Jak najít chyby zabezpečení na webu WordPress WP Scan Synapsint
Úvod
WPScan je nástroj určený pro bezpečnostní profesionály k výčtu webů WordPress a identifikaci potenciálu zranitelností. Dokáže mimo jiné zkontrolovat verzi WordPressu, pluginy, témata, uživatelská jména a slabá hesla. Tato příručka ukáže, jak vyčíslit a najít zranitelnosti na webu WordPress pomocí WPScan. Před provedením testu se ujistěte, že máte výslovné písemné povolení k testování webu.
Instalace WPScan
Probíhá skenování
- Základní příkaz:
wpscan –url http://yourwordpresssite.com
- Použití možností výčtu:
WPScan má různé režimy pro výčet: pasivní, agresivní a smíšený (výchozí).
Příkaz pro výčet zranitelných pluginů, motivů a uživatelů
Příklady:
– `–url`: Cílová adresa URL.
– `-e vp,vt,u`: Možnosti výčtu pro zranitelné zásuvné moduly (`vp`), zranitelná témata (`vt`) a výčet uživatelů (`u`).
– `–api-token`: Váš token WPScan API.
Analýza výsledků skenování
Po dokončení skenování uvidíte výsledky roztříděné podle zelených znamének plus (informace) a červené vykřičníky (zranitelnosti).
- Zkontrolujte záhlaví a soubory robota:
– WPScan zobrazí informace z WordPress hlaviček a souborů robotů, které někdy mohou odhalit zajímavé detaily.
- Zkontrolujte témata a pluginy:
– Výsledky kontroly budou obsahovat seznam témat, pluginů a všech známých zranitelností.
– Příklad: Téma se známou zranitelností bude podrobně popsáno, včetně opravené verze.
- Chyby zabezpečení a opravy:
– Pro každou nalezenou chybu zabezpečení poskytuje WPScan reference a podrobnosti.
– Příklad: Chyba zabezpečení v oblasti skriptování mezi weby (XSS) v pluginu Elementor. Pokud web používá zastaralou verzi, bude označena a můžete vyhledat konkrétní CVE nebo poradní informace, kde získáte další podrobnosti.
