Kiedyś pisałem o podstawowych sposobach na zabezpieczenie strony opartej o WordPressa – dziś w ramach małej kontynuacji tego wątku chciałbym przedstawić Wam serwis z którego może nie korzystam codziennie, ale czasem zdarza mi się tam zajrzeć by sprawdzić czy nie ma na liście czegoś z czego sam korzystam…

WPScan (WPVulnDB) Vulnerability Database

Na stronie znajdziecie listę odkrytych/zgłoszonych dziur/podatności w samym WordPressie, jak i wtyczkach czy motywach:

Po kliknięciu w błąd znajdziecie jego podstawowy opis, oraz – co chyba istotniejsze – listę wersji w których błąd występuje.

WPScan – oprogramowanie do wykrywania podatności (dziur) w WordPressie

Oczywiście takie ręczne przeglądanie listy do najbardziej komorowych czy ergonomicznych nie należy – dlatego można skorzystać z oprogramowania WPScan do zainstalowania na własnym serwerze.

Oprogramowanie jest bezpłatne, choć występuje/jest dystrybuowane na 2 różnych licencjach:

  • Na własne potrzeby korzystamy z licencji niekomercyjnej (GNU General Public License), co jest bezpłatne
  • Na potrzeby projektów komercyjnych (nie chodzi o test własnej komercyjnej strony, co bardziej o świadczenie komercyjnej usługi, czy serwisu działającego jako usługa SAAS)

Wymagania systemowe:

  • Ruby >= 1.9.2 – Zalecana: 2.1.2
  • cURL >= 7.21 – Zalecana: najnowsza (może poza 7.29)
  • RubyGems – Zalecana: najnowsza
  • Git

Instalacja w systemie Debian:

sudo apt-get install git ruby ruby-dev libcurl4-gnutls-dev make
git clone https://github.com/wpscanteam/wpscan.git
cd wpscan
sudo gem install bundler
bundle install --without test --path vendor/bundle

Jak zainstalować wtyczkę w pozostałych systemach znajdziecie na stronie projektu.

Przykładowa komenda:

ruby wpscan.rb --url www.example.com

Więcej komend znajdziecie na stronie projektu.

(!) Zgłoś błąd na stronie

Spodobał Ci się artykuł? Zapisz się do naszego Newslettera - ZERO SPAMu, same konkrety, oraz dostęp do dodatkowych materiałów przeznaczonych dla subskrybentów!

Na podany adres e-mail otrzymasz od nas wiadomość e-mail, w której znajdziesz link do potwierdzenia subskrypcji naszego Newslettera. Dzięki temu mamy pewność, że nikt nie dodał Twojego adresu przez przypadek. Jeśli wiadomość nie przyjdzie w ciągu najbliższej godziny (zazwyczaj jest to maksymalnie kilka minut) sprawdź folder SPAM.

Patryk

CEO Webinsider.pl, a do tego CTO, CIO, CFO, CMO, CSO, COO i CRO ;-)
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.

Dumny przyjaciel swoich psów :-)