Kiedyś pisałem o podstawowych sposobach na zabezpieczenie strony opartej o WordPressa – dziś w ramach małej kontynuacji tego wątku chciałbym przedstawić Wam serwis z którego może nie korzystam codziennie, ale czasem zdarza mi się tam zajrzeć by sprawdzić czy nie ma na liście czegoś z czego sam korzystam…

WPScan (WPVulnDB) Vulnerability Database

Na stronie znajdziecie listę odkrytych/zgłoszonych dziur/podatności w samym WordPressie, jak i wtyczkach czy motywach:

Po kliknięciu w błąd znajdziecie jego podstawowy opis, oraz – co chyba istotniejsze – listę wersji w których błąd występuje.

WPScan – oprogramowanie do wykrywania podatności (dziur) w WordPressie

Oczywiście takie ręczne przeglądanie listy do najbardziej komorowych czy ergonomicznych nie należy – dlatego można skorzystać z oprogramowania WPScan do zainstalowania na własnym serwerze.

Oprogramowanie jest bezpłatne, choć występuje/jest dystrybuowane na 2 różnych licencjach:

  • Na własne potrzeby korzystamy z licencji niekomercyjnej (GNU General Public License), co jest bezpłatne
  • Na potrzeby projektów komercyjnych (nie chodzi o test własnej komercyjnej strony, co bardziej o świadczenie komercyjnej usługi, czy serwisu działającego jako usługa SAAS)

Wymagania systemowe:

  • Ruby >= 1.9.2 – Zalecana: 2.1.2
  • cURL >= 7.21 – Zalecana: najnowsza (może poza 7.29)
  • RubyGems – Zalecana: najnowsza
  • Git

Instalacja w systemie Debian:

sudo apt-get install git ruby ruby-dev libcurl4-gnutls-dev make
git clone https://github.com/wpscanteam/wpscan.git
cd wpscan
sudo gem install bundler
bundle install --without test --path vendor/bundle

Jak zainstalować wtyczkę w pozostałych systemach znajdziecie na stronie projektu.

Przykładowa komenda:

ruby wpscan.rb --url www.example.com

Więcej komend znajdziecie na stronie projektu.

(!) Zgłoś błąd na stronie