您的网站曾经被黑客入侵过吗?我们希望不会!即使损害相对较小,这也可能是一种可怕且昂贵的体验。
不幸的是,被黑客入侵的风险无处不在。在线上有数以百万计的病毒、漏洞利用和其他恶意代码旨在接管您的 WordPress 网站。
但是,有好消息!您可以防止大多数问题并确保您的网站安全。如何?通过频繁运行安全扫描。
虽然它们不会解决所有问题,但它们是一种快速查看您网站的任何潜在问题的简单方法。
在这篇文章中,我们将向您展示如何使用 Wordfence 在您的网站上运行安全扫描,Wordfence是 WordPress最流行的安全插件之一。
我们还将介绍其他 14 种具有类似功能的扫描仪和插件。
让我们开始扫描!目录
为什么要使用扫描仪?
虽然我们不想吓到您太多,但重要的是要意识到网络实际上有多危险。
以下是一些常见的统计数据,可以帮助您了解运行扫描仪的重要性:
现在,让我们讨论一下为什么应该使用安全扫描程序的其他一些原因。
搜索结果
如果您的网站被黑客入侵,谷歌和其他搜索引擎通常会惩罚您并降低您在搜索结果中的排名。在某些情况下,他们可能会将您完全从搜索中删除,直到您修复您的网站。
可以想象,如果您依靠 SEO 来获取流量,这可能是一场灾难!
Chrome、Firefox 和其他浏览器
你可能以前看过上面的图片。就像搜索结果一样,浏览器本身通常会阻止用户访问被黑网站。正如您可以想象的那样,这将杀死几乎所有的流量,因此防止您的网站被黑客入侵非常重要!
查找恶意代码
扫描程序还会在您的网站上找到任何恶意链接或代码。通常,这些通过未经审查的第三方插件或主题到达您的 WordPress 网站。
另一种有问题的问题是“无效主题”,即从非官方来源下载的被黑主题。虽然无效主题是原始付费版本的替代方案,但它们通常充满广告或其他恶意软件。扫描程序通常会确定您是否正在运行无效主题。
查找可疑重定向
同样,任何奇怪的重定向或链接都可能表明有问题。可疑的重定向通常会出现在垃圾邮件站点,或者(更糟糕的是)试图窃取用户信息的网络钓鱼站点。
由于网络钓鱼站点通常伪装成真实站点,因此您的肉眼通常难以察觉细微的差异。
例如,如果您的网站是NewYorkCityShoes.com,钓鱼者可能会使用NewYorkCtyShoes.com。看到不同?如果你不注意,你可能不会注意到。但是扫描仪可以拾取这些细微不同的链接。
在线与直接扫描仪
有两种基本类型的扫描仪:在线扫描仪和“直接”扫描仪。
在线扫描仪只是在面向公众的网站上进行基本搜索的网站。你输入一个域名,按Go,然后得到一些结果。正如您可以想象的那样,它们有时是有限的。
直接扫描仪是您通常通过插件直接上传到您的网站的扫描仪。它们往往成本更高,需要更多时间使用,但会给您带来更好的结果。
扫描仪的限制
虽然扫描仪无疑很有用,但您不应该认为它们是确保您的站点安全的完整安全解决方案。它们都有一些局限性。
让我们在这里介绍其中的一些:
- 用户帐户。仅在线扫描仪无法访问您的用户帐户或其他私人信息。因此,他们无法读取该数据。
- 插件和主题。同样,仅在线扫描程序只能读取您已安装的插件并查看它们是否是最新的。他们看不到代码本身的内部。
- 某些选项仅对付费用户可用。根据插件的不同,许多扫描功能仅对付费用户可用。这通常包括删除任何负面结果。
使用 Wordfence 扫描您的 WordPress 网站
Wordfence是最流行的 WordPress 安全插件。Wordfence 是一种“直接”扫描仪,您可以直接安装在您的网站上,这意味着它没有某些在线扫描仪的限制。
从插件本身,您可以在您的站点上运行扫描。此扫描查找危险代码、后门、恶意 URL 和其他可识别的问题。
然后将结果分为四个安全级别:关键、高、中和低。
让我们来看看使用 Wordfence 在您的网站上进行扫描的过程。
第 1 步:下载、安装和激活插件
Wordfence 有免费和高级版本。您可以在 WordPress 存储库上下载免费版本,或者为他们的高级计划之一付费。对于本教程,我们将坚持使用免费版本。
第 2 步:转到 Wordfence > 扫描
