WPVulnerability for WordPress

Раньше меня обжигали устаревшие плагины и забытые обновления, поэтому я устал гадать, что может быть раскрыто. Когда я нашел WPVulnerability для WordPress, у меня возникло ощущение, будто кто-то наконец вручил мне фонарик, чтобы просканировать темные уголки моего сайта. Никакой ерунды, просто прямые оповещения об уязвимостях в основных файлах, темах и даже версиях PHP или Apache. Он тихо работает в фоновом режиме и пингует меня, когда что-то не так, например, когда в моей старой версии WooCommerce был известный эксплойт.

Хорошие вещи

Что действительно поразило, так это то, как быстро он обнаружил устаревший плагин, о котором я совершенно забыл. Он появился на панели управления с красным флажком и ссылкой на детали CVE. Такая ясность? Огромный. Еще мне понравилось, что он не собирает никаких данных — ни отслеживания, ни загрузок, ничего. Просто сканируйте ваш сайт локально и отправляйте отчеты. А если вы используете CLI, он работает с командами WP-CLI, что упрощает автоматизацию проверок. Часть REST API является нишевой, но удобна, если вы создаете собственные сценарии мониторинга.

Не очень хорошо

Это точно не для новичков. Если вам неудобно читать отчеты об уязвимостях или понимать, что означает риск «обхода каталога», это может показаться ошеломляющим. Встроенных исправлений нет, только предупреждения. Вам придется вручную обновлять или исправлять что-то. Кроме того, не указано ни официальное имя разработчика, ни информация о лицензии, что вызывает удивление. Это не критично, но стоит отметить, если вы параноиком относитесь к отрывочным плагинам. А поскольку в каталоге плагинов нет ни загрузок, ни оценок, сложно оценить реальное использование. Тем не менее, он требует мало ресурсов и совершенно не замедляет работу моего сайта.

Итог

Если у вас есть сайт WordPress и вам нужен бесплатный, ориентированный на конфиденциальность способ проверки вашей безопасности без раздувания, WPVulnerability для WordPress — это надежный вариант. Он ничего за вас не исправит, но точно подскажет, что требует внимания. Разработчикам и администраторам, которые хотят опережать угрозы, стоит скачать эту программу. Только не ждите, что вас будут держать за руку. И да, это бесплатно — так почему бы не попробовать?