WordPress

Nutzung von WP-CLI zum Scannen von WordPress-Sicherheitslücken

Die Fol­gen von mit Mal­wa­re infi­zier­ten Web­sites kön­nen kata­stro­pha­le Fol­gen haben, wie den Ver­lust von SEO-Ran­kings in der Goog­le-Suche oder wenn Sie ein Busi­ness betrei­ben, ver­lie­ren die Kun­den das Ver­trau­en in Ihre tech­ni­schen Fähig­kei­ten und Kom­pe­ten­zen, so dass sie Ihnen ihr Geld oder ihre Daten nicht mehr anver­trau­en.

Es ist wich­tig, dass Sie nicht gehackt wer­den, wenn Sie eine Web­site haben, die Ihnen und Ihren Besu­chern wich­tig ist.

Sie kön­nen über­prü­fen, ob eine Ihrer Word­Press-Kom­po­nen­ten aktu­el­le bekann­te Sicher­heits­lü­cken auf­weist:

Das ist aller­dings eine manu­el­le Arbeit, und ich mag hier die Auto­ma­ti­sie­rung, wann immer es mög­lich ist und solan­ge dies sinn­voll ist!

Die Leu­te von 10up haben einen WP-CLI-freund­li­chen Schwach­stel­len-Scan­ner ver­öf­fent­licht, der sich mit WP VulnDB ver­bin­det, das auf git­hub ver­füg­bar ist.

WP-CLI-Schwachstellen-Scanner installieren

Mit WP-CLI kön­nen Sie den Schwach­stel­len-Scan­ner aus dem Paket 10up mit fol­gen­dem Befehl instal­lie­ren:

wp package install git@github.com:10up/wp-vulnerability-scanner.git

oder Sie kön­nen ein Plugin instal­lie­ren, das den Befehl WP-CLI vuln akti­viert:

wp plugin install https://github.com/10up/wp-vulnerability-scanner/archive/master.zip --activate

Jetzt kön­nen wir den erfor­der­li­chen API-Schlüs­sel erhal­ten und der Web­site hin­zu­fü­gen, so dass wir auto­ma­tisch nach bekann­ten Sicher­heits­pro­ble­men in den Word­Press-Plug­in‑, The­men- oder Kern­ver­sio­nen suchen kön­nen.

WP-Schwachstellen-Scanner konfigurieren

Holen Sie sich den API-Schlüs­sel zuerst von WP Vuln DB, indem Sie sich hier anmel­den, was für bis zu 50 API-Auf­ru­fe pro Tag kos­ten­los ist.

Ein API-Auf­ruf wird für jedes instal­lier­te Plugin und The­ma (nicht nur für akti­ve!) plus einen Auf­ruf für die Word­Press-Ver­si­on ver­wen­det. Löschen Sie also alle unbe­nutz­ten Plugins, wenn Sie sie nicht mehr benö­ti­gen, da sie auch ein Sicher­heits­ri­si­ko dar­stel­len.

Sobald Sie sich ange­mel­det haben, kön­nen Sie hier Ihren API-Schlüs­sel abru­fen.

Sobald Sie das API-Token kopiert haben, kön­nen Sie es mit der fol­gen­den Syn­tax mit dem WP-CLI-Befehl wp con­fig set hin­zu­fü­gen:

wp config set VULN_API_TOKEN <API-TOKEN>

Scannen der WordPress-Sicherheit mit WP-CLI

Die­ser Befehl führt einen voll­stän­di­gen Scan durch und zeigt Ihnen den Sicher­heits­sta­tus für den Word­Press-Kern, die The­men und Plugins, die der­zeit instal­liert sind:

wp vuln status

Wenn Sie die Plugins scan­nen wol­len, ver­su­chen Sie nur die­sen Befehl:

wp vuln plugin-status

Je nach Ergeb­nis müs­sen Sie nun wei­te­re Schrit­te unter­neh­men. Im ein­fachs­ten Fall sind Sie von der Schwach­stel­le betrof­fen aber noch nicht gehackt. Dann ein­fach das betrof­fe­ne Ele­ment aktua­li­sie­ren oder löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.