激活插件后,转到 WordPress 侧边栏。单击 Wordfence 下的扫描选项卡。
第 3 步:单击管理扫描
现在您位于“扫描”页面上。这里有很多选项,其中大部分仅适用于高级用户。
现在,单击面板左上角的“管理扫描”链接。
第 4 步:选择扫描类型
在这里,您可以选择要运行的扫描类型。有四种扫描类型:
- 有限扫描:适用于没有大量资源的基本站点。
- 标准扫描:标准选项。推荐用于大多数网站。
- 高灵敏度扫描:如果您认为自己可能被黑客入侵,请使用此扫描类型。
- 自定义扫描:如果您在下面的选项卡中自定义任何内容,这将默认启用。
您还可以通过单击下面的常规选项、性能选项和高级扫描选项选项卡来自定义扫描的其他部分。
现在,我们将坚持使用标准扫描。单击保存更改并返回上一页。
第 5 步:运行扫描
第 6 步:查看结果并采取行动
扫描结束后,您将在页面底部看到所有结果。Wordfence 将涵盖许多不同的内容,包括需要更新的插件或不活动但不安全的主题。
如果单击右侧的详细信息按钮,您可以查看有关每个项目的更多信息。
如果扫描发现任何有问题的文件,您可以通过单击删除所有可删除文件来删除它们。
我们完成了!干得好,您的网站现在很干净。
最好的 WordPress 恶意软件扫描程序
不能(或不想)使用 Wordfence?没问题。让我们看看其他 14 款安全扫描器。
1. Sucuri 现场检查
与 Wordfence 一起,Sucuri是可用于 WordPress 的最流行的安全插件之一。他们的插件具有大量扫描功能,包括黑名单监控、文件完整性监控、恶意软件检测和删除、安全通知以及许多其他功能。
他们还有一个免费的站点扫描工具。尽管它主要是为扫描其他网站而设计的,但它仍然很有用。试试看!
Sucuri 有免费插件和各种付费计划,起价为每年 199 美元。开始使用 Sucuri 站点检查
2.黑客目标
Hacker Target 是一个网站,可以检查您的 WordPress 网站是否有许多不同的安全指标。您输入一个域,然后在几分钟后得到结果。其中包括您是否在黑名单或垃圾邮件列表中、Google 安全浏览对您网站的看法、您安装的插件、您依赖的 Javascript 资源以及您网站上存在哪些用户帐户。
基本扫描是免费的,但您也可以按月付费以获得额外功能。了解有关可用计划的更多信息。
与许多其他在线扫描仪相比,Hacker Target 非常易于使用并提供大量数据。它也运行得相当快,并在几秒钟内为您提供结果。开始使用黑客目标
3.检测
Detectify 是一项付费服务,专为预算较大的网站而设计。最便宜的计划起价约为每月 80 美元,但它包括对您的网站和任何相关应用程序的完整远程扫描。您的网站针对 2,000 多个漏洞进行了测试,这些漏洞每周更新一次。
虽然没有免费选项,但您可以免费试用两周。这可能足以扫描您的网站并删除任何严重错误!开始使用 Detectify
4.安全忍者
Security Ninja 是一个可下载的插件,您可以安装在您的站点上。它运行 50 多项安全测试,其中包括:
- 通过对用户帐户的暴力攻击来测试密码强度
- 文件权限测试
- 如果您已更新到 WordPress 的当前版本
- 如果您的插件是最新的
- 如果 wp-config.php 文件设置了正确的权限
- 数据库密码的强度
插件的下载页面上提供了完整列表。您还可以购买高级计划,让您可以访问防火墙、国家/地区封锁、自动修复程序等额外功能。总的来说,Security Ninja 是一个很棒的免费插件,几乎可以检查所有内容。安全忍者入门
5.奎特拉
Quttera 是一个 WordPress 插件,您可以下载并安装在您的网站上。它扫描大量不同的潜在漏洞,包括恶意软件、特洛伊木马、后门、蠕虫、病毒和其他漏洞。
由于它是您直接安装在自己网站上的插件,因此它还具有两个额外的好处:其一,它能够在您的网站上进行更深入的搜索,这意味着更有可能发现任何问题。第二,一旦发现问题,Quttera 可以帮助您消除它们。
Quttera 的插件版本是完全免费的,但您也可以为他们的高级计划之一付费以获得额外功能。开始使用 Quttera
