Cómo escanear sus sitios de WordPress en busca de vulnerabilidades


¿Qué tan seguro está con la seguridad de sus implementaciones de WordPress? Si no está 100% seguro, debe utilizar la herramienta wpscan.

wordpresshero.jpg

Imagen: Jack Wallen

Teniendo en cuenta la prevalencia de las instalaciones de la plataforma de weblogs de WordPress de código abierto, es muy probable que tenga una implementación o dos para administrar. En términos generales, esta es una tarea bastante fácil. Sin importar cuán very simple sea el administrador de WordPress, es probable que no esté tan al tanto de las vulnerabilidades que se encuentran en sus sitios.

No importa con qué frecuencia actualice WordPress y sus complementos y temas, aún puede haber problemas al acecho debajo. No quieres dejar esos sitios vulnerables. ¿Qué haces?

Utiliza una herramienta de escaneo simple, llamada wpscan.

Voy a guiarte a través de la instalación y el uso de esta herramienta. Con él, sabrá qué debe abordarse en sus sitios de WordPress.

VER: Seguridad de Windows 10: una guía para líderes empresariales (TechRepublic Premium)

Lo que necesitarás

Demostraré la instalación en Ubuntu Server 18.04. Puede instalar wpscan en casi cualquier distribución de Linux que admita Ruby. Con eso en mente, necesitarás:

Si usa una distribución de Linux que no se basa en Debian / Ubuntu, deberá modificar ligeramente las instrucciones de instalación.

Cómo instalar las dependencias necesarias

Lo primero que debe hacerse es la instalación de las dependencias necesarias. Inicie sesión en su servidor o abra una ventana de terminal en su escritorio y emita el comando:

sudo apt set up curl git libcurl4-openssl-dev make zlib1g-dev gawk g++ gcc libreadline6-dev libssl-dev libyaml-dev libsqlite3-dev sqlite3 autoconf libgdbm-dev libncurses5-dev automake libtool bison pkg-config ruby ruby-bundler ruby-dev -y

Una vez que se completa ese comando, puede usar gem para instalar wpscan con el comando:

sudo gem put in wpscan

Ese comando tardará uno o dos minutos en completarse. Una vez que está terminado, estás listo para escanear.

Cómo escanear sitios

Antes de escanear ese primer sitio, querrá actualizar la foundation de datos wpscan con el comando:

wpscan --update

Con la foundation de datos actualizada, escaneemos un sitio. El comando de escaneo se ve así:

wpscan --url=http://Deal with

Donde DIRECCIÓN es el dominio o la dirección IP del servidor a escanear.

Verá la salida del escaneo revelando:

  • Hallazgos interesantes

  • Versiones de cada complemento instalado (y si hay actualizaciones disponibles)

  • Confianza de cada complemento instalado y

  • Otros, varios descubrimientos.

Es importante que lea todos los resultados enumerados, ya que muy bien puede encontrar algo que debe abordarse. Por ejemplo, en un análisis de uno de mis sitios, descubrí que tenía el listado habilitado en el directorio wp-material / uploads. Para resolver ese problema, podría instalar otro complemento de terceros, o si tengo acceso de shell al servidor de alojamiento, podría modificar el archivo .htaccess para ese directorio y agregar la entrada Opciones-Índices para deshabilitar la exploración del directorio.

Probablemente encontrará una serie de problemas a resolver a partir de la salida de wpscan, así que asegúrese de revisar los resultados cuidadosamente. Si no tiene tiempo para verificar la salida en ese momento, siempre puede enviar la salida del comando a un archivo de esta manera:

wpscan --url=http://Handle > wpscan_output

Donde DIRECCIÓN es el dominio o la dirección IP del servidor a escanear.

También puede usar el wpscan para enumerar usuarios en su sitio. Puede usar esto para intentar descifrar contraseñas, para asegurarse de que sus usuarios no estén utilizando credenciales débiles. Para hacer esto, primero deberá tener un archivo de diccionario (como el diccionario rockyou.txt)

Para enumerar usuarios, emite el comando:

wpscan --url http://Tackle --enumerate u

Donde DIRECCIÓN es la URL o la dirección IP de su sitio de WordPress.

Esto le dará una lista de los usuarios registrados en su sitio. Ahora, supongamos que desea verificar si las contraseñas de esos usuarios pueden descifrarse fácilmente. Para hacer esto, emita el comando:

wpscan --url=http://Tackle --passwords FILE --usernames Consumer

Donde DIRECCIÓN es la URL o la dirección IP de su sitio de WordPress, ARCHIVO es el nombre de archivo de su diccionario descargado, y USUARIO es el nombre o los nombres de los usuarios a probar.

Este escaneo tomará una cantidad significant de tiempo, especialmente si está revisando una cantidad de usuarios. Pero una vez que se comprehensive, verá si alguna contraseña de usuario se descifra fácilmente. Si es así, debe lidiar con eso de inmediato. Si ve No se encontraron contraseñas válidas, ese usuario está listo.

Y así es como instala y united states of america la herramienta wpscan para verificar la vulnerabilidad de sus sitios de WordPress. Asegúrese de usar esta herramienta regularmente, para estar lo más actualizado posible en sus problemas de seguridad de WordPress.

Ver también



Enlace a la noticia primary