11個線上檢測惡意軟件和漏洞的 WordPress安全掃描

默者
0

如果你懷疑自己的網站可能被駭客攻擊,那麼快速的WordPress安全掃描可能是一個很好的工具。在本文中介紹了一些WordPress安全掃描程序,它們可以幫助你快速進行安全檢查。

不過請注意,透過這些安全掃描,若沒有找到任何問題,並不代表網站就沒被入侵。 因為它們無法在您的WordPress數據庫、用戶帳戶、WordPress設置、外掛上進行測試。

目錄 隱藏
1 檢測工具介紹
1.1 01.Sucuri SiteCheck
1.2 02.Google安全瀏覽
1.3 03.WordPress Vulnerability Scanner – WPScan
1.4 04.WPScans
1.5 05.wploop.com
1.6 06.hackertarget.com
1.7 07.wprecon
1.8 08.Quttera
1.9 09.Web Inspector
1.10 10.UpGuard Cloud Scanner
1.11 11.VirusTotal
2 結論

檢測工具介紹

在下列的工具中,主要可以分成兩大類:一種是檢測網站的安全性設定上是否有可以改進的地方;另一種則是檢測網站是否有中毒被駭的跡象。

01.Sucuri SiteCheck

SiteCheck 線上掃描工具
WordPress安全掃描 SiteCheck 線上掃描工具

Sucuri是一間提供企業資安解決方案的專業公司,它提供防火牆、病毒掃描等服務,但需要付費。
Sucuri 同時也提供免費的 SiteCheck線上掃描工具。 這個掃描工具會對你輸入的網址進行網站健檢,以搜尋惡意代碼,垃圾郵件注入,網站毀損等。

它會提示網站是否有舊版本未更新或是https網域下出現http的網址 HTTPS mixed content 。

它還會檢查你的網站上的多個域名黑名單工具,包括Google安全瀏覽。Sucuri的SiteCheck工具不僅掃描您輸入的URL,還會抓取與其鏈接的其他頁面,以提供徹底和快速的掃描。

使用摘要:這是主要針對Wordpress為掃描對象所設計的安全檢查,檢查有實用價值。掃描結果比較特別的是針對http headers的掃描建議。

02.Google安全瀏覽

Google安全瀏覽
Google安全瀏覽

Google的安全瀏覽工具可讓您查看Google是否標記了不安全的網址。Google監控數十億個網址,如果他們懷疑網站正在分發惡意軟件,那麼他們會將其標記為不安全。

相對來說,Google的安全瀏覽只是用來確認自己的網站是否有被記入黑名單。當你的網站被Google記入黑名單時,那通常代表你的網站幾乎可以確定已經被駭,Google通常會在搜尋結果加入警告,甚至點入你的網址前,會出現有名的紅色警告頁。
google警告網站中毒的畫面
google警告網站中毒的畫面

03.WordPress Vulnerability Scanner – WPScan

一家專業的資安公司所提供的線上掃描工具。需要付費,但依照提供的掃描結果來評估,這是相對專業的掃描分析,針對常見的漏洞會提出警示,依照風險高低以顏色區別標明。比較專業的是它會針對各種駭客常見手法來進行測試掃描。

該網站還為高級用戶提供了其他幾種掃描工具,可用於檢測安全性受損的網站。

不過這些掃描結果有些可能需要專業的程式設計師才能理解並解決,若一般初學者可以略過;若你的 WordPress 提供電子商務,且有專業設計師,可以付費掃描,這套工具相較於其他免費掃描,作了更深一層的掃描建議。
WordPress安全掃描 WPScan掃描結果
WordPress安全掃描 WPScan掃描結果

04.WPScans

WordPress安全掃描 WPScans
WordPress安全掃描 WPScans

依照 WPScans 所宣稱,這套掃描工具使用自行開發的智能掃描算法來檢查網站,掃描是根據在WPScan漏洞資料庫中收錄的已知漏洞,該資料庫包含超過4000個報告列出的漏洞。這套系統也會辨識安裝運作的外掛,並將其版本與資料庫進行比較。此外, WPScans 還會掃描人們在設置WordPress安裝時遇到的一些眾所周知的錯誤。

它還會嘗試檢測您的WordPress版本,已安裝的插件和robots.txt文件。掃描結束後,結果以易於理解的格式顯示,並附上簡單說明。

掃描後會簡單提示一些問題,詳細報告則必須要進一步註冊以進入它所提供的介面付費升級。若你不想付費,則不需要額外註冊。這套系統缺點是說明較為簡略,且掃描後提示的問題外掛漏洞可能是很久以前的漏洞,若你已經有更新,就不需要在意。

05.wploop.com

WordPress安全掃描 wploop
WordPress安全掃描 wploop

這套工具檢查你的網站是否有WordPress版本標記、readme.html、headers內是否包含PHP版本信息、用戶名列表、登錄失敗是不是會提供多餘訊息、install.php與
upgrade.php 文件是否可以瀏覽,upload資料夾是否可瀏覽、頁面中是否存在EditURI鏈接、是否存在Windows Live Writer鏈接以及控制台是否使用https等基本問題。

