Pro záškodníky na internetu je štěstí, pokud najdou způsob, jak poškodit webové stránky WordPress. Stačí jim k tomu jeden trik v rukávu a mohou si vzít na mušku téměř 30 % webových stránek na internetu. To je nevýhoda toho, že WordPress je nejoblíbenějším systémem CMS. Jako majitelé webových stránek musíme být z naší strany aktivní a pravidelně kontrolovat/aktualizovat bezpečnostní opatření, abychom byli před hackery v bezpečí. Jedním z důležitých a snadno proveditelných kroků ve vašem kontrolním seznamu zabezpečení je skenování WordPressu na zranitelnosti.
Proč byste měli skenovat WordPress na zranitelnosti
- Vaše webové stránky WordPress mohou být úložištěm citlivých osobních údajů, které odesílají uživatelé. Ti vám důvěřují, že zabráníte tomu, aby se tyto informace dostaly do nežádoucích rukou.
- Jiní uživatelé mohou na váš web umístit zpětné odkazy, přesměrování, reklamy nebo bannery webových stránek, které chtějí propagovat.
- Uživatelé s neoprávněným přístupem na váš web mohou ubírat šířku pásma, i když o tom nevíte.
- Dokud není odhalen, může na vašem webu číhat malware a shromažďovat informace. Může rozesílat nevyžádané e-maily ostatním a přitom infikovat i je. To může vést k tomu, že Google a další bezpečnostní služby jako AVG nebo Norton zařadí váš web na černou listinu. Opět se o tom nemusíte ani dozvědět.
- Pravidelné skenování může zachytit některé bezpečnostní hrozby včas a zabránit hacknutí vašeho webu.
Způsoby skenování WordPressu
Provedení základního skenování zranitelností vašeho webu WordPress není náročné ani drahé. Ale stejně jako u více věcí v životě máte na výběr. Pokud jde o skenování zranitelností WordPressu, existují dva hlavní způsoby.
Vzdálené skenery jsou nástroje, které mohou provést předběžné skenování a odhalit řadu bezpečnostních chyb. Jsou jakousi rychlou kontrolou ve vašem bezpečnostním režimu. Většina skenerů obecně funguje podobným způsobem – stačí na jejich webové stránce zadat adresu URL vašeho webu. Váš web, jak je viditelný v prohlížeči, bude během několika okamžiků zkontrolován a bude vygenerována zpráva. Ve zprávě se může objevit mnoho zranitelností. Některé nástroje vám také navrhnou nápravná opatření, která můžete provést. Některé vzdálené skenery jsou navrženy speciálně pro skenování webů WordPress, zatímco jiné zahrnují skenování WordPressu do seznamu svých funkcí.
Při instalaci zásuvného modulu naopak přistupuje k serveru v hostingovém prostředí, kde se nachází, a provádí mnohem hlubší skenování. Zásuvný modul nabízí možnosti nastavení pravidel skenování, automatizace a kompletní skenování, které se ponoří do vaší databáze a zajistí bezpečnost.
Důležitý rozdíl mezi nimi je, že vzdálený skener se dívá pouze na finální vykreslenou verzi webu, jak se zobrazuje v prohlížeči (něco jako bot vyhledávače). Na rozdíl od zásuvných modulů se vzdálený skener nemůže podívat na váš server, a tak by jakýkoli škodlivý prvek na vašem serveru mohl zůstat neodhalen.
Existuje mnoho bezplatných vzdálených skenerů a bezplatných zásuvných modulů, které mohou prověřit váš web na přítomnost podvodného softwaru – podívejme se na některé z nejlepších.
MalCare
První na našem seznamu je MalCare, který nabízí bezplatné skenování v cloudu prostřednictvím svého bezplatného zásuvného modulu. Tento špičkový skener stránek WordPress prohlédne všechny vaše soubory a celou databázi a najde i ten nejsložitější malware. A co je nejlepší, protože ke skenování zranitelností využívá vlastní cloudové servery MalCare, nezpomaluje váš web.
MalCare nabízí také prémiové plány s ještě více možnostmi včasné detekce, automatického skenování &odstranění malwaru, s, blokování IP adres, doporučených nastavení WordPressu (vypnutí editoru souborů, ochrana složek pro nahrávání, bezpečnostní klíče atd.), zakázané pluginy a další. A v závislosti na vašich potřebách nabízí i white labeled řešení s vlastními přehledy pro vaše klienty.
Sucuri SiteCheck
Sucuri je známá značka v oblasti zabezpečení webových stránek a sestavuje pravidelné a komplexní přehledy zranitelností. SiteCheck prověří všechny webové stránky, včetně webových stránek WordPress, a odhalí známý malware, zastaralý software a chyby webových stránek. Dozvíte se také, jaký je stav vaší černé listiny u služeb, jako jsou Google, AVG Antivirus, McAfee a Norton.
Skener porovná všechny vaše stránky s databází Sucuri a nahlásí jakoukoli anomálii. Ve zprávě také doporučí, jak byste měli s těmito anomáliemi naložit.
