Det är ett lyckokast för de som gör otur på internet om de kan hitta ett sätt att skada WordPress-webbplatser. Med bara ett trick i rockärmen kan de ta ett skott mot nästan 30 procent av webbplatserna på internet. Det är nackdelen med att WordPress är det mest populära CMS:et. Som webbplatsägare måste vi å vår sida vara proaktiva och se över/uppdatera säkerhetsåtgärder regelbundet för att vara säkra mot hackare. Ett viktigt och lätt att genomföra steg i din säkerhetschecklista är att skanna WordPress för sårbarheter.
Varför du bör skanna WordPress för sårbarheter
- Din WordPress-webbplats kan vara ett förvaringsutrymme för känslig personlig information som lämnas in av användare. De litar på att du förhindrar att denna information hamnar i oönskade händer.
- Andra kan placera backlänkar, omdirigeringar, annonser eller banners från webbplatser som de vill marknadsföra på din webbplats.
- Användare med obehörig åtkomst till din webbplats kan äta upp din bandbredd, även utan att du vet om det.
- Så länge som det inte upptäcks kan skadlig kod ligga på lur på din webbplats och samla information. Det kan skicka skräppost till andra och infektera dem också i processen. Detta kan leda till att Google och andra säkerhetstjänster som AVG eller Norton svartlistar din webbplats. Återigen kanske du inte ens vet om det.
- Regelbundna skanningar kan fånga upp vissa säkerhetshot tidigt och förhindra att din webbplats hackas.
Sätt att skanna WordPress
Det är varken svårt eller dyrt att göra en grundläggande skanning för att hitta sårbarheter på din WordPress-webbplats. Men som mer saker i livet har du alternativ. När det gäller att skanna WordPress efter sårbarheter finns det två huvudsakliga metoder.
Fjärrskannrar är verktyg som kan göra en preliminär skanning och avslöja ett antal säkerhetsbrister. De är ett slags snabbkontroll i ditt säkerhetsschema. De flesta skannrar fungerar i allmänhet på ungefär samma sätt – du anger helt enkelt webbadressen till din webbplats på deras webbsida. Din webbplats, som syns i webbläsaren, kommer att skannas på några ögonblick och en rapport genereras. Många sårbarheter kan dyka upp i rapporten. Vissa verktyg kommer också att föreslå korrigerande åtgärder som du kan utföra. Vissa fjärrskannrar är särskilt utformade för att skanna WordPress-webbplatser, medan andra inkluderar en WordPress-skanning i sin funktionslista.
När du installerar ett insticksprogram får det tvärtom tillgång till servern i den värdmiljö där det finns och gör en mycket djupare skanning. Ett plugin erbjuder alternativ för inställning av skanningsregler, automatiseringar och kompletta skanningar som dyker ner i din databas för att garantera säkerheten.
Den viktiga skillnaden mellan de två är att en fjärrskanner endast tittar på den slutliga renderade versionen av din webbplats, så som den visas i din webbläsare (ungefär som en sökmotorbot). Till skillnad från insticksprogram kan en fjärrskanning inte titta in på din server, och därför kan skadliga element på din server förbli oupptäckta.
Det finns många kostnadsfria fjärrskannrar och kostnadsfria insticksprogram tillgängliga som kan granska din webbplats för oseriösa program – låt oss titta på några av de bästa.
MalCare
Först på vår lista står MalCare, som erbjuder gratis molnbaserad skanning via sitt kostnadsfria insticksprogram. Denna högteknologiska skanner för WordPress-webbplatser tittar på alla dina filer och hela din databas för att hitta även den mest komplexa skadlig kod. Och det bästa av allt är att eftersom den använder MalCares egna molnservrar för att söka efter sårbarheter kommer den inte att sakta ner din webbplats.
MalCare erbjuder också premiumplaner med ännu fler alternativ för tidig upptäckt, automatisk skanning & borttagning av skadlig kod, s, IP-blockering, rekommenderade WordPress-inställningar (inaktivera filredigerare, skydd av uppladdningsmapp, säkerhetsnycklar, etc.), otillåtna insticksprogram, plus mer. Och beroende på dina behov erbjuder de även en vitmärkt lösning med anpassade rapporter för dina kunder.
Sucuri SiteCheck
Sucuri är ett välkänt namn inom webbplatsskydd och sammanställer regelbundna och omfattande sårbarhetsrapporter. SiteCheck skannar alla webbplatser, inklusive WordPress-webbplatser, och avslöjar känd skadlig kod, föråldrad programvara och webbplatsfel. Du får också reda på din status på svarta listan hos tjänster som Google, AVG Antivirus, McAfee och Norton.
Skannern jämför alla dina sidor med Sucuri-databasen och rapporterar eventuella avvikelser. Rapporten rekommenderar också hur du ska hantera dessa avvikelser.
