Un tool veramente utile per testare la sicurezza del nostro sito wordpress è WPScan. Vediamo come installarlo e come si usa.
Installazione
Per prima cosa, installiamo tutto il necessario, da terminale:
sudo apt-get install git [invio]
sudo apt-get install libcurl4-gnutls-dev libopenssl-ruby libxml2 libxml2-dev libxslt1-dev ruby-dev ruby1.9.3 [invio]
A questo punto possiamo scaricare WPScan:
sudo git clone http://github.com/wpscanteam/wpscan.git [invio]
Entriamo nella cartella ed avviamo l’installazione:
cd wpscan [invio]
sudo gem install bundler && bundle install --without test development [invio]
Esempi comuni
Scan WordPress plugins:
ruby wpscan.rb --url http(s)://www.yoursiteurl.com --enumerate p
Scan delle vulnerabilità dei plugin:
ruby wpscan.rb --url http(s)://www.yoursiteurl.com --enumerate vp
Scan temi:
ruby wpscan.rb --url http(s)://www.yoursiteurl.com --enumerate t
Scan vulnerabilità dei temi:
ruby wpscan.rb --url http(s)://www.yoursiteurl.com --enumerate vt
Scan user accounts:
ruby wpscan.rb --url http(s)://www.yoursiteurl.com --enumerate u
Scan for timthumb installations:
ruby wpscan.rb --url http(s)://www.yoursiteurl.com --enumerate tt
Update wpscan:
ruby wpscan.rb --update
Abbiamo finito! Buon Lavoro 😀