Perintah untuk menginstal pemindai keamanan WordPress WPscan pada disto Ubuntu 20.04 atau 18.04 Linux untuk menemukan kerentanan plugin atau tema &masalah keamanan lainnya.
WPScan WordPress Security Scanner adalah alat gratis yang tersedia untuk diinstal untuk sistem Linux &Windows. Ini memungkinkan pengguna memeriksa masalah keamanan yang terkait dengan beberapa blog atau situs web yang diinstal WordPress. Ini berarti, pengguna dapat memindai situs web apa pun berdasarkan WordPress untuk mengetahui berbagai masalah seperti file inti, plugin, dan kerentanan tema; Kata sandi lemah, HTTPS diaktifkan atau tidak, item Header; termasuk pemeriksaan untuk file debug.log, file cadangan wp-config.php, XML-RPC diaktifkan, file repositori kode, kunci rahasia default, file database yang diekspor dan banyak lagi… Namun, untuk mendapatkan kerentanan dalam hasilnya, kita perlu tambahkan kunci API WPscan yang tersedia gratis untuk dibuat dan menyediakan 25 pemindaian setiap hari.
Selain itu, Wpscan juga tersedia sebagai plugin untuk langsung diinstal pada backend WordPress dan pengguna dapat mengoperasikannya melalui GUI Dashboard-nya. Jika Anda tidak ingin menggunakan plugin WPscan maka alat CLI dapat digunakan.
Langkah Menginstal WPScan di Ubuntu 20.04/18.04 LTS
Mari kita lihat perintah untuk menginstal WordPress Vulnerability Scanner (WPscan) ini di Ubuntu, Debian, Kali Linux, Linux Mint, atau sistem operasi serupa lainnya.
1. Jalankan pembaruan sistem
Hal pertama yang harus dilakukan sebelum menginstal beberapa aplikasi atau alat adalah menjalankan perintah pembaruan sistem-
sudo apt update
2. Instal Ruby di Ubuntu 20.04 LTS
Wpscan tersedia untuk diinstal dari RubyGems, jadi mari kita instal Ruby dan dependensi lain yang diperlukan di Ubuntu-
sudo apt install ruby-full
3. Perintah untuk menginstal WPScan di Ubuntu
Terakhir, gunakan perintah permata Ruby untuk mengunduh dan menginstal paket WPscan di sistem Anda.
sudo gem install wpscan
4. Lihat versinya
Setelah instalasi selesai, mari kita periksa versinya-
wpscan --version
5. Perintah WPscan
Untuk mengetahui berbagai perintah dan flag yang dapat digunakan dengan Wpscan, buka bagian bantuan.
wpscan -h
Usage: wpscan [options]
--url URL The URL of the blog to scan
Allowed Protocols: http, https
Default Protocol if none provided: http
This option is mandatory unless update or help or hh
or version is/are supplied
-h, --help Display the simple help and exit
--hh Display the full help and exit
--version Display the version and exit
-v, --verbose Verbose mode
--[no-]banner Whether or not to display the banner
Default: true
-o, --output FILE Output to FILE
-f, --format FORMAT Output results in the format supplied
Available choices: cli-no-colour, cli-no-color, json, cli
--detection-mode MODE Default: mixed
Available choices: mixed, passive, aggressive
--user-agent, --ua VALUE
--random-user-agent,--rua Use a random user-agent for each scan
--http-auth login:password
-t, --max-threads VALUE The max threads to use
Default: 5
--throttle MilliSeconds Milliseconds to wait before doing another
web request. If used, the max threads will be set to 1.
--request-timeout SECONDS The request timeout in seconds
Default: 60
--connect-timeout SECONDS The connection timeout in seconds
Default: 30
--disable-tls-checks Disables SSL/TLS certificate verification, and downgrade to TLS1.0+ (requires cURL 7.66 for the latter)
--proxy protocol://IP:port Supported protocols depend on the cURL installed
--proxy-auth login:password
--cookie-string COOKIE Cookie string to use in requests,
....more
6. Pindai Situs WordPress
Sekarang, jika Anda ingin menggunakan alat baris perintah ini untuk memindai beberapa situs WordPress untuk menemukan masalah keamanan dan detail lainnya, jalankan sintaks berikut-
wpscan --url http://your-website.com
7. Dapatkan Kunci API Token WPScan
Secara default, alat keamanan ini tidak akan memberikan Kerentanan dalam hasilnya, dan untuk mendapatkannya kita harus membuat kunci API. Buka situs web resmi dan pilih paket gratis untuk mendaftar.
Salin kunci API dan gunakan dengan cara berikut dengan perintah-
wpscan --url your-website.com --api-token your-api-key
Catatan :Ganti kunci-api Anda teks dalam perintah di atas dengan yang telah Anda buat.
8. Mode deteksi
Wpscan menawarkan tiga mode deteksi, yaitu pasif, agresif, dan campuran. Dalam Pasif Mode, alat akan mengirim beberapa permintaan ke server dan hanya memindai untuk mengetahui masalah keamanan umum untuk Beranda situs web. Ini bagus untuk digunakan jika menurut Anda server tidak akan mampu menangani sejumlah besar permintaan.
Masuk ke Mode agresif , dalam hal ini, pemindaian intrusif yang dijalankan oleh WPscan akan lebih kuat dan akan mengirim ratusan permintaan ke server untuk mengetahui kerentanan, jika ada, di semua plugin WordPress.
Padahal, campuran yang merupakan default pada alat WPScan adalah kombinasi mode agresif dan pasif untuk memberikan pemindaian yang seimbang.
Jadi, jika Anda ingin mengganti Mixed default dengan salah satu dari dua lainnya, gunakan --detection-mode pilihan dalam perintah-
Misalnya:
wpscan --url your-website.com --detection-mode aggressive --api-token your-api-key
9. Daftar semua Plugin &Tema yang diinstal dan pindai kerentanan
Untuk menghitung berbagai item WordPress, kita dapat menggunakan opsi yang diberikan di bawah ini dengan -e bendera.
vp ----(Vulnerable plugins) ap ----(All plugins) p ----(Popular plugins) vt ----(Vulnerable themes) at ----(All themes) t ----(Popular themes) tt ----(Timthumbs) cb ----(Config backups) dbe ----(Db exports) u ----(User IDs range. e.g: u1-5) m ----(Media IDs range. e.g m1-15)
Misalnya, kami ingin Mencantumkan semua plugin dengan kerentanan yang diketahui, lalu kami menggunakan opsi vp yang diberikan dalam daftar di atas bersama dengan mode deteksi flag -e
wpscan --url your-website.com -e vp --detection-mode mixed --api-token your-api-key
10 Jalankan WPscan untuk melewati WAF
Untuk menjalankan pemindaian dalam mode tersembunyi sehingga firewall aplikasi Web tidak dapat mendeteksi Wpscan, seseorang dapat mencoba --random-user-agent dan --stealthy pilihan.
Ini adalah tutorial singkat &pengenalan instalasi WPscan di Ubuntu 20.04 dan distro Linux serupa lainnya. Untuk mengetahui lebih lanjut tentang alat ini, Anda dapat melihat halaman/dokumentasi GitHub.