Det er et lykketræf for de onde på internettet, hvis de kan finde en måde at skade WordPress-websteder på. Med blot et enkelt trick i ærmet kan de tage et skud mod næsten 30 % af webstederne på internettet. Det er ulempen ved, at WordPress er det mest populære CMS. Som webstedsejere skal vi fra vores side være proaktive og gennemgå/opdatere sikkerhedsforanstaltninger regelmæssigt for at være sikre mod hackere. Et vigtigt og let at gennemføre trin på din sikkerhedscheckliste er at scanne WordPress for sårbarheder.
Hvorfor du bør scanne WordPress for sårbarheder
- Din WordPress-websted kan være opbevaringssted for følsomme personlige oplysninger, som brugerne har indsendt. De stoler på, at du forhindrer, at disse oplysninger falder i uønskede hænder.
- Andre kan placere backlinks, omdirigeringer, reklamer eller bannere fra websteder, som de ønsker at promovere, på dit websted.
- Brugere med uautoriseret adgang til dit websted kan spise af din båndbredde, selv uden at du ved det.
- Så længe det ikke bliver opdaget, kan malware lure på dit websted og indsamle oplysninger. Den kan sende spam-e-mails til andre og inficere dem også i processen. Dette kan føre til, at Google og andre sikkerhedstjenester som AVG eller Norton sortlister dit websted. Igen kan du måske ikke engang vide det.
- Regelmæssige scanninger kan fange nogle sikkerhedstrusler tidligt og forhindre, at dit websted bliver hacket.
Måder at scanne WordPress
Det er hverken svært eller dyrt at udføre en grundlæggende scanning for sårbarheder på dit WordPress-websted. Men som med flere ting i livet har du muligheder. Når det drejer sig om at scanne WordPress for sårbarheder, er der to hovedmetoder.
Fjernscannere er værktøjer, der kan foretage en foreløbig scanning og afsløre en række sikkerhedshuller. De er en slags hurtig kontrol i dit sikkerhedsregime. De fleste scannere fungerer generelt på nogenlunde samme måde – du skal blot indtaste URL-adressen til dit websted på deres webside. Dit websted, som det er synligt i browseren, vil blive scannet i løbet af et par øjeblikke, og der vil blive genereret en rapport. Mange sårbarheder kan fremgå af rapporten. Nogle værktøjer vil også foreslå afhjælpende foranstaltninger, som du kan gennemføre. Nogle fjernscannere er designet specielt til at scanne WordPress-websteder, mens andre inkluderer en WordPress-scanning i deres liste over funktioner.
Tværtimod får den, når du installerer et plugin, adgang til den server i det hostingmiljø, som den befinder sig på, og foretager en meget dybere scanning. Et plugin tilbyder muligheder for opsætning af scanningsregler, automatiseringer og komplette scanninger, der dykker ned i din database for at sikre sikkerheden.
Den vigtige forskel mellem de to er, at en fjernscanner kun ser på den endelige renderede version af dit websted, som det vises i din browser (lidt ligesom en søgemaskine-bot). I modsætning til plugins kan en fjernscanning ikke se ind på din server, og derfor kan ethvert skadeligt element på din server forblive uopdaget.
Der findes mange gratis fjernscannere og gratis plugins, der kan screene dit websted for skadelig software – lad os se på nogle af de bedste.
MalCare
Først på vores liste er MalCare, som tilbyder gratis cloud-baseret scanning via deres gratis plugin. Denne højteknologiske WordPress-webstedscanner ser på alle dine filer og hele din database for at finde selv den mest komplekse malware. Og det bedste af det hele er, at fordi den bruger MalCares egne cloud-servere til at scanne efter sårbarheder, vil den ikke sinke dit websted.
MalCare tilbyder også premium-planer med endnu flere muligheder for tidlig detektion, automatiseret scanning & fjernelse af malware, s, IP-blokering, anbefalede WordPress-indstillinger (deaktivere fileditor, beskyttelse af uploads-mappe, sikkerhedsnøgler osv.), ikke-godkendte plugins plus mere. Og afhængigt af dine behov tilbyder de endda en white labeled løsning med tilpassede rapporter til dine kunder.
Sucuri SiteCheck
Sucuri er et velkendt navn inden for webstedssikkerhed og udarbejder regelmæssige og omfattende sårbarhedsrapporter. SiteCheck scanner alle websteder, herunder WordPress-websteder, og afslører kendt malware, forældet software og fejl på webstedet. Du vil også kende din status på den sorte liste hos tjenester som Google, AVG Antivirus, McAfee og Norton.
Scanneren sammenligner alle dine sider med Sucuri-databasen og rapporterer enhver uregelmæssighed. Rapporten anbefaler også, hvordan du skal håndtere disse anomalier.
WP Sec Scan
Hvis du leder efter en WordPress-specifik scanner, vil WP Sec passe godt ind i billedet. På deres webside har du et valg – indsend din websteds URL til en scanning eller tilmeld dig deres gratis/præmiekonto.
