Az interneten tevékenykedő bajkeverők szerencséje, ha megtalálják a módját annak, hogy kárt tegyenek a WordPress webhelyekben. Egyetlen trükkel a tarsolyukban az interneten található webhelyek majdnem 30%-át meg tudják támadni. Ez a hátránya annak, hogy a WordPress a legnépszerűbb CMS. Webhelytulajdonosokként a magunk részéről proaktívnak kell lennünk, és rendszeresen felül kell vizsgálnunk/frissítenünk a biztonsági intézkedéseket, hogy biztonságban legyünk a hackerektől. Az egyik fontos és könnyen megvalósítható lépés a biztonsági ellenőrzőlistán a WordPress sebezhetőségi vizsgálatának elvégzése.
Miért kell a WordPress sebezhetőségi vizsgálatát elvégezni
- A WordPress webhelye a felhasználók által megadott érzékeny személyes adatok tárháza lehet. Megbíznak Önben, hogy megakadályozza, hogy ezek az információk nemkívánatos kezekbe kerüljenek.
- Mások elhelyezhetnek backlinkeket, átirányításokat, hirdetéseket vagy olyan webhelyek bannereit az Ön webhelyén, amelyeket reklámozni akarnak.
- A webhelyéhez jogosulatlanul hozzáférő felhasználók felfalhatják a sávszélességet, akár anélkül, hogy Ön tudna róla.
- Míg nem észlelik, a rosszindulatú programok a webhelyén belül leselkedhetnek és információkat gyűjthetnek. Spam e-maileket küldhet másoknak, megfertőzve ezzel őket is. Ez ahhoz vezethet, hogy a Google és más biztonsági szolgáltatások, mint az AVG vagy a Norton feketelistára teszik az oldaladat. Ismétlem, lehet, hogy Ön nem is tud róla.
- A rendszeres vizsgálatok idejekorán észlelhetnek néhány biztonsági fenyegetést, és megakadályozhatják, hogy webhelyét feltörjék.
A WordPress átvizsgálásának módjai
A WordPress webhelyének alapvető biztonsági réseinek átvizsgálása nem nehéz és nem is drága. De mint több dolog az életben, itt is vannak lehetőségeid. Amikor a WordPress sebezhetőségek utáni átvizsgálására kerül sor, két fő módszer létezik.
A távoli átvizsgálók olyan eszközök, amelyek képesek egy előzetes átvizsgálást elvégezni, és számos biztonsági hiányosságot feltárni. Ezek egyfajta gyors ellenőrzést jelentenek a biztonsági rendszerében. A legtöbb szkenner általában nagyjából ugyanúgy működik – egyszerűen adja meg a weboldalának URL-címét a weboldalukon. A böngészőben látható webhelyét néhány pillanat alatt átvizsgálják, és jelentést készítenek róla. A jelentésben számos sebezhetőség jelenhet meg. Egyes eszközök javító intézkedéseket is javasolnak, amelyeket Ön elvégezhet. Egyes távoli szkennereket kifejezetten WordPress-oldalak vizsgálatára terveztek, míg mások a funkciók listáján szerepel a WordPress-ellenőrzés.
Azzal ellentétben, hogy amikor egy bővítményt telepít, az hozzáfér a szerverhez a tárhelykörnyezetben, ahol az található, és sokkal mélyebb vizsgálatot végez. Egy bővítmény lehetőséget kínál a vizsgálati szabályok beállítására, automatizálásokra és teljes vizsgálatokra, amelyek az adatbázisába merülnek el a biztonság érdekében.
A kettő közötti fontos különbség az, hogy egy távoli szkenner csak a weboldalának véglegesen renderelt változatát nézi meg, ahogy az a böngészőben megjelenik (afféle keresőrobot). A bővítményekkel ellentétben a távoli szkennelés nem tud betekinteni a szerverére, így a szerverén lévő rosszindulatú elemek észrevétlenek maradhatnak.
