WordPress — это программное обеспечение CMS (система управления контентом) с открытым исходным кодом, то есть платформа, которая позволяет вам создавать и управлять веб-сайтом и его содержимым простым и динамичным способом. Сегодня это наиболее используемый метод создания сайтов, по оценкам, 40% веб-сайтов создаются с помощью WordPress.
По этой причине было создано множество программ, плагинов и инструментов, которые можно интегрировать или взаимодействовать с этой CMS. Некоторые из них ориентированы на маркетинг, графику или дополнения.
настройки сайта другие инструменты вместо этого имеют функции анализа, такие как, например WPScan которые мы собираемся объяснить подробно.
Подходит ли WordPress для больших сайтов?
Часто WordPress ошибочно ассоциируется с микробизнесом или бизнесом с ограниченным бюджетом. Вместо этого справедливо указать, сколько веб-сайтов с высоким трафиком и представителей компаний
далеко не экономически ограничено использование этой технологии.
Вот неполный список некоторых известных брендов, использующих WordPress:
- Spotify
- Си-Эн-Эн
- ТЭД
- Microsoft
- Видео
- Викихау
- Нью-Йорк Таймс
- Skype
- НАСА
- Сони плейстейшн
- Уолт Дисней
И список продолжается ...
Что такое WPScan?
WPScan это инструмент командной строки, то есть его можно использовать только из командной строки, это продукт с открытым исходным кодом на самом деле это часто связано с дистрибутивами Linux, такими как Kali Linux.
Это сканер веб-безопасности родился для того, чтобы анализировать платформу Ворппресс. Как сообщает официальная документация, он был создан для использования во время тестов на проникновение. Затем многие пользователи WordPress используют его для анализа соответствия своего веб-сайта.
Основная цель WPScan — поиск брешей в безопасности на платформе, он может протестировать сайт, использующий CMS WordPress, и проверить наличие уязвимостей.
Как начать использовать WPScan?
Как и во многих инструментах CLI, первая команда, которую нужно использовать для доступа к программному обеспечению: wpscan -h
Результат, который мы получим, будет выглядеть так:
Перечислены и описаны опции, которыми оснащен инструмент.
Первый базовый вариант --url который позволяет вставить ссылку на среду для анализа.
Тогда команда будет: wpscan — URL www.sitename.com
Результатом будет реальный анализ сайта с доказательствами любых уязвимостей или раскрытия конфиденциальных данных.
В случае, если анализируемый веб-сайт не использует WordPress или не поддается обнаружению, операция завершится сообщением об ошибке.
Функциональные возможности этого инструмента сформулированы вокруг этого базового сканирования окружающей среды.
Некоторые другие параметры, представленные WPScan, которые мы можем использовать в соответствии с нашими потребностями, следующие:
- --сила выполняет все предустановленные проверки, даже если сайт не в сети.
--follow – перенаправление чтобы узнать, делает ли рассматриваемый сайт перенаправления, возможно
также на другие сайты или социальные страницы.
- -- подробный он используется для запуска WPScan с более подробным выводом, а затем показывает процент выполнения операции.
- -- пронумерованы с помощью этой опции можно перечислить плагины, используемую тему, пользователей и различные другие функции сайта с соответствующими проблемами.
Также есть возможность проводить анализы анонимно, не оставляя следов.
Наконец, есть возможность создать индивидуальный вывод, сохранив его также в файле. Эти перечисленные параметры также можно комбинировать, чтобы получить более подробный результат.
Некоторые технические подробности о WPScan
Инструмент содержит базу данных, позволяющую выполнять действия по перечислению, то есть проверять и перечислять наиболее распространенные уязвимости. Это также позволяет атаковать типы брутфорс,
затем попробуйте все возможные комбинации пароля для доступа к сайту.
База данных очень часто обновляется, поэтому анализ на одном и том же сайте может дать совершенно разные результаты за короткий промежуток времени.
В заключение, это хорошая привычка быть в курсе проблем безопасности, которые может представлять используемое нами программное обеспечение, и никогда не пропускать обновления, которые
вышел.
Веб-сайт никогда не бывает полностью безопасным, каждый день обнаруживается множество уязвимостей, WordPress — очень используемый продукт, который всегда находится под прицелом злоумышленников.
Напоминаю, что данная статья носит ознакомительный характер, несанкционированное использование рассматриваемого программного обеспечения считается попыткой получения несанкционированного доступа к компьютерной системе и преследуется по закону..