En gratis konto giver dig ret til en automatisk ugentlig scanning. Hvis du administrerer flere WordPress-websteder, kan du holde styr på sikkerheden på alle webstederne fra et enkelt instrumentbræt. Du vil også modtage advarsler via e-mail, hvis der findes fejl, eller hvis din WordPress-installation skal opdateres.
En grundlæggende rapport kan opregne nogle sikkerhedsfejl samt fortælle dig, hvordan du skal gå til at rette op på det. Du kan også få adgang til en registrering af dine scanningsrapporter til fremtidig reference. WPScans vedligeholder en stor database over de nyeste fejl og sikkerhedstrusler, hvilket betyder, at de mere almindelige trusler kan opdages med denne scanner.
WordPress Security Scan
WordPress Security Scan tilbyder også to muligheder – en gratis basisversion og en avanceret premium-version. Den udfører kontroller ved at kalde en række sider op via almindelige webforespørgsler og analyserer den tilsvarende HTML-kilde. En scanning afslører åbenlyse WordPress-sikkerhedsfejl og anbefaler sikkerhedsrelaterede forbedringer i konfigurationen, der kan øge beskyttelsen mod fremtidige angreb.
Den gratis scanning kontrollerer WordPress-versionen, værtens omdømme, geolokalisering og webstedets omdømme fra Google. Den kontrollerer også eksterne links, liste over plugins og indeksering af mapper på plugins. Den viser de tilstedeværende iframes og det linkede Javascript, som begge kan bruges til at levere skadelig kode. Du kan derefter undersøge ethvert script, der ikke virker bekendt for dig.
First Site Guide
Scanneren First Site Guide fungerer på stort set samme måde som andre scannere – indtast din websteds URL og tryk på knappen Scan. Den tester, om oplysninger om WordPress-version, brugernavne eller mislykkede loginforsøg kan spores.
Den kontrollerer også, om readme.html-filen, install.php- og upgrade.php-filerne er tilgængelige via HTTP, og om mappen uploads kan gennemses. Men for at få en virkelig meningsfuld scanning, der dækker over 40 tests, anbefaler de, at du installerer Security Ninja.
Wordfence
Wordfence er et omfattende sikkerhedsplugin, der scanner alt WordPress-relateret på dit websted, herunder kildekode og billedfiler. Hvis du aktiverer indstillingen, scanner det også ikke-WordPress-relaterede filer. Deres Threat Defense Feed opdateres konstant, og feed’et bruges af scannere til at identificere mistænkelig software.
En scanning leder efter 44.000+ kendte malware og bagdøre samt efter phishing-URL’er i alle dine kommentarer, indlæg og filer. Ikke nok med det, den scanner kernefilerne, temaer og plugins og sammenligner det med filerne i WordPress-repositoriet.
Virus Total Scanner
I stedet for at køre dit websteds URL gennem flere scannere kan du indsende den på Virus Total, et datterselskab af Google. Den gør arbejdet med at samle resultaterne af en scanning fra flere scannere som Avira, Comodo, Sucuri og Qettera.
Fordelen ved en sådan metode er, at du nemmere kan opdage falske positive resultater fra scannere. Du vil vide, om en harmløs ressource fejlagtigt bliver klassificeret som malware, når URL’en køres gennem flere scannere. Dette værktøj er ikke WordPress-specifikt, og alle slags websteder kan bruge scanneren. Virus Total er ikke et omfattende virustestværktøj, men en samler af scanningsresultater fra forskellige scannere.
Filer og URL’er, der indsendes på Virus Total, vil blive delt med sikkerhedsfirmaer, så de kan bruge dem til at forbedre den generelle websikkerhed.
Quttera
Mens Quttera tilbyder en onlinescanning med et enkelt klik, indeholder det også en WordPress-specifik scanner, som kræver, at du downloader deres plugin til dit WordPress-websted.
Plugin’et gennemsøger dit websted for mistænkelige scripts, skadelige medier og skjulte trusler og giver dig besked, hvis du er på en sortliste. Qutteras fjernservere scanner dataene. Når en scanning er afsluttet, modtager du en detaljeret undersøgelsesrapport, som anbefaler korrigerende foranstaltninger. Disse rapporter klassificeres som Clean, Potentially Suspentially Suspicious, Suspicious og Malicious og er tilgængelige for offentligheden til visning.
Disse gratis online-scannere og plugins gør et grundlæggende arbejde med at afsløre malware og sårbarheder. Hvis du vil have en mere grundig analyse og konkrete anbefalinger til at reducere sårbarheder, skal du kigge på deres premium-planer. Disse abonnementer omfatter tjenester som overvågning, oprydning og praktisk støtte i forbindelse med trusler. Og som jeg nævnte i starten, er scanning af dit websted kun det første skridt i WordPress-sikkerhed.