WPScan este un instrument gratuit, pentru uz necomercial, util pentru scanarea vulnerabilităților website-urilor construite pe platforma WordPress. A fost conceput pentru testarea securității acestor site-uri.
Pe lângă testarea securității, WPScan este folositor și la aflarea temei sau pluginurilor folosite de un anumit site construit în WordPress - sunt convinși că nu o singură dată ați fost curioși să aflați ce template sau extensie utilizează un anumit website.
Dacă aceste ultime lucruri (template și/sau pluginuri) puteau fi aflate și vizualizând sursa paginii, testarea securității era mai dificil de realizat.
Instalare WPScan
Cerințe preliminare
Înainte de a instala WPScan, este necesar să avem în sistem următoarele:
- Ruby și ruby-devel - cel puțin versiunea 2.3 (recomandat ultima versiune);
- Curl - cel puțin versiunea 7.21 (recomandat ultima versiune)
- RubyGems - recomandat ultima versiune
Pentru a afla versiunea unui anumit pachet în Fedora sau distribuțiile surori provenite din Red Hat, dați comanda yum/dnf info nume_pachet.
Bineînțeles, este necesară și instalarea pachetelor de dezvoltare, precum și a pachetului redhat-rpm-config, pachet care lipsește în Fedora. De asemenea, la instalarea WPScan, e posibil să mai primiți notificări că lipsesc pachetele zlib și zlib-devel - instalați-le și pe acestea.
- În Fedora:
sudo dnf groupinstall "Development Tools" && sudo dnf install redhat-rpm-config
- În Red Hat/CentOS:
sudo yum groupinstall "Development Tools"
Cea mai simplă modalitate de instalare este din RubyGems:
sudo gem install wpscan
Alte modalități de instalare găsiți pe pagina de pe github a proiectului sau aici.
Folosire WPScan
Cea mai simplă formă în care poate fi scanat un site WordPres esteȘ
wpscan --url adresă_website
Pentru mai multe informații despre cum se folosește WPScan, rulați:
wpscan --help
Foarte bun și pentru atacurile de tip brute force.
Asta rămâne de studiat pentru acasă. 🙂