WP Sec Scan
Om du letar efter en WordPress-specifik skanner passar WP Sec bra. På deras webbsida har du ett val – skicka in din webbplats URL för en skanning eller registrera dig för deras gratis/premiumkonto.
Ett gratis konto ger dig rätt till en automatisk veckovis skanning. Om du hanterar flera WordPress-webbplatser kan du hålla koll på säkerheten för alla webbplatser från en enda instrumentpanel. Du får också varningar via e-post om någon bugg hittas eller om din WordPress-installation ska uppdateras.
En grundläggande rapport kan lista vissa säkerhetsbrister samt berätta hur du ska gå tillväga för att rätta till det. Du kan också få tillgång till ett register över dina skanningsrapporter för framtida referens. WPScans upprätthåller en stor databas med de senaste buggarna och säkerhetshoten, vilket innebär att de vanligaste hoten kan upptäckas med den här skannern.
WordPress Security Scan
WordPress Security Scan erbjuder också två alternativ – en gratis grundversion och en avancerad premiumversion. Den utför kontroller genom att ringa upp ett antal sidor via vanliga webbförfrågningar och analyserar motsvarande HTML-källa. En skanning avslöjar uppenbara säkerhetsbrister i WordPress och rekommenderar säkerhetsrelaterade förbättringar i konfigurationen som kan öka skyddet mot framtida attacker.
Den kostnadsfria skanningen kontrollerar WordPress-versionen, värdens rykte, geolokalisering och webbplatsens rykte från Google. Den kontrollerar också externa länkar, lista över plugins och katalogindexering på plugins. Den listar de iframes som finns och den länkade Javascript, som båda kan användas för att leverera skadlig kod. Du kan sedan undersöka alla skript som inte verkar bekanta för dig.
First Site Guide
Skannern First Site Guide fungerar på ungefär samma sätt som andra skannrar – skriv in webbadressen till din webbplats och tryck på knappen Skanna. Den testar om information om WordPress-version, användarnamn eller misslyckade inloggningsförsök kan upptäckas.
Den kontrollerar också om filen readme.html, filerna install.php och upgrade.php är åtkomliga via HTTP och om mappen uploads är bläddringsbar. Men för en riktigt meningsfull skanning som täcker över 40 tester rekommenderar de att du installerar Security Ninja.
Wordfence
Wordfence är ett omfattande säkerhetsinsticksprogram som skannar allt WordPress-relaterat på din webbplats, inklusive källkod och bildfiler. Om du aktiverar alternativet skannar det även icke-WordPress-relaterade filer. Deras Threat Defense Feed uppdateras ständigt och feedet används av skannrar för att identifiera misstänkt programvara.
En skanning letar efter 44 000+ kända skadliga program och bakdörrar, samt efter phishing-URL:er i alla dina kommentarer, inlägg och filer. Inte nog med det, den skannar kärnfilerna, teman och plugins och jämför dem med filerna i WordPress-arkivet.
Virus Total Scanner
Istället för att köra webbadressen till din webbplats genom flera skannrar kan du skicka in den på Virus Total, ett dotterbolag till Google. Den gör arbetet med att sammanställa resultaten av en skanning från flera skannrar som Avira, Comodo, Sucuri och Qettera.
Fördelen med en sådan metod är att du lättare kan upptäcka falska positiva resultat från skannrar. Du vet om någon harmlös resurs felaktigt klassificeras som skadlig kod när webbadressen körs genom flera skannrar. Det här verktyget är inte WordPress-specifikt och alla typer av webbplatser kan använda skannern. Virus Total är inte ett heltäckande verktyg för virustestning, utan en sammanställare av skanningsresultat från olika skannrar.
Filer och webbadresser som skickas in till Virus Total kommer att delas med säkerhetsföretag för att de ska kunna använda dem för att förbättra den övergripande webbsäkerheten.
Quttera
Quttera erbjuder visserligen en onlinescanning med ett klick, men har också en WordPress-specifik skanner som kräver att du laddar ner deras plugin till din WordPress-webbplats.
Pluginet genomsöker din webbplats efter misstänkta skript, skadliga medier och dolda hot, och meddelar dig om du finns med på någon svart lista. Qutteras fjärrservrar skannar data. Efter avslutad skanning får du en detaljerad utredningsrapport som rekommenderar korrigerande åtgärder. Dessa rapporter klassificeras som rena, potentiellt misstänkta, misstänkta och skadliga och är tillgängliga för allmänheten för visning.
Dessa kostnadsfria online-skannrar och plugins gör ett grundläggande arbete med att avslöja skadlig kod och sårbarheter. För en grundligare analys och pricksäkra rekommendationer för att minska sårbarheterna måste du titta på deras premiumplaner. I dessa planer ingår tjänster som övervakning, rensning och praktisk support vid hot. Och som jag nämnde i början är skanning av din webbplats bara det första steget i WordPress-säkerheten.