Het is een buitenkansje voor kwaadwillenden op internet als ze een manier kunnen vinden om WordPress-websites schade toe te brengen. Met slechts één trucje in de mouw kunnen ze bijna 30% van de websites op het internet te grazen nemen. Dat is de keerzijde van het feit dat WordPress het meest populaire CMS is. Als website-eigenaren moeten we van onze kant proactief zijn en regelmatig veiligheidsmaatregelen herzien/bijwerken om veilig te zijn voor hackers. Een belangrijke en eenvoudig uit te voeren stap in uw beveiligingschecklist is het scannen van WordPress op kwetsbaarheden.
Waarom u WordPress moet scannen op kwetsbaarheden
- Uw WordPress-website kan de opslagplaats zijn van gevoelige persoonlijke informatie die door gebruikers wordt verstrekt. Zij vertrouwen erop dat u voorkomt dat deze informatie in ongewenste handen valt.
- Anderen kunnen backlinks, redirects, advertenties of banners van websites die zij willen promoten op uw site plaatsen.
- Gebruikers met ongeautoriseerde toegang tot uw website kunnen uw bandbreedte opeten, zelfs zonder dat u het weet.
- Zolang het niet wordt gedetecteerd, kan malware op uw website loeren en informatie verzamelen. Het kan spam emails naar anderen sturen en hen in het proces ook infecteren. Dit kan ertoe leiden dat Google en andere beveiligingsdiensten zoals AVG of Norton uw site op de zwarte lijst zetten. Nogmaals, u weet er misschien niet eens van.
- Reguliere scans kunnen sommige beveiligingsrisico’s vroegtijdig opmerken en voorkomen dat uw site wordt gehackt.
manieren om WordPress te scannen
Het uitvoeren van een basisscan op kwetsbaarheden in uw WordPress-website is niet moeilijk en niet duur. Maar zoals meer dingen in het leven, heb je opties. Als het gaat om het scannen van WordPress op kwetsbaarheden zijn er twee hoofdmethoden.
Remote scanners zijn tools die een voorlopige scan kunnen doen en een aantal beveiligingslekken kunnen onthullen. Ze zijn een soort van snelle controle in uw beveiligingsregime. De meeste scanners werken over het algemeen op ongeveer dezelfde manier – u hoeft alleen maar de URL van uw website in te voeren op hun webpagina. Uw site, zoals zichtbaar in de browser, wordt binnen enkele ogenblikken gescand en er wordt een rapport gegenereerd. In het rapport kunnen veel kwetsbaarheden worden gevonden. Sommige tools stellen ook herstelmaatregelen voor die u kunt uitvoeren. Sommige remote scanners zijn specifiek ontworpen om WordPress sites te scannen, terwijl andere een WordPress scan in hun lijst van functies opnemen.
Integendeel, wanneer u een plugin installeert, krijgt deze toegang tot de server in de hosting omgeving waar deze zich bevindt en doet een veel diepere scan. Een plugin biedt opties voor het instellen van scanregels, automatiseringen en volledige scans die in uw database duiken om de veiligheid te garanderen.
Het belangrijke verschil tussen de twee is dat een scanner op afstand alleen naar de uiteindelijke gerenderde versie van uw website kijkt, zoals deze op uw browser verschijnt (een soort zoekmachinebot). In tegenstelling tot plug-ins, kan een externe scan niet in uw server kijken, en dus kan een kwaadaardig element op uw server onopgemerkt blijven.
Er zijn veel gratis externe scanners en gratis plug-ins beschikbaar die uw website kunnen screenen op malafide software – laten we eens kijken naar enkele van de beste.
MalCare
De eerste op onze lijst is MalCare, die gratis cloud-gebaseerde scans biedt via hun gratis plugin. Deze high-tech WordPress site scanner bekijkt al je bestanden en je hele database om zelfs de meest complexe malware te vinden. En het beste van alles is dat, omdat MalCare zijn eigen cloudservers gebruikt om te scannen op kwetsbaarheden, uw site niet wordt vertraagd.
MalCare biedt ook premiumplannen met nog meer opties voor vroege detectie, geautomatiseerd scannen &verwijderen van malware, s, IP-blokkering, aanbevolen WordPress-instellingen (bestandseditor uitschakelen, uploads mapbeveiliging, beveiligingssleutels, enzovoort), niet-toegestane plug-ins, plus meer. En afhankelijk van uw behoeften, bieden ze zelfs een white labeled oplossing met aangepaste rapporten voor uw klanten.
Sucuri SiteCheck
Sucuri is een bekende naam in websitebeveiliging en stelt regelmatig uitgebreide kwetsbaarheidsrapporten samen. De SiteCheck scant alle websites, inclusief WordPress websites en onthult bekende malware, verouderde software en website fouten. U kent ook uw blacklist-status bij diensten als Google, AVG Antivirus, McAfee en Norton.
De scanner vergelijkt al uw pagina’s met de Sucuri-database en rapporteert elke anomalie. Het rapport geeft ook aanbevelingen over hoe u met deze afwijkingen moet omgaan.