Elérhető számos ingyenes távoli szkenner és ingyenes bővítmény, amelyek képesek átvizsgálni weboldalát a rosszindulatú szoftverek után – nézzük a legjobbakat.
MalCare
Listánk első helyén a MalCare áll, amely ingyenes felhőalapú szkennelést kínál az ingyenes bővítményén keresztül. Ez a csúcstechnológiás WordPress oldalszkenner átnézi az összes fájlodat és a teljes adatbázisodat, hogy megtalálja még a legösszetettebb rosszindulatú programokat is. És ami a legjobb, mivel a MalCare saját felhőszervereit használja a sebezhetőségek kereséséhez, nem fogja lelassítani az oldaladat.
A MalCare prémium csomagokat is kínál, amelyek még több lehetőséget kínálnak a korai felismerésre, a rosszindulatú programok automatikus szkennelésére & eltávolítására, s, IP-blokkolásra, WordPress-beállítások ajánlására (fájlszerkesztő letiltása, feltöltési mappa védelme, biztonsági kulcsok stb.), tiltott bővítményekre, valamint több mindenre. És az Ön igényeitől függően még fehércímkés megoldást is kínálnak egyéni jelentésekkel az ügyfelei számára.
Sucuri SiteCheck
A Sucuri jól ismert név a webhelybiztonság területén, és rendszeres és átfogó sérülékenységi jelentéseket állít össze. A SiteCheck átvizsgálja az összes webhelyet, beleértve a WordPress webhelyeket is, és feltárja az ismert rosszindulatú szoftvereket, az elavult szoftvereket és a webhely hibáit. Emellett megismerheti a feketelistás státuszát olyan szolgáltatásoknál, mint a Google, az AVG Antivirus, a McAfee és a Norton.
A szkenner összehasonlítja az összes oldalát a Sucuri adatbázisával, és minden rendellenességet jelent. A jelentés azt is javasolja, hogyan kezelje ezeket az anomáliákat.
WP Sec Scan
Ha egy WordPress-specifikus szkennert keres, a WP Sec megfelel a célnak. A weboldalukon választhatsz – elküldheted a weboldalad URL-címét vizsgálatra, vagy regisztrálhatsz az ingyenes/prémium fiókjukra.
Az ingyenes fiók automatikus heti vizsgálatra jogosít. Ha több WordPress webhelyet kezel, egyetlen műszerfalról követheti nyomon az összes webhely biztonságát. E-mailben értesítést is kap, ha bármilyen hibát talál, vagy ha a WordPress telepítésénél esedékes a frissítés.
Az alapjelentés felsorolhat néhány biztonsági hibát, valamint megmondja, hogyan kell helyreállítani. Emellett hozzáférhet az átvizsgálási jelentések nyilvántartásához is, hogy a későbbiekben hivatkozhasson rájuk. A WPScans hatalmas adatbázist tart fenn a legújabb hibákról és biztonsági fenyegetésekről, ami azt jelenti, hogy a leggyakoribb fenyegetések is felismerhetők ezzel a szkennerrel.
WordPress Security Scan
A WordPress Security Scan két lehetőséget is kínál – egy ingyenes alapverziót és egy prémium haladó verziót. Az ellenőrzéseket úgy végzi, hogy rendszeres webes kéréseken keresztül számos oldalt hív meg, és elemzi a megfelelő HTML-forrást. A vizsgálat feltárja a WordPress nyilvánvaló biztonsági hiányosságait, és biztonsági vonatkozású javításokat javasol a konfigurációban, amelyek fokozhatják a jövőbeli támadások elleni védelmet.
Az ingyenes vizsgálat ellenőrzi a WordPress verzióját, a tárhely hírnevét, a geolokációt és a webhely hírnevét a Google-tól. Ellenőrzi továbbá a külső linkeket, a bővítmények listáját és a bővítmények könyvtárindexálását. Felsorolja a jelenlévő iframe-eket és a linkelt Javascriptet, mindkettő felhasználható rosszindulatú kód továbbítására. Ezután megvizsgálhat minden olyan szkriptet, amely nem tűnik ismerősnek.
