استخدام المكون الإضافي WPScan للعثور على نقاط الضعف في موقع WordPress الخاص بك
نشرت: 2021-09-15يتضمن الاهتمام بأمان موقع WordPress الخاص بك الكثير من المهام المختلفة. تتمثل إحدى المهام في التأكد من أن المكونات الإضافية والسمات وإصدار WordPress الذي تستخدمه على موقع الويب الخاص بك لا تحتوي على أي ثغرات أمنية معروفة. لحسن الحظ ، يمكن أتمتة هذه المهمة باستخدام WPScan ، وهو مكون إضافي مجاني من WordPress.
يمكن أن يكتشف المكون الإضافي WPScan ما إذا كان البرنامج الذي تقوم بتشغيله به ثغرات أمنية عن طريق إجراء عمليات مسح منتظمة. يقوم بفحص النتائج مقابل قاعدة بيانات محدثة مخصصة للثغرات الأمنية ، ويخبرك إذا كانت هناك أي ثغرات أمنية على موقع الويب الخاص بك ، مثل حقن SQL. إذا كنت لا تعرف ما هو SQL Injection ، فيمكنك قراءة مسرد مصطلحات وكلمات الأمان الخاصة بـ WordPress ، والذي يوفر لك شروحات موجزة لمساعدتك على البقاء في قمة اللعبة.
تشرح هذه المقالة كيف يمكنك تثبيت المكون الإضافي WPScan وإعداده لفحص موقع WordPress الخاص بك بحثًا عن نقاط الضعف. قبل ذلك ، يسلط الضوء على سبب أهمية WPScan لأمان موقع الويب الخاص بك.
إدخال WPScan
أولاً ، دعنا نشرح ما هو WPScan. WPScan هو ماسح ضوئي للثغرات الأمنية في WordPress يمكنه فحص نواة WordPress والسمات والمكونات الإضافية بحثًا عن نقاط الضعف المعروفة ومشكلات الأمان.
إنه متاح كبرنامج مفتوح المصدر وكمكوِّن إضافي لبرنامج WordPress وكخدمة مدفوعة عبر الإنترنت. لاحظ أن هذه المقالة تركز على كيفية إعداد واستخدام WPScan WordPress plugin المجاني. لمعرفة المزيد حول الماسح الضوئي مفتوح المصدر ، اقرأ بدء استخدام الماسح الضوئي WPScan.
كيف يعمل البرنامج المساعد WPScan؟
بمجرد أن يكتشف المكون الإضافي المكونات الإضافية والسمات وإصدار WordPress الأساسي الذي تستخدمه على موقع الويب الخاص بك ، فإنه يتحقق مما إذا كان أي من البرامج التي تستخدمها به أي ثغرات أمنية. يتحقق ذلك من خلال إرسال الطلبات إلى قاعدة بيانات الثغرات الأمنية ، والتي يحتفظ بها فريق WPScan.
تحتوي قاعدة البيانات هذه على الآلاف من نقاط الضعف المعروفة في WordPress. قبل إضافة ثغرة أمنية إلى قاعدة البيانات ، يتم فحصها بواسطة خبير. هذا يعني أنه تم الحصول على كل إدخال والتحقق منه وإضافته إلى قاعدة البيانات من خلال عيون البشر.
علاوة على ذلك ، هناك دورة ثابتة للعثور على نقاط ضعف جديدة لقاعدة البيانات. على سبيل المثال ، في مايو 2021 ، وجدت أكثر من 70 نقطة ضعف جديدة طريقها إلى قاعدة البيانات.
بمجرد اكتمال فحص موقع الويب ، ستتلقى إشعارات عبر البريد الإلكتروني بنتيجة الفحص. يمكنك أيضًا استلام تقارير بتنسيق PDF وتنزيلها لمشاركتها مع فريقك.
يعد المكون الإضافي WPScan المجاني كافيًا لفحص متوسط موقع الويب كل يوم. على الرغم من ذلك ، إذا كنت بحاجة إلى فحص مواقع ويب متعددة عدة مرات في التاريخ ، فأنت تحتاج إلى خطة WPScan مميزة. توجه إلى موقع WPScan لمزيد من المعلومات حول الأسعار والخطط.
