WPSCAN - Pemindai Kerentanan Kotak Hitam WordPRS
- 1517
- 424
- Simon Cormier
WordPress ada di seluruh web; Ini adalah sistem manajemen konten yang paling populer dan paling digunakan (CMS) di luar sana. Apakah situs web atau blog Anda didukung oleh WordPress? Tahukah Anda bahwa peretas jahat selalu menyerang situs WordPress setiap menit? Jika tidak, sekarang Anda tahu.
Langkah pertama menuju mengamankan situs web atau blog Anda adalah melakukan penilaian kerentanan. Ini hanyalah operasi untuk mengidentifikasi celah keamanan umum (diketahui publik), di dalam situs Anda atau arsitektur yang mendasarinya.
Baca juga: Wpseku - pemindai kerentanan untuk menemukan masalah keamanan di wordpress
Di artikel ini, kami akan menunjukkan kepada Anda cara menginstal dan menggunakan Wpscan, Pemindai gratis yang dibuat untuk para profesional keamanan dan pengelola situs web untuk menguji keamanan situs web mereka.
Cara menginstal wpscan di sistem linux
Cara yang disarankan untuk menginstal dan berjalan Wpscan adalah menggunakan gambar Docker resmi, ini akan membantu Anda menghilangkan masalah instalasi (biasanya masalah ketergantungan).
Anda harus menginstal dan menjalankan Docker pada sistem Anda, jika tidak, mulai dengan menginstalnya menggunakan yang berikut, yang akan menggunakan program CURL untuk mengunduh dan menjalankan skrip shell yang akan menambahkan repositori Docker ke sistem Anda dan menginstal paket yang diperlukan.
$ sudo curl -fssl https: // get.buruh pelabuhan.com | SH
Sekali Buruh pelabuhan berhasil diinstal, mulai layanan, aktifkan untuk memulai secara otomatis pada waktu boot sistem dan periksa apakah sudah berjalan dan berjalan sebagai berikut.
# sudo systemctl start docker # sudo systemctl aktifkan docker # sudo systemctl status docker
Selanjutnya, tarik WPSCan Docker gambar menggunakan perintah berikut.
$ docker pull wpscanteam/wpscan
Unduh WPSCan Docker Image Sekali WPSCan Docker gambar diunduh, Anda dapat mendaftarkan gambar Docker di sistem Anda menggunakan perintah berikut.
$ Docker Images
Daftar gambar Docker Melihat output dari screesnhot berikut, gambar repositori wpscan adalah wpscanteam/wpscan yang akan Anda gunakan di bagian berikutnya.
Cara melakukan pemindaian kerentanan wordpress menggunakan wpscan
Cara paling sederhana untuk melakukan pemindaian kerentanan menggunakan Wpscan adalah untuk menyediakan URL situs web WordPress Anda seperti yang ditunjukkan (ganti www.contoh.com dengan url situs Anda).
$ docker menjalankan wpscanteam/wpscan --url www.contoh.com
Wpscan akan mencoba menemukan header http yang menarik seperti Server (Jenis dan versi server web) dan X-Powered-by (Versi PHP); Ini juga akan mencari API yang terbuka, tautan umpan RSS dan pengguna.
Maka akan terus menghitung versi WordPress dan memeriksa apakah sudah mutakhir atau apakah ada kerentanan yang terkait dengan nomor versi yang terdeteksi. Selain itu, ia akan mencoba mendeteksi tema serta plugin yang diinstal untuk menemukannya mereka terbaru.
Pindai WordPress untuk kerentanan Anda dapat melakukan force brute kata sandi wordlist pada pengguna yang disebutkan 30 Thread menggunakan perintah followin. Itu --Daftar kata Dan --utas Bendera untuk menentukan wordlist dan mengatur jumlah utas secara reseptif.
$ docker menjalankan wpscanteam/wpscan --url www.contoh.com --wordlist wordlist_file.txt -threads 30
Untuk melaksanakan kata sandi wordlist brute force di "Admin" hanya nama pengguna, jalankan perintah berikut.
$ docker menjalankan wpscanteam/wpscan --url www.contoh.com --wordlist wordlist_file.TXT --Susername Admin
Atau, Anda dapat memasang daftar kata lokal pada sistem Anda ke wadah Docker dan memulai serangan bruteforce untuk admin pengguna.
$ docker run -it --rm -v ~/wordlists:/wordlist wpscanteam/wpscan --url www.contoh.com --wordlist /wordlists /wordlist_file.TXT --Susername Admin
Untuk menyebutkan plugin yang diinstal, jalankan perintah berikut.
$ docker menjalankan wpscanteam/wpscan --url www.contoh.com --senumerate p
Jika penghitungan plugin yang diinstal tidak cukup, Anda dapat menjalankan semua alat enumerasi seperti yang ditunjukkan.
$ docker menjalankan wpscanteam/wpscan --url www.contoh.com --senumerate
Untuk mengaktifkan output debugging, gunakan --debug-ouput bendera, dan arahkan ulang output ke dalam file untuk analisis selanjutnya.
$ docker menjalankan wpscanteam/wpscan --url www.contoh.com --debug-output 2> debug.catatan
Terakhir, Anda dapat memperbarui database WPSCAN ke versi terbaru dengan mengeksekusi perintah berikut.
$ docker menjalankan wpscanteam/wpscan -update
Anda dapat melihat Buruh pelabuhan Dan Wpscan membantu pesan dengan perintah ini.
$ docker -h $ docker menjalankan wpscanteam/wpscan -h
Repositori WPSCan GitHub: https: // github.com/wpscanteam/wpscan
Itu saja untuk saat ini! Wpscan adalah pemindai kerentanan WordPress Box WordPress yang kuat yang harus Anda miliki di gudang alat keamanan web Anda. Dalam panduan ini, kami menunjukkan cara menginstal dan menggunakan wpscan dengan beberapa contoh dasar. Ajukan pertanyaan atau bagikan pemikiran Anda dengan kami di komentar.
- « LFCS Cara menggunakan perintah GNU 'sed' untuk membuat, mengedit, dan memanipulasi file di Linux - Bagian 1
- 2 cara untuk menjalankan kembali perintah yang dieksekusi terakhir di Linux »