WPScan no es un herramienta que trata de identificar malware en tu sitio de Wordpress.
WPScan es un herramienta que permite identificar cuales son las vulnerabilidades que tu sitio tiene y poder arreglar cualquiera de los problemas de seguridad que este tenga.
Este sitio te ayuda a ver lo que un hacker querría ver si tu sitio es un objetivo.
Tabla de Contenidos
WPScan: Aplicación Web
WPScan es un servicio pero tiene un plan gratuito que puedes usar para probar la herramienta.
El Sitio te ayuda a:
- Detectar la versión de Wordpress para ver si tiene vulnerabilidades.
- Detectar los plugins de Wordpress y determinar si tienen una vulnerabilidad conocida.
- Detecta el tema y determina si la versión de este tiene una vulnerabilidad conocida.
- Detecta si los credenciales de tu sitio coinciden con los usados por los hackers en ataques de fuerza bruta.
- Detecta los nombres de usuarios que están disponible en el sitio.
En la versión gratuita sólo puedes agregar un sitio y hacer un escaneo por mes.
Este fue el resultado que obtuve con la herramienta:

Porsupuesto que los plugins, temas y wordpress se encuentra actualizado ya que un sitio sencillo raramente encuentra problemas cuando se aplican las actualizaciones.
Yo tengo algo de seguridad por medio de CloudFlare y Reglas en el archivo .htaccess por lo que el escaner solo detectó los plugins que son visibles.
Si deseas estar al tanto de las vulnerabilidad de plugins, temas y Wordpress, puedes hacerlo en esta dirección.
El Plugin WPScan
WPScan cuenta con un plugin que te permite encontrar vulnerabilidades en plugins, temas y Wordpress.
El plugin se encuentra en el repositorio de Wordpress y requiere una cuenta de WPScan Vulnerability Database para funcionar.
Puedes crear una cuenta y escoger el plan gratuito Una vez creada la cuenta, puedes ir al Perfil y copiar le token donde lo solicita el plugin.

Una vez que agregar el token, el plugin comienza a escanear y arroja maś resultados.
En esta ocasión detalla otros plugin usados en el sitio.

Opiniones
Este un servicio y plugin que es para quienes:
- Usan versiones desactualizadas de un plugin, temas y wordpress.
- Tienen desactivadas las actualizaciones
- No implementan reglas de Firewall en su sitios.
Una personas con una implementación básica de seguridad, probablemente salga librado de las vulnerabilidades del dia cero.