WP Sec Scan
Pokud hledáte skener specifický pro WordPress, WP Sec vám bude vyhovovat. Na jejich webové stránce máte na výběr – odeslat adresu URL svého webu ke skenování nebo se zaregistrovat k jejich bezplatnému / prémiovému účtu.
Účet zdarma vás opravňuje k automatickému týdennímu skenování. Pokud spravujete více webů WordPress, můžete sledovat zabezpečení všech webů z jednoho ovládacího panelu. Budete také dostávat upozornění e-mailem, pokud bude nalezena nějaká chyba nebo pokud má být vaše instalace WordPressu aktualizována.
Základní zpráva může uvést některé bezpečnostní chyby a také vám poradí, jak postupovat při jejich nápravě. Můžete také získat přístup k záznamu zpráv o skenování pro budoucí použití. WPScans udržuje rozsáhlou databázi nejnovějších chyb a bezpečnostních hrozeb, což znamená, že pomocí tohoto skeneru lze odhalit častější hrozby.
WordPress Security Scan
WordPress Security Scan nabízí také dvě možnosti – bezplatnou základní verzi a prémiovou rozšířenou verzi. Kontrolu provádí tak, že vyvolá řadu stránek prostřednictvím běžných webových požadavků a analyzuje příslušný zdroj HTML. Kontrola odhalí zjevné chyby zabezpečení WordPressu a doporučí vylepšení konfigurace související se zabezpečením, která mohou zvýšit ochranu před budoucími útoky.
Bezplatná kontrola kontroluje verzi WordPressu, pověst hostitele, geolokaci a pověst webu od Googlu. Kontroluje také externí odkazy, seznam zásuvných modulů a indexování adresářů na zásuvné moduly. Vypíše seznam přítomných iframe a propojených Javascriptů, které mohou být použity k doručení škodlivého kódu. Můžete tak prozkoumat jakýkoli skript, který se vám nezdá známý.
Průvodce prvním webem
Skener Průvodce prvním webem funguje podobně jako ostatní skenery – zadáte adresu URL svého webu a stisknete tlačítko Skenovat. Otestuje, zda lze zjistit informace o verzi WordPressu, uživatelská jména nebo neúspěšné pokusy o přihlášení.
Zkontroluje také, zda jsou soubory readme.html, install.php a upgrade.php přístupné přes HTTP a zda lze procházet složku uploads. Pro skutečně smysluplnou kontrolu, která zahrnuje více než 40 testů, však radí nainstalovat si Security Ninja.
Wordfence
Wordfence je komplexní bezpečnostní doplněk, který skenuje vše, co souvisí se systémem WordPress na vašem webu, včetně zdrojového kódu a obrazových souborů. Pokud tuto možnost povolíte, bude skenovat i soubory nesouvisející s WordPressem. Jejich kanál Threat Defense Feed je neustále aktualizován a skenery jej používají k identifikaci podezřelého softwaru.
Skenování vyhledává více než 44 000 známých malwarů a zadních vrátek a také phishingové adresy URL ve všech vašich komentářích, příspěvcích a souborech. A nejen to, skenuje i základní soubory, témata a pluginy a porovnává je se soubory v úložišti WordPressu.
Virus Total Scanner
Místo toho, abyste adresu URL svého webu procházeli několika skenery, můžete ji odeslat na Virus Total, dceřinou společnost Googlu. Ta provádí agregaci výsledků skenování z více skenerů, jako jsou Avira, Comodo, Sucuri a Qettera.
Výhodou při takové metodě je, že můžete snadněji odhalit falešně pozitivní výsledky skenerů. Zjistíte, zda je nějaký neškodný zdroj chybně klasifikován jako malware, když je adresa URL prohnána více skenery. Tento nástroj není specifický pro WordPress a skener mohou používat všechny druhy webových stránek. Virus Total není komplexní nástroj pro testování virů, ale agregátor výsledků skenování z různých skenerů.
Soubory a adresy URL odeslané v aplikaci Virus Total budou sdíleny s bezpečnostními společnostmi, které je využijí pro zlepšení celkové bezpečnosti webu.
Quttera
Když Quttera nabízí online skenování jedním kliknutím, přibaluje také skener specifický pro WordPress, který vyžaduje stažení jejich pluginu na web WordPress.
Plugin prohledává váš web kvůli podezřelým skriptům, škodlivým médiím a skrytým hrozbám a informuje vás, zda jste na nějaké černé listině. Vzdálené servery společnosti Quttera prohledávají data. Po dokončení skenování obdržíte podrobnou zprávu o vyšetřování, která vám doporučí nápravná opatření. Tyto zprávy jsou klasifikovány jako čisté, potenciálně podezřelé, podezřelé a škodlivé a jsou veřejně dostupné k nahlédnutí.
Tyto bezplatné online skenery a pluginy odvádějí základní práci při odhalování malwaru a zranitelností. Pro důkladnější analýzu a bodová doporučení ke snížení zranitelností se budete muset podívat na jejich prémiové plány. Tyto plány zahrnují služby, jako je monitorování, čištění a praktická podpora v případě, že čelíte hrozbám. A jak jsem zmínil na začátku, skenování webu je pouze prvním krokem v zabezpečení WordPressu.