كيف يساعدك WPScan في حماية موقع الويب الخاص بك
يساعدك WPScan من خلال أتمتة عملية تحديد البرامج الضعيفة على موقع الويب الخاص بك. يمكنك تكوين المكون الإضافي لتشغيل عمليات الفحص يوميًا أو حتى كل ساعة ، ولإرسال إشعار عبر البريد الإلكتروني بنتائج الفحص بمجرد تحديد أي مشكلات.
هذا شيء أقل يجب أن تقلق بشأنه في برنامج أمان WordPress الخاص بك ، مما يتيح لك مزيدًا من الوقت للتركيز على عملك.
فوائد استخدام البرنامج المساعد WPScan WordPress
الآن ، أنت تعرف ما يمكن لـ WPScan فعله لموقعك. فيما يلي بعض فوائد تشغيل المكون الإضافي WPScan على موقع الويب الخاص بك:
- يعد فريق WPScan عنصرًا أساسيًا في مجتمع أمان WordPress ، لذلك يختار الباحثون الأمنيون إرسال الثغرات الأمنية إلى قاعدة بياناتهم. هذا يحافظ على القائمة محدثة ، مما يعني أنه سيتم دائمًا فحص موقع الويب الخاص بك بحثًا عن أحدث التهديدات المعروفة.
- قاعدة بيانات الثغرات الأمنية WPScn نفسها ذات قيمة هائلة. اعتبارًا من اليوم ، لديها أكثر من 20000 إدخال ، تم فحصها جميعًا وإضافتها من خلال فريق من الخبراء. لا توجد مجموعة أخرى من ثغرات WordPress مثل هذه المتوفرة في أي مكان آخر.
- ستكون أول من يعرف عن نواة WordPress أو مكون إضافي أو ثغرة أمنية. في كثير من الحالات ، يمكنك أنت و WPS التغلب على المستخدمين الضارين. بمعنى آخر ، أنت تحمي موقع الويب الخاص بك قبل استغلال الثغرة الأمنية في البرية.
بالطبع ، يمكنك أيضًا الحصول على إشعار إذا كانت هناك مشكلة تستدعي انتباهك. رغم ذلك ، يمكنك أيضًا استخدام قاعدة البيانات للتحقق من الثغرات الأمنية في المكونات الإضافية التي تريد تثبيتها أيضًا.
هذا لا يقدر بثمن ، لأنه يمكنك حماية موقعك بطريقة استباقية. علاوة على ذلك ، يمكنك منع الثغرة الأمنية من التأثير على موقعك بأفضل طريقة ممكنة - احتفظ بالموضوع أو المكون الإضافي في متناول اليد حتى تعرف أنه آمن للاستخدام.
لديك أيضًا طريقة مرنة لعرض قاعدة البيانات وإجراء فحص. يوفر المكون الإضافي WordPress أكثر طريقة يمكن الوصول إليها للعمل.
الشروع في العمل مع البرنامج المساعد WPScan
باختصار ، يعد المكون الإضافي WordPress الخاص بـ WPScan عبارة عن "مجمّع" أساسي من أنواع قاعدة بيانات الثغرات الأمنية. ومع ذلك ، نوصيك باستخدامه بسبب التجربة التي يقدمها.
الخطوة 1: قم بتثبيت البرنامج المساعد
عملية التثبيت هي نفسها تمامًا مثل أي مكون إضافي مجاني من WordPress. انتقل إلى صفحة الملحقات على WordPress الخاص بك ، وابحث عن قاعدة بيانات WPScan وانقر فوق تثبيت . بمجرد تثبيت المكون الإضافي ، قم بتنشيطه.
