Установка WPScan на Ubuntu Linux 16.04.

wordpress wpscan security

Здравствуйте дамы и господа. Сегодня речь пойдет об установке утилиты WPScan на Ubuntu Linux 16.04. Утилита является сканером уязвимостей и как следует из названия заточена исключительно под WordPress. WPScan располагает постоянно дополняющимися данными об известных уязвимостях как самого движка, так и о его плагинах.

Располагая нужными данными утилита сканирует WordPress-сайты, выводит список установленных плагинов и выделяет уязвимые. Также дело обстоит и с темами оформления. Помимо этого утилита определяет версию установленного WordPress, показывает список пользователей сайта и выполняет брутфорс их паролей по словарям, анализирует файл robots.txt, показывает заголовки сервера и т.д.

По умолчанию предустановленная WPScan уже присутствует в узкоспециальных дистрибутивах Linux, таких как: Kali, BackTrack, Pentoo, SamuraiWTF и т.д. и т.п… Ну а если WPScan нужен, а устанавливать ради этого отдельную систему неохота, то утилиту можно установить на любой уже имеющийся под рукой Linux.

Для работы WPScan нужен Curl версии не ниже 7.21, если такого нет, то ставьте или обновляйте до нужной версии. Обязательно должен быть Ruby, хотя он обычно присутствует в системе по умолчанию. Да и про Git тоже забывать не стоит.

Сначала устанавливаем необходимые зависимости.

Переходим в каталог в который будем клонировать WPScan.

Клонируем утилиту с помощью git. На Github есть вся необходимая документация и инструкции для установки.

Переходим в каталог wpscan.

Устанавливаем пакет.

Первый запуск WPScan, выводим мануал и подсказки. Естественно, при выполнении команд нужно находиться внутри каталога wpscan.

Вывод ./wpscan.rb --help.

Первым делом стоит обновить базу данных, а потом уже приступать к работе.

Собственно на этом все. Мануал у утилиты исчерпывающий, за примерами ходить далеко не надо, все и так подробно расписано. В следующей статье разберем несколько примеров применения утилиты, а также рассмотрим способы защиты от WPScan.