Как разработчик или профессионал в области дизайна, одно из самых больших преимуществ создания сайтов на WordPress заключается в том, что в большинстве случаев вы создаете свой код на проверенной платформе, которая была укреплена с течением времени. К сожалению, когда дело доходит до безопасности, нет такой вещи как полностью взломанная система. К счастью, когда речь идет о защите как вашей, так и вашей клиентских систем, есть несколько сканеров уязвимостей WordPress, которые могут помочь вам обнаружить ошибки, прежде чем они выйдут из-под контроля.
Важно отметить, что, хотя это руководство предназначено в первую очередь для пользователей WordPress.org, эти методы все же могут быть применены к пользователям WordPress.com. Для тех, кто не знаком с различиями между этими двумя предложениями, у Sitepoint есть руководство, чтобы уточнить различия. Пользователи WordPress.com будут иметь меньше возможностей при использовании инструментов, но технически они все равно будут работать.
Хотя доверие к обычным онлайн-сканерам сомнительно в лучшем случае, новое поколение инструментов безопасности с открытым исходным кодом позволяет разработчикам и другим опытным специалистам в области технологий с легкостью тестировать свой код на предмет уязвимостей. Хотя эти инструменты имеют некоторую кривизну обучения, изучение основ инструментов тестирования на проникновение может помочь вам опередить большинство цифровых угроз.
Инструменты WordPress
WP Scan
WP Scan — это инструмент с открытым исходным кодом для Linux и Mac OSX, который является швейцарским армейским ножом для атаки практически на любую установку WordPress. Основные функции включают в себя возможность извлечения имен пользователей из базы данных WordPress, сканирования плагинов, которые используются на указанном веб-сайте, а также посмотреть, какие темы установлены на сервере. WP Scan также интегрируется с известными базами данных уязвимостей, поэтому программное обеспечение может фильтровать результаты, отображая только тот код, который подвержен атаке.
Хотя WP Scan является мощным инструментом, процесс установки может быть сложным, если в вашей системе еще не установлен Ruby. Это в значительной степени относится к системам CentOS — дистрибутиву Linux для многих хостов по умолчанию — из-за того, что в операционной системе отсутствуют все необходимые библиотеки. К счастью, с помощью Ubuntu или MacOSX вы можете значительно упростить этот процесс. Если вы новичок в Linux, WP Scan уже предустановлен на нескольких дистрибутивах, ориентированных на безопасность, и его список можно найти на веб-сайте проекта.
Plecost
Plecost — это инструмент для снятия отпечатков WordPress с открытым исходным кодом, который может анализировать плагины, установленные в указанной системе WordPress, наряду с общими кодами уязвимостей и уязвимостей (CVE) WordPress, если это применимо. Поскольку Plecost является скриптом Python, установить его так же просто, как добавить файлы на свой сервер и затем следовать инструкциям на веб-сайте проекта.
Хотя этот инструмент ограничен только показом уязвимостей в установленных плагинах, интеграция кода CVE делает Plecost заметным инструментом, поскольку он предоставляет пользователям мгновенную обратную связь о том, как использовать устаревшее программное обеспечение на сервере.
Поскольку Plecost представляет собой набор скриптов Python, установка довольно проста, и вы можете запускать утилиту в системах Windows, Mac OSX и Linux / Unix, если у них установлен и настроен Python.
Общие инструменты уязвимости
Хотя это руководство в основном сосредоточено на ваших установках WordPress, так как WordPress является лишь одним компонентом вашего сервера, знание того, как использовать средства тестирования на проникновение общего назначения, также крайне важно для защиты вашей системы от хакеров.
Nikto
Nikto — это сканер уязвимостей общего назначения, который сканирует устаревшее программное обеспечение, файлы конфигурации, скрытые каталоги и многое другое. По умолчанию Nikto предназначен для тестирования ваших собственных серверов, поскольку инструмент работает быстро и, вероятно, вызовет красные флажки во многих системах обнаружения вторжений. При необходимости доступно расширение, которое сделает его более незаметным, однако для базовых тестов ваших собственных серверов это, скорее всего, не нужно.
Помимо простого сбора информации, Nikto также может использовать разделы проверки подлинности на целевом веб-сайте с помощью грубой силы, что позволяет вам гарантировать, что пользователи вашего веб-сайта следуют рекомендациям по обеспечению безопасности. Поскольку инструмент может работать в любой системе, поддерживающей Perl, он работает практически на любой системе Linux и Unix вместе с MacOSX. Nikto также можно настроить для работы в Windows, однако в этих системах должен быть установлен ActiveState Perl или Strawberry Perl.
Wikto
Wikto — это инструмент, предназначенный в первую очередь для сред Windows, который выделяется среди большинства инструментов в этом списке благодаря простоте использования. Хотя программа предназначена для систем Windows, она по-прежнему включает в себя мощные функции, такие как: проверка нечеткой логики ошибок, бэкэнд-майнер, поиск каталогов с помощью Google и мониторинг запросов / ответов HTTP в реальном времени.
Особенностью этого инструмента является централизованная интеграция с Google Hacking. Хотя технически это не что иное, как использование поиска Google для обнаружения конфиденциальной информации, Wikto упрощает процесс, позволяя импортировать базы данных известных запросов в программу. Оттуда вы можете автоматически запускать запросы к сайтам и просматривать результаты с минимальными усилиями с вашей стороны.
Оставаясь на вершине лучших практик безопасности
Хотя безопасность — это обширная и сложная область, вы можете защитить свои сайты от таких инструментов, как сканеры уязвимостей, упомянутые в этом руководстве, следуя тенденциям Института SANS и следуя советам Кодекса WordPress .