بمجرد التنشيط ، سترى إشعارًا للاستيلاء على رمز API مميز:
يعد هذا ضروريًا للمكون الإضافي لإرسال طلبات واجهة برمجة التطبيقات إلى قاعدة بيانات الثغرات الأمنية. يمكنك إرسال ما يصل إلى 25 طلب API يوميًا مجانًا. بالنسبة لغالبية مواقع الويب ، يعد هذا كافيًا ، مع الأخذ في الاعتبار أن متوسط موقع الويب يحتوي على حوالي 20 مكونًا إضافيًا.
الخطوة 2: احصل على رمز API الخاص بك
للحصول على رمز API الخاص بك ، انقر فوق الارتباط الموجود في الإشعار أو توجه إلى موقع WPScan وانقر فوق Get Your Free API Token .
بمجرد إرسال النموذج ، ستحتاج إلى التأكيد من خلال عنوان بريدك الإلكتروني ، ثم تسجيل الدخول إلى حسابك. بمجرد تسجيل الدخول إلى لوحة معلومات WPScan ، ستعرض رمز API الخاص بك كأول جزء من المعلومات:
الخطوة 3: تفعيل مفتاح API
عد إلى صفحة إعدادات البرنامج المساعد WPScan داخل WordPress ، والصق رمز API في الحقل ذي الصلة:
الخطوة 4: اضبط إعدادات المسح الآلي الخاصة بك
أثناء تواجدك في "الإعدادات" ، يمكنك تكوين وتيرة عمليات الفحص والوقت الذي يجب تشغيلها فيه:
يمكنك ضبط الفحص لكل يوم ، مرتين كل يوم ، أو بالساعة. باستخدام مفتاح API المجاني ، يمكنك فقط إجراء مسح ضوئي يوميًا ، وهو أمر جيد بما يكفي للبدء به.
من الإعدادات ، يمكنك أيضًا تعطيل عمليات التحقق من الأمان ، واستبعاد المكونات الإضافية أو السمات من فحص الثغرات الأمنية ، وهو أمر غير مستحسن.
هذا كل ما في الأمر. احفظ الإعدادات وسيتم تشغيل فحص الثغرات الأمنية عند جدولته.
نتائج فحص نقاط الضعف في موقع WordPress
تمنحك شاشة التقارير نظرة ثاقبة لما تم تحديده من المكون الإضافي على موقع الويب الخاص بك ، والمشكلات التي قد تكون موجودة. على سبيل المثال ، يمكنك رؤية إصدار WordPress الحالي الخاص بك ، وجميع المكونات الإضافية والسمات التي قمت بتثبيتها:
سترى هنا جميع نقاط الضعف التي يكتشفها الفحص على موقعك. إذا قمت بإلقاء نظرة على الزاوية العلوية من الشاشة ، فسترى زر تشغيل الكل. يؤدي هذا إلى إجراء مسح كامل لموقع الويب الخاص بك:
إذا كنت ترغب في تلقي إشعار بالبريد الإلكتروني ، فيمكنك القيام بذلك من خلال مربع تعريف الإخطار على الجانب الأيمن:
هناك أيضًا الكثير من الفحوصات التي يمكنك إجراؤها على موقعك. في الواقع ، هناك قائمة مفيدة تتيح لك تشغيل كل منها على أساس فردي:
عندما تكون جاهزًا ، يمكنك أيضًا تنزيل تقرير بتنسيق PDF من هنا. هذا مفيد للمشاركة مع فريقك أو عملائك ، إما كدليل على الأمان أو كخطة عمل حول كيفية تحسين الموقع.
قم بتشغيل موقع WordPress خالي من الثغرات الأمنية
يعد كل إجراء يمكنك اتخاذه لتأمين موقع WordPress الخاص بك أمرًا حيويًا. سواء كان موقعك أو مستخدموك في خطر ، فمن المهم أن تغتنم كل فرصة لتشغيل أكثر إصدار آمن ممكن من البرنامج الذي تستخدمه.
تتمثل إحدى أفضل الطرق للقيام بذلك في استخدام المكون الإضافي WPScan ، وهو مكون إضافي كامل الميزات لفحص الثغرات الأمنية يمكن إعداده في غضون دقائق ويقوم بإجراء عمليات مسح آلية ، لذلك لا داعي للقلق بشأن شيء واحد.