Installare ed usare WPScan su Ubuntu 22.04

Installare ed usare WPScan su Ubuntu 22.04

WPScan è uno scanner di vulnerabilità di WordPress da riga di comando. Viene preinstallato sulle seguenti distribuzioni Linux per test di penetrazione.

WPScan è disponibile anche come plugin per WordPress . Il plugin WPScan scansionerà il tuo sito WordPress su base giornaliera e ti avviserà via e-mail delle eventuali vulnerabilità rilevate. Se invece preferisci utilizzare WPScan da riga di comando Linux, segui queste istruzioni per installare WPScan su Debian 10, Ubuntu 18.04, 20.04, 22.04 e scopri come utilizzare questo scanner di exploit per WordPress.

Come installare WPScan Ubuntu 22.04 e Debian 11

Per prima cosa, installa Ruby.

sudo apt install ruby

Installa poi le dipendenze.

sudo apt install build-essential libcurl4-openssl-dev libxml2 libxml2-dev libxslt1-dev ruby-dev  libgmp-dev zlib1g-dev

Infine installa WPScan.

sudo gem install wpscan

Verrà installato in /usr/local/bin/wpscan

Come usare WPScan

Per aggiornare il database di WPScan all’ultima versione, eseguire:

wpscan --update

Per la scansione dei plugin installati, eseguire:

wpscan --url http(s)://tuo-dominio.com --enumerate p

Scansiona i plugin vulnerabili:

wpscan --url http(s)://tuo-dominio.com --enumerate vp

Scansiona i temi installati:

wpscan --url http(s)://tuo-dominio.com --enumerate t

Scansiona temi vulnerabili:

wpscan --url http(s)://tuo-dominio.com --enumerate vt

Scansiona gli account utente:

wpscan --url http(s)://tuo-dominio.com --enumerate u

Scansiona i file timthumb vulnerabili:

wpscan --url http(s)://tuo-dominio.com --enumerate tt

Tieni presente che la scansione dei siti Web di altri è illegale. Fallo solo sul tuo sito web.

Utilizzo API di WPVulnDB

Per impostazione predefinita, WPScan ti dice solo se sono state trovate vulnerabilità, ma non mostra i dettagli delle vulnerabilità. Puoi ottenere un token API gratuito con 50 richieste giornaliere registrandoti su https://wpvulndb.com/users/sign_up .

Una volta creato l’account, puoi salvare il token API in un file. Eseguire il comando seguente per creare il file di configurazione di WPScan.

nano ~/.wpscan/scan.yml

Metti le seguenti righe nel file.

cli_options: 
    api_token: TUO_API_TOKEN

Aggiornamento giornaliero con Cron

Modifica il file crontab dell’utente root.

sudo crontab -e

Aggiungi la riga seguente alla fine del file per provare ad aggiornare WPScan e il database delle vulnerabilità una volta al giorno.

@daily /usr/bin/gem update wpscan && /usr/local/bin/wpscan --update
Comments are closed.