WPScan açıq mənbəli WordPress təhlükəsizlik skaneridir. Siz ondan WordPress veb saytınızı WordPress nüvəsindəki məlum zəifliklərə, həmçinin məşhur WordPress plaginləri və mövzularına görə skan etmək üçün istifadə edə bilərsiniz.
WordPress qara qutu brauzeri olduğundan, əsl təcavüzkarı təqlid edir. Bu o deməkdir ki, testləri yerinə yetirmək üçün WordPress idarə panelinizə və ya mənbə kodunuza heç bir girişə ehtiyac yoxdur. Başqa sözlə, WPScan WordPress veb saytınızda zəiflik tapa bilirsə, təcavüzkar da tapa bilər.
WPScan hədəfi məlum boşluqlar üçün yoxlamaq üçün wpvulndb.com zəiflik verilənlər bazasından istifadə edir. WPScan-ı inkişaf etdirən komanda bu verilənlər bazasını saxlayır. WordPress-də əsas, plagin və mövzu zəifliklərinin getdikcə artan siyahısı var.
WPScan təhlükəsizlik skaneri ilə işə başlayın
WPScan Ruby proqramıdır. Ruby gem quraşdıraraq WPScan-ı Linux və macOS-da işlədə bilərsiniz. Siz həmçinin Github repozitoriyasını klonlaşdırmaqla WPScan-ı işə sala bilərsiniz.
WPScan istifadə etməyə başlamağın ən sürətli yolu WPScan plaginini WordPress veb saytınıza quraşdırmaqdır. Siz həmçinin hazır Docker təsvirindən istifadə edə bilərsiniz. Əgər siz Docker-dən heç vaxt istifadə etməmisinizsə və plaqini quraşdırmaq istəmirsinizsə, siz WPScan-ı Pentoo və Kali Linux kimi Linux paylamalarında pulsuz penetrasiya sınağında quraşdırılmış tapa bilərsiniz.
WPScan WordPress təhlükəsizlik skaneri xüsusiyyətləri
WordPress nömrə skan edir
Sadalama hücumları, hədəf sistemdə hədəflədikləri bir şeyin mövcud olduğunu təxmin etməyə və ya yoxlamağa çalışan təcavüzkarı əhatə edir. Məsələn, WordPress istifadəçi siyahıları təcavüzkarın vebsaytda hansı istifadəçilərin olduğunu aşkar etməyə çalışdığı bir prosesdir. Bu, özlüyündə ciddi zəiflik olmasa da, təcavüzkar bu məlumatı daha böyük hücumun bir hissəsi kimi istifadə edə bilər.
Qara qutu skaneri olaraq WPScan-ın mənbə koduna çıxışı yoxdur. O, həqiqi təcavüzkar kimi WordPress hədəfi haqqında məlumat tapmaq üçün sadalama üsullarından istifadə edir. Skan zamanı WPScan-ın həyata keçirdiyi ən çox yayılmış siyahı skanlarından bəziləri bunlardır:
WordPress nüvəsinin, plaginlərin və mövzuların versiyalarının aşkarlanması,
İctimai wp-config.php ehtiyat nüsxələrini və ya digər verilənlər bazası ixracını yoxlayır,
WordPress istifadəçilərinin sadalanması.
WordPress istifadəçi adının sadalanması və zəif parol sınması (həmçinin kobud güc hücumu kimi tanınır)
Daha əvvəl qeyd edildiyi kimi, WPScan WordPress istifadəçilərini sadalama xüsusiyyətlərinin bir hissəsi kimi sadalaya bilər. Bununla belə, WPScan zəif parolları sındırmağa çalışaraq bir addım irəli gedə bilər.
Bu, WordPress veb saytınızı zəif etimadnamələr üçün yoxlamaq üçün faydalıdır. Parolun sındırılması seçdiyiniz parol lüğətini WPScan-a ötürməklə həyata keçirilir. Aşağıdakı nümunədə biz rockyou.txt lüğətinin alt dəstindən istifadə edirik.
WordPress mövzusu və plagin zəifliyinin aşkarlanması
WPScan təkcə WordPress saytında işləyən mövzuların və plaginlərin versiyalarını siyahıya salmır, həm də həmin mövzu və plagin versiyalarını böyük wpvulndb.com WordPress zəiflik verilənlər bazasına qarşı yoxlaya bilər.
WPScan həmçinin işlətdiyiniz WordPress versiyasında boşluqların olub olmadığını sizə bildirəcək; Bu halda, WordPress-in ən son versiyasına yüksəltməlisiniz.
WordPress təhlükəsizlik skanerlərindən başqa
Həssas plaginləri və mövzuları işlətmədiyinizə əmin olmaq üçün WPScan və ya digər WordPress təhlükəsizlik skanerlərini tez-tez işə salmaq WordPress-inizi təhlükəsiz saxladığınızdan əmin olmaq üçün əla yoldur. WPScan plaginini quraşdırsanız, o, hər gün veb saytınızı avtomatik skan edəcək. Bununla belə, tək WPScan-ı işə salmaq kifayət deyil. Gücləndirilməli olan digər təhlükəsizlik sahələri aşağıdakılardır:
güclü WordPress parol siyasətlərini həyata keçirmək,
iki faktorlu autentifikasiya əlavə edin,
WordPress File Integrity Monitor (FIM) istifadə edərək veb saytınızın fayl bütövlüyünə nəzarət edin,
Bütün WordPress sayt dəyişikliklərinin bir WordPress audit izini (həmçinin audit jurnalı və ya hadisə jurnalı adlanır) saxlayın,
WordPress firewall quraşdırın.