這套工具有點類似一個檢查清單,針對常見的幾個設定掃描,實用上檢查項目比較簡單,若你已經安裝安全外掛且做了妥善設定,應該可以輕易通過。

06.hackertarget.com

WordPress安全掃描 WordPress Security Scan
WordPress安全掃描 WordPress Security Scan

WordPress Security Scan 這個掃描工具會檢測您的WordPress版本、外掛、用戶名、佈景主題等項目。它還會檢查您的網站上的Google安全瀏覽索引,以確保它未被列入黑名單。同時掃描目錄索引、佈景主題路徑、外部鏈接,iframe和JavaScripts等。

這家掃描工具將所有載入的js與css都一一列出並標明存放位置,這是比較特別的地方。

不過這個掃描工具與下一個工具的掃描結果相仿,有可能是同一家掃描引擎。

07.wprecon

WordPress安全掃描 Reconnaissance & Security Testing for WordPress
WordPress安全掃描 Reconnaissance & Security Testing for WordPress

wprecon是一個基本的WordPress漏洞掃描工具。它會檢測WordPress版本以查看是否需要更新,檢查Google安全瀏覽索引,然後嘗試檢測已安裝的WordPress插件。

它還掃描目錄索引、佈景主題路徑、外部鏈接,iframe和JavaScripts等。

我實際掃描後,結果所顯示的Wordpress版本與我實際安裝的版本並不相符,其他項目也較為簡略,提供參考。

08.Quttera

WordPress安全掃描 Quttera
WordPress安全掃描 Quttera

Quttera會在您的網站上進行深入測試,以搜索可疑文件、惡意代碼、iframe嵌入、重定向和外部鏈接。

它還會在列入黑名單的域名數據庫中檢查您的域名,包括Google安全瀏覽,惡意軟件域列表,PhishTank等。詳細報告分為不同部分,您可以點擊每個項目以查看掃描狀態。

這款線上掃描工具可以檢測網站是否有被駭客入侵的跡象,實務上可以用來作為安全掃描,是值得推薦的工具。

09.Web Inspector

WordPress安全掃描 Web Inspector
WordPress安全掃描 Web Inspector

Web Inspector的線上網站安全掃描程序是一個可用於測試WordPress網站的有用工具。

Web inspector 是美國公司 Comodo CA 所成立的。除了提供免費的線上偵測服務之外,也有提供付費服務(例如大量網域的檢查與偵測,免費版只能單一網域),它可以檢查網站是否為黑名單(Blacklist Checking)、釣魚攻擊(Phishing)、惡意軟體(Malware Downloads)、驅動下載攻擊(Drive-by-Downloads)、蠕蟲攻擊(Worms)、後門(Backdoors)、特洛伊病毒(Trojans)、啟發式病毒(Heuristic Viruses) 以及其它可疑程式或活動。

這套工具主要是用來掃描網站是否有中毒的跡象,你可以用它來看看網站是否有被入侵並留下危險的程式碼。但若你仍外進行 WordPress 網站安全設定,請勿理解為你的網站是安全的,你仍然應該要盡快進行 WordPress 的安全設定。

10.UpGuard Cloud Scanner

WordPress安全掃描 UpGuard Cloud Scanner
WordPress安全掃描 UpGuard Cloud Scanner

UpGuard Cloud Scanner是一個用於掃描網站並且給予數據化評分的線上工具。它並非僅以Wordpress特定系統來分析,而是以一般網站安全的角度來評分。這套工具會檢查你的網域的記錄、DNS、開放埠和郵件設置。透過網域和伺服器的駭客攻擊可能會劫持你的域名或濫用域名來發送垃圾郵件或惡意軟件。

它會查找已知的惡意代碼,惡意軟件模式,可疑鏈接和網絡釣魚嘗試。掃描結果以易於理解的格式顯示。

對於有意不斷改進網站安全的朋友,這是一項可以參考的工具。以我自己的實務經驗來看,網站的安全牽涉廣泛,即使專家也可以能有忽略的區塊,因此不斷地改進自己的網站安全,不僅能加深經驗,也能實質上幫助網站能夠擁有更安全的防禦。因此這套工具值得進一步參考,並用來改善 WordPress網站安全。

11.VirusTotal

WordPress安全掃描 VirusTotal

WordPress安全掃描 VirusTotal

VirusTotal是一種快速掃描URL以查找安全漏洞和惡意軟件的方法。它會在數十個惡意軟件數據庫中檢查您的網站網址,並提供詳細的報告。它還會掃描網站標題中的重定向和可疑代碼。
WordPress安全掃描 VirusTotal
WordPress安全掃描 VirusTotal 掃描結果

結論

以上線上檢測工具是我一一使用,並且確認能正常運作,提供有意進行 WordPress安全掃描的朋友。市場上大部分網路資安公司對於網站的安全檢測大致上分為:網站弱點掃描、網站病毒掃描等等。前者是分析常見的幾種駭客手法,透過建立測試模擬的腳本,實際上就是模仿駭客的方式,對網站整個進行掃描。而後者則是掃描是否網站有出現可疑的程式碼,來判斷是否中毒或被植入後門等。

在 WordPress 的實用上,由於這些牽涉到很專業的程式技能,因此並不適合一般企業或部落客等使用,在本文中介紹的免費工具大多屬於較為簡單的掃描檢測,特別是針對 WordPress 的環境,如果你安裝了一些安全性外掛,並且做好適當的設定,通常能取得不錯的分數與掃描結果。

發佈留言