À quoi ressemble votre site WordPress? Pirate? Serait-ce difficile à craquer? Ou a-t-il des portes déverrouillées et des fenêtres déverrouillées qui n’attendent que quelqu’un pour le faire? Tenter Tu? Si vous souhaitez exécuter un test de sécurité sur votre site WordPress qui révèle les vulnérabilités, recevoir familier avec WPScan.

Même si les plus Les pirates n’ont pas une connaissance approfondie des faiblesses de votre site Web, ils peuvent en utiliser beaucoup pour le découvrir. c’est code visible publiquement. WPScan teste votre site en utilisant une approche similaire – quel est son nom? Tests de boîte noire.

Rencontrez des experts lors du Spectrum Virtual Summit le 27 avril pour obtenir des informations et des conseils qui vous aideront dans votre aventure Cloud Sec

Le résultat: WPScan vous donne une idée des vulnérabilités que les pirates peuvent trouver. C’est en fait une liste de contrôle des choses aussi (rapidement) sceller.

Se sent assez utile, Droit?

Que fait WPScan Frais?

WPScan essentiellement utilise un modèle freemium. (Ça n’a pas toujours été le cas.)

Le scanner lui-même est en grande partie libre utiliser. Au niveau de base, l’énumération est utilisée pour afficher des informations reconnaissables telles que les noms d’utilisateur, les plugins et les sujets utilisés.
Afin de
Vérifiez les vulnérabilités. Vous devez accéder au API de base de données de vulnérabilités WordPress. Cela commence également gratuitement. Mais là, vous devez scanner plus de sites Web – – ou alors sites Web plus complexes – – tu voudras te levergfaites rouler votre planifier. ((Plus sur cela dans un instant.)

Comment à À installer WPScan

WPScan Expédié en tant que une pierre précieuse rubis. Donc, Une fois que vous avez installé Ruby, c’est aussi simple que d’exécuter cette commande::

gem install wpscan 

Une alternative pour les utilisateurs de Mac

Nouvelles versions de MacOS rendre le processus un peu plus difficile en raison de Système intégréProtection de la sécurité – Technologie de sécurité pour se protéger contre les logiciels malveillants.

Il existe plusieurs façons de contourner ce problème, notamment Désactiver temporairement SIP. Le moyen le plus simple peut être d’utiliser un Gestionnaire de packages comme Homebrew, installé avec cette commande dans le terminal.

/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)" 

De là, votre WPScan La commande d’installation devient facile::

brew install wpscan 

Premiers pas sous Windows

Si vous n’avez pas encore installé Ruby, commencez par cet installateur. Une fois que vous avez fait, utilisez la commande d’origine:

gem install wpscan 

Utiliser docker?

Vous pouvez faire glisser le dépôt avec cette commande:

docker pull wpscanteam/wpscan 

Toujours mettre à jour WPScan

Si vous ne disposez pas de la dernière version du logiciel, vous êtes ne trouve pas les vulnérabilités les plus critiques. WPScan Met constamment à jour la base de données pour vous tenir pleinement informé de tout problème identifiableCompétences. 514 nouvelles vulnérabilités ont été ajoutées en 2020!

Assurez-vous donc d’exécuter cette commande avant d’exécuter des analyses:

gem update wpscan 

Ou si vous avez utilisé la méthode homebrew pour Mac:

brew upgrade wpscan 

Comment accéder à l’API de base de données de vulnérabilités WordPress

Bien que techniquement facultative, cette base de données est vraiment la principale valeur de son utilisation WPScan.

Pour utiliser l’API, vous devez Inscrivez-vous sur le site Web WPScan. Vous recevrez ensuite un jeton API à ajouter à toutes les analyses que vous avez effectuées.

Vous obtiendrez alors les failles de sécurité des détails Lié à votre scan en ajoutant ceci à la fin de votre commande:

--api-token YOUR_TOKEN 

Sans cette commande, bien sûr, vous ne recevrez aucune information sur les vulnérabilités de sécurité.

Comment décider d’un plan

Une requête API est effectuée pour chacun de vos scans:

  • Version WordPress
  • Plugin installé
  • Thème installé

Considérant Une analyse complète d’un site WordPress avec un thème et 12 plugins nécessiterait 14 requêtes API.

WPScan estime que le site WordPress moyen a 22 plugins installéss. Par conséquent, le plan gratuit de 25 demandes d’API devrait fonctionner normalement. Lorsque vous avez plus de plugins sur votre site ou devez analyser plusieurs sites Chaque jour, vous souhaitez mettre à jour votre plan en conséquence.

Et après?

Dès que vous avez WPScan installé et ayez votre jeton API. L’étape suivante consiste simplement à lancer la numérisation. Examinons cela avec notre propre article Ici.



Source link

Recent Posts