报告的记录,以备将来参考。WPScans 维护着一个庞大的数据库,其中包含最新的错误和安全威胁,这意味着可以使用此扫描程序检测到更常见的威胁。

4. WordPress 安全扫描

WordPress 安全扫描还提供两个选项 - 免费的基本版本和高级版本。它通过定期的 Web 请求调用多个页面来进行检查,并分析相应的 HTML 源。扫描将发现 WordPress 明显的安全漏洞,并建议对配置进行安全性方面的改进,以增强对未来攻击的保护。

免费扫描从 Google 检查 WordPress 版本,主机信誉,地理位置和站点信誉。它还检查外部链接,插件列表和插件目录索引。它列出了当前的 iframe 和链接的 Javascript,两者均可用于传递恶意代码。然后,你可以查看你不熟悉的任何脚本。

5. Quttera

虽然 Quttera 确实提供一键式在线扫描,但它也打包在 WordPress 插件中,你可以将该插件下载到 WordPress 网站上。

WordPress 上的 Quttera 安全扫描插件

该插件会在你的网站上搜索可疑脚本,恶意媒体和隐藏的威胁,并让你知道你是否在任何黑名单中。Quttera 的远程服务器将扫描数据。扫描完成后,你会收到详细的调查报告,其中将建议采取纠正措施。这些报告分为 “干净”,“潜在可疑”,“可疑” 和 “恶意”,可供公众查看。

这些免费的在线扫描仪和插件可以完成揭示恶意软件和漏洞的基本工作。要进行更彻底的分析并提出减少漏洞的建议,你需要研究其高级计划。这些计划在遇到威胁时捆绑了监视,清理和动手支持等服务。而且,正如我在开始时提到的那样,扫描你的网站只是 WordPress 安全的第一步。