6. GeekFlare
GeekFlare 是一个完全免费的在线工具,可以远程扫描您的网站。它会告诉您您已安装的插件、您的管理员登录页面是否暴露、您的网站是否容易受到攻击、您的主题是否运行最新版本以及您是否使用 HTTPS。
总而言之,它是快速检查许多不同安全指标的好工具。开始使用 GeekFlare
7. WPSec
顾名思义,WPSec 是一种在线扫描仪,旨在搜索 WordPress 网站的安全问题。它是免费使用的,会给你一些基本的结果。但是,如果您想查看更详细的报告,则需要注册他们的电子邮件通讯。开始使用 WPSec
8. URL无效
这个在线工具检查您网站的声誉。它通过搜索 34 个不同的垃圾邮件发送者、网络钓鱼者和其他恶意行为者的黑名单来做到这一点。您也可以直接使用他们的 IPVoid 工具尝试 IP 地址。它完全免费使用。
请注意,您的扫描数据将发送给安全公司。开始使用 URLVoid
9.扫描网址
ScanURL 是一个免费的在线工具,可让您检查 URL 以获取网络钓鱼、恶意软件和病毒的报告。虽然它旨在检查其他网站而不是您自己的网站,但它仍然有助于查看您的网站是否有您不知道的不良声誉。如上所述,平均而言,站点的网站管理员检测到违规需要将近 300 天。知道了这一点,尝试 ScanURL 并不是一个坏主意。
ScanURL 完全免费使用。开始使用 ScanURL
10.病毒总数
VirusTotal 是针对安全专业人员的在线工具。它可以让您分析可疑文件或 URL 中的恶意软件,然后自动与安全社区共享它们。它会针对十几个恶意软件和垃圾邮件数据库扫描您的网站。VirusTotal 完全免费使用。
请注意,提交您的站点后,扫描结果将被发送到 VirusTotal 用于研究目的。开始使用 VirusTotal
11.渗透测试工具
Pentest-Tools.com 是一个网站,其中包含不同的渗透测试方式(渗透测试的缩写)您的网站。一切都直接在网站上完成。更高级的工具不是免费的,但基本的工具仍然有用。
网站漏洞工具就是这些基本的免费选项。
虽然您需要付费才能使用全扫描,但轻扫描也很有用。它检测过时的服务器软件、不安全的 HTTP 标头、错误配置的 cookie 设置、robots.txt 文件的分析等等。开始使用 Pentest 工具
12.谷歌透明度报告/谷歌安全浏览
Google 安全浏览工具是检查 Google 对您网站的看法的简便方法。由于 Google 是全球主要的搜索引擎,因此请务必注意他们是否认为您的网站不安全。该工具本身是在线的,完全免费使用。
由于数据基于他们的网络爬虫,而不是在您运行该工具时收集,因此您的网站可能不会被列出。无论哪种方式,它都是一种快速、轻松的工具,可以让您了解 Google 认为您的网站有多安全。开始使用 Google 安全浏览
13. WP扫描
WPScan 是一个 CLI(命令行界面)工具,用于测试 WordPress 网站的安全性。它使用包含超过 22,000 个已知 WordPress 漏洞的数据库,并检查插件、主题、弱密码用户名、可公开访问的数据库和其他常见漏洞。
如果您不熟悉 CLI 的使用,请阅读本指南。虽然看起来很复杂,但一旦掌握了基础知识,它实际上就很简单了。开始使用 WPScan
14.诺顿安全网络
Norton 是一家为 Windows、Linux 和 Mac OSX 制作流行的防病毒软件包的公司。除此之外,在他们的网站上,他们还有一个简单的工具来检查网站是否安全。它将网站分为四类:OK、Issue、Not Safe和Inaccessible。您的网站应该被分析为正常。开始使用 Norton Safe Web
结论
如果您没有在您的网站上运行安全扫描,我们希望您现在就可以!
保持网站安全的重要性怎么强调都不为过。它对您的读者、您的流量、您的声誉以及如果您销售产品,您的收入有直接影响。
请务必定期使用上述工具之一,以确保您的网站上没有任何隐藏的恶意软件或木马。如果您不确定哪个是最好的,请使用Wordfence:它是世界上最流行的WordPress 安全扫描插件。
