9 WordPress扫描器以查找安全漏洞

你的WordPress网站安全吗？在有人滥用之前，找出网站中的漏洞并修复它们。

SUCURI最新的研究显示，90%的扫描过的WP网站感染了一个或多个漏洞。

有许多online scanners可以检查常见的Web漏洞，但这可能不足以防止由WordPress核心、插件、主题或配置错误引起的安全风险。

为此，您需要一个专业的安全扫描工具，不仅可以检测常见的漏洞，还可以检测特定的WordPress漏洞。

下面的扫描器可以帮助您审核您的网站，并告知您安全风险。因此，您可以采取必要的措施来防止被黑客攻击。

SUCURI

SiteCheck可以快速查看网站是否被列入黑名单、感染已知的恶意软件或使用过时的软件堆栈。

您还可以安装他们的plugin，以通过WordPress管理面板启动扫描。

如果您不仅仅寻求一次性的保护和性能，那么我推荐您了解一下SUCURI的服务。他们的流行WAF是一体两用的。您将获得全球CDN和基于云的Web应用防火墙，以保护免受DDoS、OWASP前10名等攻击。

Intruder

Intruder是一个功能强大的漏洞扫描工具，可以连续全面地检查您整个网站及其基础设施的弱点。这包括检查未加密的管理员服务、暴露的数据库、Web层安全问题（如SQL注入和跨站脚本）以及其他安全问题。

它甚至会在SSL或TLS证书即将到期时向您发出警报，帮助您维护安全并避免停机。

除了扫描服务器、云系统、网站和终端设备外，Intruder还适用于由WordPress、Drupal、Joomla和SharePoint维护的站点。它具有多种集成，如Jira、Slack、GitHub等，可帮助加快问题检测和修复。

您可以免费试用一下Intruder。

Hacker Target

由Hacker Target进行的WordPress检查会测试易受攻击的插件（1800+）、过时的WordPress版本、Web服务器配置和以下内容。

• 谷歌安全浏览测试
• 目录索引
• 管理员帐户状态（启用/禁用）
• iFrames
• 托管提供商声誉
• 链接的JavaScript
• 易受攻击的主题（2600+）
• 基本级的暴力破解

Hacker Target会从URL下载几个页面，并检查HTTP header和HTML代码。

Detectify

Detectify是一个企业级的漏洞扫描工具，可以测试500多个漏洞，包括OWASP前10名和WordPress的特定漏洞。

如果您在WordPress上运行企业级业务，并且正在寻找完整的漏洞扫描工具，那么Detectify将是一个不错的选择。他们提供14天的试用期，所以可以探索一下他们的平台，看看是否适合您。

WPSEC

WPSEC利用WPScan漏洞数据库来比较版本，并报告是否发现任何有漏洞的核心、插件或主题。

WPScan涵盖了超过18000个漏洞数据库。如果您想在服务器/个人电脑上使用WPScan，那么您可以了解一下如何安装和使用它。

Security Ninja

Ninja security是一个插件，因此测试是从WordPress管理面板内部进行的。它可以通过一次点击检查50多个指标，并提供详细的报告，包括测试名称、状态、修复方法和结果。

扫描我的网站只需要不到2分钟，就得到了一个覆盖了最新版本、数据库连接曝光、SSL连接等内容的优秀报告。

Pentest-Tools

WordPress漏洞扫描工具 Pentest-Tools 利用了WPScan，并提供了将报告以PDF格式下载的选项。Sample report here。

它枚举了插件、主题、用户，并指纹识别了WordPress版本。

WP Neuron

WP Neuron 工具可以扫描WordPress核心文件、插件、库中的漏洞。它还可以枚举弱密码以测试暴力攻击，并扫描所有代码以确保没有脚本暴露给在线威胁。

Quttera

Quttera plugin 可以扫描您的WordPress网站以查找已知和未知的恶意软件和可疑活动。您可以从WordPress管理面板发起扫描，并且它会向Quttera发出HTTP请求以进行扫描并获取结果。

除了恶意软件查找之外，它还执行以下操作。

• 检查URL是否被列入黑名单
• 没有签名或模式检测
• 检测注入的PHP shell
• 检测外部链接
• 调查WordPress核心文件

结论

希望以上的WordPress扫描工具能帮助您找到在线威胁，以便您可以防止被入侵。如果发现您的网站被黑客入侵或存在恶意代码，并且不确定如何修复，请尝试从 SUCURI 寻求专业帮助。