WP Sec Scan
Als u op zoek bent naar een WordPress-specifieke scanner, dan is WP Sec de juiste keuze. Op hun webpagina heb je de keuze om de URL van je website in te dienen voor een scan of je aan te melden voor hun gratis/premium account.
Een gratis account geeft je recht op een automatische wekelijkse scan. Als u meerdere WordPress-websites beheert, kunt u de beveiliging van alle sites vanaf één dashboard in de gaten houden. U ontvangt ook waarschuwingen per e-mail als er een bug is gevonden of als uw WordPress-installatie aan een update toe is.
Een basisrapport kan een aantal beveiligingsgebreken vermelden en u vertellen hoe u deze kunt verhelpen. U kunt ook een overzicht van uw scanrapporten opvragen voor toekomstige referentie. WPScans onderhoudt een uitgebreide database van de nieuwste bugs en bedreigingen van de veiligheid, wat betekent dat de meest voorkomende bedreigingen kunnen worden gedetecteerd met deze scanner.
WordPress Security Scan
WordPress Security Scan biedt ook twee opties – een gratis basisversie en een premium geavanceerde versie. Het voert controles uit door een aantal pagina’s via gewone webverzoeken op te roepen en de bijbehorende HTML-bron te analyseren. Een scan brengt voor de hand liggende WordPress-beveiligingsfouten aan het licht en beveelt configuratieverbeteringen aan die de beveiliging tegen toekomstige aanvallen kunnen verbeteren.
De gratis scan controleert op WordPress-versie, hostreputatie, geolocatie en site-reputatie van Google. De scan controleert ook externe links, de lijst met plug-ins en de indexering van plug-ins in mappen. Het geeft een lijst van de aanwezige iframes en de gekoppelde Javascript, die beide kunnen worden gebruikt om kwaadaardige code te leveren. U kunt dan kijken naar elk script dat u niet bekend voorkomt.
First Site Guide
De First Site Guide scanner werkt op vrijwel dezelfde manier als andere scanners – voer de URL van uw site in en druk op de knop Scannen. Er wordt getest of informatie over de WordPress-versie, gebruikersnamen of mislukte aanmeldingspogingen kan worden gedetecteerd.
Het controleert ook of het bestand readme.html, het bestand install.php en het bestand upgrade.php toegankelijk zijn via HTTP en of de map uploads doorzoekbaar is. Maar voor een echt zinvolle scan die meer dan 40 tests omvat, adviseren ze je Security Ninja te installeren.
Wordfence
Wordfence is een uitgebreide beveiligingsplugin die alles scant wat WordPress-gerelateerd is op je website, inclusief broncode en afbeeldingsbestanden. Als u de optie inschakelt, zal het ook niet-WordPress-gerelateerde bestanden scannen. Hun Threat Defense Feed wordt voortdurend bijgewerkt en de feed wordt door scanners gebruikt om verdachte software te identificeren.
Een scan zoekt naar 44.000+ bekende malware en backdoors, en naar phishing-URL’s in al uw opmerkingen, berichten en bestanden. Niet alleen dat, het scant de kern bestanden, thema’s en plugins en vergelijkt het met de bestanden in de WordPress repository.
Virus Total Scanner
In plaats van de URL van uw site door meerdere scanners te laten lopen, kunt u deze op Virus Total, een dochteronderneming van Google, plaatsen. Het doet het werk van het samenvoegen van de resultaten van een scan van meerdere scanners zoals Avira, Comodo, Sucuri en Qettera.
Het voordeel van een dergelijke methode is dat u gemakkelijker valse positieven van scanners kunt detecteren. U weet of een onschuldige bron ten onrechte als malware wordt geclassificeerd wanneer de URL door meerdere scanners wordt gehaald. Deze tool is niet WordPress specifiek, en alle soorten websites kunnen de scanner gebruiken. Virus Total is geen uitgebreide virustest-tool, maar een aggregator van scanresultaten van verschillende scanners.
Bestanden en URL’s die bij Virus Total worden ingediend, zullen worden gedeeld met beveiligingsbedrijven voor hun gebruik bij het verbeteren van de algehele webbeveiliging.
Quttera
Hoewel Quttera een online scan met één klik aanbiedt, bevat het ook een WordPress-specifieke scanner, waarvoor u hun plugin op uw WordPress-website moet downloaden.
De plugin scant uw site op verdachte scripts, schadelijke media en verborgen bedreigingen en laat u weten of u op een zwarte lijst staat. De externe servers van Quttera scannen de gegevens. Na voltooiing van een scan, ontvangt u een gedetailleerd onderzoeksrapport, waarin corrigerende maatregelen worden aanbevolen. Deze rapporten worden geclassificeerd als schoon, potentieel verdacht, verdacht en kwaadaardig en zijn openbaar te bekijken.
Deze gratis online scanners en plug-ins doen een basiswerk van het onthullen van malware en kwetsbaarheden. Voor een grondigere analyse en concrete aanbevelingen om kwetsbaarheden te verminderen, moet u kijken naar hun premium plannen. Deze plannen omvatten diensten zoals bewaking, opschoning en praktische ondersteuning wanneer u met bedreigingen wordt geconfronteerd. En, zoals ik aan het begin al zei, het scannen van uw website is slechts de eerste stap in WordPress beveiliging.