Установка WPScan на Ubuntu Linux 16.04.

wordpress wpscan security

Здравствуйте дамы и господа. Сегодня речь пойдет об установке утилиты WPScan на Ubun­tu Lin­ux 16.04. Утилита является сканером уязвимостей и как следует из названия заточена исключительно под Word­Press. WPScan располагает постоянно дополняющимися данными об известных уязвимостях как самого движка, так и о его плагинах.

Располагая нужными данными утилита сканирует Word­Press-сайты, выводит список установленных плагинов и выделяет уязвимые. Также дело обстоит и с темами оформления. Помимо этого утилита определяет версию установленного Word­Press, показывает список пользователей сайта и выполняет брутфорс их паролей по словарям, анализирует файл robots.txt, показывает заголовки сервера и т.д.

По умолчанию предустановленная WPScan уже присутствует в узкоспециальных дистрибутивах Lin­ux, таких как: Kali, Back­Track, Pen­too, Samu­rai­WTF и т.д. и т.п… Ну а если WPScan нужен, а устанавливать ради этого отдельную систему неохота, то утилиту можно установить на любой уже имеющийся под рукой Lin­ux.

Для работы WPScan нужен Curl версии не ниже 7.21, если такого нет, то ставьте или обновляйте до нужной версии. Обязательно должен быть Ruby, хотя он обычно присутствует в системе по умолчанию. Да и про Git тоже забывать не стоит.

Сначала устанавливаем необходимые зависимости.

Переходим в каталог в который будем клонировать WPScan.

Клонируем утилиту с помощью git. На Github есть вся необходимая документация и инструкции для установки.

Переходим в каталог wpscan.

Устанавливаем пакет.

Первый запуск WPScan, выводим мануал и подсказки. Естественно, при выполнении команд нужно находиться внутри каталога wpscan.

Вывод ./wpscan.rb --help.

Первым делом стоит обновить базу данных, а потом уже приступать к работе.

Собственно на этом все. Мануал у утилиты исчерпывающий, за примерами ходить далеко не надо, все и так подробно расписано. В следующей статье разберем несколько примеров применения утилиты, а также рассмотрим способы защиты от WPScan.