WPScan ابزار اسکن آسیب پذیری های وردپرس
WPScan یک ابزار معروف برای اسکن وردپرس است. امنیت سایت از مهم ترین مواردی است که همیشه و در همه حال مدیران سایت به آن توجه دارند.در مقاله ی وردپرس چیست ؟ به معرفی کامل وردپرس پرداختیم و گفتیم که بیش از 60 میلیون وب سایت از وردپرس استفاده می کنند و راجب امنیت وردپرس و اهمیت این موضوع هم صحبت کردیم.یکی از راه های پیدا کردن آسیب پذیری های سایت های وردپرسی و مشکلات امنیتی آن ها استفاده از اسکنر ها می باشد ، یکی از این اسکنر های نسبتا معروف و پرطرفدار WPScan می باشد.با WPScan می توان سایت وردپرسی خود را اسکن و اطلاعاتی مانند آسیب پذیری پلاگین ها و قالب های نصب شده روی سایت ، نسخه هایی از وردپرس که دارای باگ امنیتی می باشند و موارد امنیتی دیگر را بدست آورد.
نصب WPScan توسط داکر (Docker)
در گذشته در مقاله ای به معرفی و نصب موتور داکر و در مقاله ی دیگر به معرفی برخی دستورات اساسی و کار با Image ها و کانتینر ها در داکر پرداختیم.
برای نصب WPScan توسط داکر :
ابتدا مخزن رو به داکر با دستور زیر اضافه کنید :
1 | docker pull wpscanteam/wpscan |
سپس برای اجرای WPScan با دستور زیر اقدام کنید :
1 | docker run -it --rm wpscanteam/wpscan |
با اجرای دستور بالا WPScan فراخوانی شده و آپشن ها و آرگومان های قابل استفاده برای شما نمایش داده می شود.
در این مقاله بعد از آموزش نصب به معرفی دستور جهت اسکن وردپرس نیز می پردازیم.
نصب WPScan بر روی سیستم عامل اوبنتو
اگر git را نصب ندارید ابتدا آن را با دستور زیر نصب کنید :
1 | apt install git |
سپس پیش نیاز ها را با دستور زیر نصب کنید :
1 | apt install libcurl4-openssl-dev libxml2 libxml2-dev libxslt1-dev ruby-dev build-essential libgmp-dev zlib1g-dev |
سپس با git به نصب WPScan می پردازیم (دستورات را به ترتیب وارد کنید) :
1 2 3 4 5 | git clone https://github.com/wpscanteam/wpscan.git cd wpscan sudo gem install bundler && bundle install --without test development |
برای اجرای WPScan :
1 | ruby wpscan.rb |
استفاده از WPScan
با اجرای WPScan بدون آرگومان خروجی زیر را دریافت می کنیم :
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 | _______________________________________________________________ __ _______ _____ \ \ / / __ \ / ____| \ \ /\ / /| |__) | (___ ___ __ _ _ __ \ \/ \/ / | ___/ \___ \ / __|/ _` | '_ \ \ /\ / | | ____) | (__| (_| | | | | \/ \/ |_| |_____/ \___|\__,_|_| |_| WordPress Security Scanner by the WPScan Team Version v2.1r2d5a770 Sponsored by the RandomStorm Open Source Initiative @_WPScan_, @ethicalhack3r, @erwan_lr, @gbrindisi, @_FireFart_ _______________________________________________________________ Examples : -Further help ... ruby wpscan.rb --help -Do 'non-intrusive' checks ... ruby wpscan.rb --url www.example.com -Do wordlist password brute force on enumerated users using 50 threads ... ruby wpscan.rb --url www.example.com --wordlist darkc0de.lst --threads 50 -Do wordlist password brute force on the 'admin' username only ... ruby wpscan.rb --url www.example.com --wordlist darkc0de.lst --username admin -Enumerate installed plugins ... ruby wpscan.rb --url www.example.com --enumerate p -Enumerate installed themes ... ruby wpscan.rb --url www.example.com --enumerate t -Enumerate users ... ruby wpscan.rb --url www.example.com --enumerate u -Enumerate installed timthumbs ... ruby wpscan.rb --url www.example.com --enumerate tt -Use a HTTP proxy ... ruby wpscan.rb --url www.example.com --proxy 127.0.0.1:8118 -Use a SOCKS5 proxy ... (cURL >= v7.21.7 needed) ruby wpscan.rb --url www.example.com --proxy socks5://127.0.0.1:9000 -Use custom content directory ... ruby wpscan.rb -u www.example.com --wp-content-dir custom-content -Use custom plugins directory ... ruby wpscan.rb -u www.example.com --wp-plugins-dir wp-content/custom-plugins -Update ... ruby wpscan.rb --update -Debug output ... ruby wpscan.rb --url www.example.com --debug-output 2>debug.log See README for further information. No argument supplied |
که آرگومان های قابل استفاده را لیست می کند.
با
1 | --update |
دیتابیس آسیب پذیری های اسکنر را بروز رسانی کنید.
با
1 | --url www.example.com |
سایت وردپرسی example.com را اسکن کنید.
[line]
تیم فنی آلما هاست، در تمام ایام سال به صورت 24 ساعته در خدمت شما هستند تا برای خرید سرور اختصاصی، هاست وردپرس، لایسنس سی پنل، هاست ابری و هاست پربازدید شما را یاری کنند و جدیدترین آفر های موجود را برای شما متناسب با نیازتان ارائه کنند. برای دریافت آخرین آفر های ویژه و تخفیف های ما، می توانید از طریق تیکت با ما در ارتباط باشید تا آفر های موجود را بر اساس نیاز شما برایتان ارسال کنیم.
پرتال کاربری آلما هاست ( پاسخگویی 24 ساعته ) : ناحیه کاربری مشتریان آلما هاست