Przejdź do treści

Przygotowanie środowiska#

Do wykonania oceny podatności możesz wykorzystać:

  • Wordfence
  • Jetpack Protect
  • WPScan

Poniżej znajdziesz instrukcje dla każdego z nich polecam Ci jednak zacząć od Wordfence.

Wordfence#

Instalacja#

Info

Jest to ten sam plugin wskazany w instrukcji Uwierzytelnianie dwuskładnikowe w WordPress Jeżeli masz już zainstalowany plugin “Wordfence Security – Firewall, Malware Scan, and Login Security” przejdź do kolejnego kroku Skanowanie.

  1. Zaloguj się do panelu administracyjnego WordPress.
  2. Przejdź do sekcji Wtyczki.
  3. Kliknij w przycisk Dodaj nową.
  4. Wyszukaj wtyczki o nazwie Wordfence Security – Firewall, Malware Scan, and Login Security
  5. Kliknij w przycisk Zainstaluj teraz (lub Zainstaluj, w zależności od wersji WordPress’a z którego korzystasz).
  6. Kliknij przycisk Aktywuj (lub Włącz, w zależności od wersji WordPress’a z którego korzystasz).

  7. Zobaczysz poniższy komunika. Kliknij w przycisk Zdobądź Twoją licencję Wordfence.

  8. Wybierz opcję Wordfence Free i kliknij w przycisk Get a Free License.

  9. Potwierdź klikając w przycisk - I'm OK waiting 30 days for protection from new threats.
  10. Podaj swój adres e-mail.
  11. Pod pytaniem “Would you like WordPress security and vulnerability alerts sent to you via email?” zaznacz opcję ”Yes”.
  12. Potwierdź przeczytanie licencji zaznaczając checkbox.
  13. Kliknij w przycisk Register.
  14. Po kilku sekundach powinieneś otrzymać e-mail z adresu no-reply@wordfence.com
  15. Otwórz go i kliknij w przycisk Install My License Automatically.
  16. Powinieneś zostać przekierowany do panelu administracyjnego WordPress Twojej strony.
  17. W oknie Instaluj Wordfence powinieneś zobaczyć automatycznie uzupełnione pola E-mail oraz Klucz licencyjny (powinien to być ten sam klucz, który otrzymałeś na podany adres e-mail.
  18. Kliknij w przycisk Instaluj licencję. Po chwili zobaczysz komunikat: “Zainstalowana licencja bezpłatna. Gratulacje! Bezpłatna wersja Wordfence jest włączona na twojej stronie
  19. Kliknij w przycisk Idź do kokpitu.
  20. Podczas pierwszego uruchomienia zostanie przedstawiony Ci interfejs.

Jetpack Protect#

Jetpack Protect (https://jetpack.com/protect/) to narzędzie, które pozwoli Ci wykryć podatności w Twojej wersji WordPress’a, pluginach i motywach, które masz zainstalowane.

Info

Wymagana wersja WordPressa: 6.3 lub nowsza

Instalacja#

  1. Zaloguj się do panelu administracyjnego WordPress.
  2. Przejdź do sekcji Wtyczki.
  3. Kliknij w przycisk Dodaj nową.
  4. Wyszukaj wtyczki o nazwie Jetpack Protect.
  5. Kliknij w przycisk Zainstaluj. Zaczekaj aż proces instalacji dobiegnie końca.
  6. Kliknij w przycisk Włącz.
  7. Kliknij w przycisk Start for free.
  8. Następnie zobaczysz komunikat Scanning your site…
  9. Po zakończeniu skanu zobaczysz podsumowanie informacji o podatnościach, które znajdują się na Twojej stronie.

WPScan#

Uwaga

Tylko do użytku niekomercyjnego!

WPScan (https://wpscan.com) to narzędzie, które pozwoli Ci wykryć podatności w Twojej wersji WordPress’a, pluginach i motywach, które masz zainstalowane.

Info

Darmowy plan pozwala na wykonanie 25 wywołań API dziennie. Wykonywane jest jedno wywołanie API dla wersji WordPress, jedno wywołanie dla każdej zainstalowanej wtyczki i jedno dla każdego motywu. Domyślnie wykonywane jest jedno skanowanie dziennie. Powinno Ci to w zupełności wystarczyć do wykrycia podatności na Twojej stronie.

Rejestracja#

  1. Przejdź do strony https://wpscan.com/#solutions
  2. Kliknij w przycisk Start for free widoczny w opcji Researcher.
  3. Zarejestruj się.
  4. Potwierdź podany adres e-mail, powinieneś otrzymać na niego wiadomość z adresu security@wpscan.com
  5. Przejdź do https://wpscan.com/
  6. Kliknij w przycisk Login w prawym górnym rogu.
  7. Zaloguj się na nowo utworzone konto.
  8. Po zalogowaniu zobaczysz stronę z Twoim API Token.

Konfiguracja#

  1. Zaloguj się do panelu administracyjnego WordPress.
  2. Przejdź do sekcji Wtyczki.
  3. Kliknij w przycisk Dodaj nową.
  4. Wyszukaj wtyczki o nazwie WPScan
  5. Kliknij w przycisk Zainstaluj teraz.
  6. Kliknij w przycisk Aktywuj.

  7. Zobaczysz poniższy komunikat. Kliknij w podświetlony napis Settings, lub przejdź do sekcji WPScan > Settings.

  8. W polu WPScan API Token wpisz API Token z aplikacji WPScan.

  9. Kliknij w przycisk Zapisz zmiany.

    Info

    Domyślna częstotliwość wykonywanych skanów to skany codzienne.

  10. Ustaw odpowiednią dla siebie godzinę, o której ma zostać wykonany skan.

Powiadomienia#

  1. Zaloguj się do panelu administracyjnego WordPress.
  2. Przejdź do sekcji WPScan > Report.

  3. Skonfiguruj codzienne powiadomienia o wykrytych podatnościach w sekcji Notification znajdującej się po prawej stronie okna. Podaj adres e-mail, na który chcesz otrzymywać powiadomienia. Kliknij w przycisk Zapisz zmiany.

  4. E-mail z wynikami skanu otrzymasz bezpośrednio po wykonaniu automatycznego skanu, który skonfigurowałeś wcześniej.