Установка и эксплуатация WPScan на Linux – это инструмент для выявления уязвимостей в WordPress

WPScan — это утилита командной строки для обнаружения уязвимостей в WordPress. Она поставляется в комплекте с несколькими дистрибутивами Linux, предназначенными для тестирования на проникновение.

  • BackBox Linux — это операционная система, основанная на Ubuntu, предназначенная для тестирования безопасности и анализа уязвимостей. Она включает в себя множество предустановленных инструментов, которые позволяют специалистам по безопасности проводить оценку систем и сетей.
  • Kali Linux – это дистрибутив операционной системы, основанный на Debian, который специально разработан для тестирования безопасности и анализа уязвимостей.
  • Pentoo
  • SamuraiWTF
  • BlackArch

WPScan представлен в формате плагина для WordPress. Он будет ежедневно проверять ваш сайт на наличие уязвимостей и отправлять уведомления по электронной почте в случае их обнаружения. Если вы хотите использовать WPScan через командную строку в Linux, ознакомьтесь с инструкциями ниже для установки на Debian 10, Ubuntu 18.04, Ubuntu 20.04, CentOS/RHEL 8/Fedora и Arch Linux, а также узнайте, как применять этот сканер уязвимостей для WP.

Читайте также:  Как запустить Minecraft Server на Linux — полное руководство

wpscan

Установка WPScan на Debian 11, Ubuntu 20.04 и Ubuntu 22.04.

Сначала необходимо установить Ruby.

sudo apt install ruby

Установите необходимые компоненты для компиляции дополнений.

sudo apt install build-essential libcurl4-openssl-dev libxml2 libxml2-dev libxslt1-dev ruby-dev libgmp-dev zlib1g-dev

sudo gem install wpscan

Он будет размещён в каталоге /usr/local/bin/wpscan.

Установка WPScan на CentOS 8, RHEL 8 и Fedora.

Сначала необходимо установить Ruby.

sudo dnf install ruby

Установите необходимые компоненты для компиляции дополнений.

sudo dnf group install "Development Tools" sudo dnf install git gcc ruby-devel libxml2 libxml2-devel libxslt libxslt-devel libcurl-devel patch rpm-build

sudo gem install wpscan

Он будет размещён в каталоге /usr/local/bin/wpscan.

Читайте также:  Способы бесплатного скачивания и установки RHEL8 (Red Hat Enterprise Linux)

Установка WPScan на Arch Linux.

WPScan доступен в репозитории Arch Linux; просто выполните следующую команду, чтобы установить его.

sudo pacman - S wpscan

Как применять WPScan

Для обновления базы данных до самой свежей версии выполните

wpscan --update

Проверить установленные плагины.

wpscan --url http(s)://your-domain.com --enumerate p

Проводить сканирование уязвимых плагинов.

wpscan --url http(s)://your-domain.com --enumerate vp

Проверить установленные темы.

wpscan --url http(s)://your-domain.com --enumerate t

Анализировать уязвимые аспекты.

wpscan --url http(s)://your-domain.com --enumerate vt

Анализировать профили пользователей:

wpscan --url http(s)://your-domain.com --enumerate u

Проводить проверку уязвимых файлов timthumb:

wpscan --url http(s)://your-domain.com --enumerate tt

Имейте в виду, что сканирование сайтов, принадлежащих другим людям, нарушает закон. Проводите такие действия только на своем собственном сайте.

Применение API WPVulnDB

По умолчанию WPScan информирует о наличии уязвимостей, но не предоставляет их подробное описание. Для получения бесплатного API токена, который позволяет делать до 50 запросов в день, зарегистрируйтесь на сайте https://wpvulndb.com/users/sign_up.

Читайте также:  Устраните ошибку невозможно получить блокировку /var/lib/dpkg/lock в Ubuntu раз и навсегда

После регистрации учетной записи вы можете сохранить API токен в отдельный файл. Для этого выполните следующую команду, чтобы создать файл конфигурации WPScan.

nano ~/.wpscan/scan. yml

Добавьте указанные строки в файл.

cli_options: api_token: YOUR_API_TOKEN

Настройка задачи Cron

Внесите изменения в файл crontab для пользователя root.

sudo crontab - e

Вставьте данную строку в конец файла, чтобы осуществлять попытку обновления WPScan и базы данных уязвимостей ежедневно.

@daily /usr/bin/gem update wpscan && /usr/local/bin/wpscan --update

Далее.

Надеюсь, данный учебник оказался полезным для вас в процессе установки и использования сканера уязвимостей для WordPress. Также вы можете настроить веб-экранный брандмауэр ModSecurity, чтобы обеспечить защиту вашего сайта WordPress от атак. Если ваш веб-сервер работает на Apache в среде Debian/Ubuntu, ознакомьтесь с следующим учебным материалом.

  • Настройка ModSecurity для Apache на системах Debian и Ubuntu.

Если вы управляете веб-сервером Nginx на системах Debian или Ubuntu, обратите внимание на следующий руководствующий материал:

  • Настройка ModSecurity для Nginx на системах Debian/Ubuntu.

Если этот пост оказался для вас полезным, не забудьте подписаться на нашу бесплатную рассылку, чтобы получать больше советов и рекомендаций.