Wordpress è una delle piattaforme software che stanno alla base di molti siti di successo. Secondo le statistiche, a livello di CMS ha davvero pochi rivali.
E' ovvio quindi che sia oggetto di attacchi, specie se il sito non è mantenuto come si deve: un tool come WPScan ci aiuta a capire se e quanto il nostro sito sia vulnerabile.
Si tratta di un tool scritto in Ruby che gira da riga di comando molto usato da chi si occupa di sicurezza, e il suo funzionamento di base, così come la sua installazione su Debian, non presentano particolari difficoltà. Ovviamente ci sono funzioni avanzate, ma questa è un'altra storia, e altrettanto ovviamente il suo uso errato è da scoraggiare: si tratta di uno strumento per capire se il proprio sito è vulnerabile o meno, non per scoprire le vulnerabilità altrui!
Su Debian occorrono davvero pochi passaggi per installare WPScan:
sudo apt-get install git sudo apt-get install libcurl4-gnutls-dev libruby libxml2 libxml2-dev libxstl1-dev ruby-dev git clone https://github.&&team/wpscan.git cd wpscan sudo gem install bundler && bundle install --without test development
Finito. Per lanciare la scansione basta poi dare:
./wpscan.rb --url http://urldacontrollare
Vi sarà restituita una lista di tutti gli elementi critici analizzati, e se scoperte vulnerailità saranno evidenziate in rosso.
Alla prossima..