WPScan, wordpress için hazırlanmış bir güvenlik açığı tarayıcı yazılımıdır. WordPress tabanlı web siteler bu programla taranıp versiyonlarına göre açıkları tespit edilebilir hatta brute force ile şifresi kırılmaya çalışılabilir. Bu yazı altında WPScan ile tecrübelerimi paylaşacağım. Ben yazılımı Ubuntu 18.04’e kurdum. Kurulumla ilgili netteki yazıları takip ettim ama sorun yaşadım. Son olarak aşağıdaki komut ile programı kurabildim (bu noktada hata çıkarsa eksik bir yazılım söz konusu olabilir, o tespit edilip kurulduktan sonra tekrar denenmelidir).
[pastacode lang=”markup” manual=”gem%20install%20wpscan” message=”” highlight=”” provider=”manual”/]
Aşağıdaki komut satırı blabla.com alan adına sahip wordpress tabanlı siteyi öncelikle analiz ediyor. Versiyonunu, temasını, güvenlik açıklarını raporluyor. Daha sonra admin kullanıcı adı için password.txt dosyasında bulunan şifreleri brute force ile deneyerek şifreyi bulmaya çalışmaktadır.
[pastacode lang=”bash” manual=”wpscan%20–url%20blabla.com%20–passwords%20’%2Fhome%2Fbla%2Fpasswords.txt’%20–usernames%20admin” message=”” highlight=”” provider=”manual”/]