First Site Guide
A First Site Guide scanner ugyanúgy működik, mint a többi scanner: adja meg a webhely URL-címét, és nyomja meg a Scan gombot. Megvizsgálja, hogy a WordPress verziójára, a felhasználónevekre vagy a sikertelen bejelentkezési kísérletekre vonatkozó információk észlelhetők-e.
Azt is ellenőrzi, hogy a readme.html fájl, az install.php és az upgrade.php fájlok elérhetők-e HTTP-n keresztül, és hogy a uploads mappa böngészhető-e. De egy igazán értelmes, több mint 40 tesztre kiterjedő vizsgálathoz azt tanácsolják, hogy telepítse a Security Ninját.
Wordfence
A Wordfence egy átfogó biztonsági bővítmény, amely mindent átvizsgál, ami a WordPress-szel kapcsolatos a webhelyén, beleértve a forráskódot és a képfájlokat is. Ha engedélyezed az opciót, akkor a nem WordPresshez kapcsolódó fájlokat is átvizsgálja. A Threat Defense Feedjük folyamatosan frissül, és a feedet a szkennerek a gyanús szoftverek azonosítására használják.
A szkennelés több mint 44 000 ismert rosszindulatú programot és hátsó ajtót keres, valamint adathalász URL-eket keres az összes hozzászólásban, bejegyzésben és fájlban. Nem csak ezt, hanem átvizsgálja az alapfájlokat, témákat és bővítményeket, és összehasonlítja a WordPress adattárban található fájlokkal.
Virus Total Scanner
Ahelyett, hogy webhelye URL-jét több szkenneren is átfuttatná, beküldheti a Google leányvállalatának, a Virus Totalnak. Ez elvégzi azt a munkát, hogy több szkenner, például az Avira, a Comodo, a Sucuri és a Qettera vizsgálatának eredményeit összesíti.
Az ilyen módszer előnye, hogy könnyebben kiszűrheti a szkennerek hamis pozitív eredményeit. Tudni fogja, ha egy ártalmatlan erőforrást tévesen rosszindulatúnak minősítenek, amikor az URL-t több szkenneren is lefuttatják. Ez az eszköz nem WordPress-specifikus, és mindenféle weboldal használhatja a szkennert. A Virus Total nem egy átfogó vírustesztelő eszköz, hanem a különböző szkennerek vizsgálati eredményeinek összesítője.
A Virus Totalon beküldött fájlokat és URL-címeket megosztjuk a biztonsági cégekkel, hogy azok felhasználhassák az általános webes biztonság javítására.
Quttera
A Quttera ugyan kínál egy kattintásos online ellenőrzést, de egy WordPress-specifikus szkennert is tartalmaz, amelyhez le kell töltenie a bővítményüket a WordPress webhelyére.
A bővítmény gyanús szkriptek, rosszindulatú média és rejtett fenyegetések után kutatja webhelyét, és tájékoztatja Önt, ha szerepel valamelyik feketelistán. A Quttera távoli szerverei vizsgálják az adatokat. A vizsgálat befejezésekor részletes vizsgálati jelentést kap, amely javító intézkedéseket javasol. Ezek a jelentések Tiszta, Potenciálisan gyanús, Gyanús és Rosszindulatú besorolásúak, és a nyilvánosság számára megtekinthetők.
Ezek az ingyenes online szkennerek és bővítmények alapvető munkát végeznek a rosszindulatú programok és sebezhetőségek feltárásában. Az alaposabb elemzéshez és a sebezhetőségek csökkentésére vonatkozó helytálló ajánlásokhoz meg kell néznie a prémium csomagjaikat. Ezek a csomagok olyan szolgáltatásokat foglalnak magukban, mint a felügyelet, a tisztítás és a gyakorlati támogatás a fenyegetésekkel való szembesüléskor. És ahogy az elején említettem, a webhely átvizsgálása csak az első lépés a WordPress biztonságában.