Perintah untuk menginstal pemindai keamanan WPscan WordPress di disto Ubuntu 20.04 atau 18.04 Linux untuk menemukan kerentanan plugin atau tema & masalah keamanan lainnya.
WPScan WordPress Security Scanner adalah alat gratis yang tersedia untuk diinstal untuk sistem Linux & Windows. Ini memungkinkan user memeriksa masalah keamanan yang terkait dengan beberapa blog atau situs web yang diinstal WordPress. Ini berarti, user dapat memindai situs web apa pun berdasarkan WordPress untuk mengetahui berbagai masalah seperti file inti, plugin, dan kerentanan tema; Kata sandi lemah, HTTPS diaktifkan atau tidak, item Header; termasuk pemeriksaan untuk file debug.log, file cadangan wp-config.php, XML-RPC diaktifkan, file repositori kode, kunci rahasia default, file database yang diekspor dan banyak lagiā¦ Namun, untuk mendapatkan kerentanan dalam hasilnya, kita perlu tambahkan kunci API WPscan yang tersedia gratis untuk dibuat dan menyediakan 25 pemindaian setiap hari.
Selain itu, Wpscan juga tersedia sebagai plugin untuk langsung diinstal pada backend WordPress dan user dapat mengoperasikannya melalui GUI Dashboard-nya. Jika Anda tidak ingin menggunakan plugin WPscan maka alat CLI dapat digunakan.
Langkah untuk Menginstal WPScan di Ubuntu 20.04/18.04 LTS
Mari kita lihat perintah untuk menginstal WordPress Vulnerability Scanner (WPscan) ini di Ubuntu, Debian, Kali Linux, Linux Mint, atau sistem operasi serupa lainnya.
1. Jalankan pembaruan sistem
Hal pertama yang harus dilakukan sebelum menginstal beberapa aplikasi atau alat adalah menjalankan perintah pembaruan sistem-
sudo apt update
2. Instal Ruby di Ubuntu 20.04 LTS
Wpscan tersedia untuk diinstal dari RubyGems, jadi mari kita instal Ruby dan dependensi lain yang diperlukan di Ubuntu-
sudo apt install ruby-full
3. Perintah untuk menginstal WPScan di Ubuntu
Terakhir, gunakan perintah gem Ruby untuk mengunduh dan menginstal paket WPscan di sistem Anda.
sudo permata instal wpscan
4. Lihat versinya
Setelah instalasi selesai, mari kita periksa versinya-
wpscan –versi
5. Perintah WPscan
Untuk mengetahui berbagai perintah dan flag yang dapat digunakan dengan Wpscan, buka bagian bantuan.
wpscan -h
Penggunaan: wpscan [opsi] –url URL URL blog yang akan dipindai Protokol yang Diizinkan: http, https Protokol Default jika tidak ada yang disediakan: http Opsi ini wajib kecuali pembaruan atau bantuan atau hh atau versi yang disediakan -h, – -help Menampilkan bantuan sederhana dan keluar –hh Menampilkan bantuan lengkap dan keluar –version Menampilkan versi dan keluar -v, –verbose Verbose mode –[no-]banner Apakah akan menampilkan spanduk atau tidak Default: true -o, –output FILE Output ke FILE -f, –format FORMAT Hasil output dalam format yang tersedia Pilihan yang tersedia: cli-no-color, cli-no-color, json, cli –detection-mode MODE Default: mixed Pilihan yang tersedia: campuran, pasif, agresif –user-agent, –ua VALUE –random-user-agent,–rua Gunakan agen user acak untuk setiap pemindaian –http-auth login:password -t, – -max-threads VALUE Utas maksimum yang digunakan Default: 5 –throttle Milidetik Milidetik untuk menunggu sebelum melakukan permintaan web lain. Jika digunakan, utas maks akan disetel ke 1. –request-timeout SECONDS Batas waktu permintaan dalam detik Default: 60 –connect-timeout DETIK Batas waktu koneksi dalam detik Default: 30 –disable-tls-checks Menonaktifkan SSL/ Verifikasi sertifikat TLS, dan turunkan versi ke TLS1.0+ (memerlukan cURL 7.66 untuk yang terakhir) –proxy protocol://IP:port Protokol yang didukung bergantung pada cURL yang dipasang –proxy-auth login:password –cookie-string COOKIE String cookie untuk digunakan dalam permintaan,….more
6. Pindai Situs WordPress
Sekarang, jika Anda ingin menggunakan alat command line ini untuk memindai beberapa situs WordPress untuk menemukan masalah keamanan dan detail lainnya, jalankan sintaks berikut-
wpscan –url http://your-website.com
7. Dapatkan Kunci API Token WPScan
Secara default, alat keamanan ini tidak akan memberikan Kerentanan dalam hasilnya, dan untuk mendapatkannya kita harus membuat kunci API. Buka situs web resmi dan pilih paket gratis untuk mendaftar.
Salin kunci API dan gunakan dengan cara berikut dengan perintah-
wpscan –url your-website.com –api-token your-api-key
Catatan : Ganti teks your-api-key pada perintah di atas dengan yang telah Anda buat.
8. Mode deteksi
Wpscan menawarkan tiga mode deteksi, yaitu pasif, agresif, dan campuran. Dalam Mode Pasif, alat akan mengirim beberapa permintaan ke server dan hanya memindai untuk mengetahui masalah keamanan umum untuk Beranda situs web. Ini bagus untuk digunakan jika menurut Anda server tidak akan mampu menangani sejumlah besar permintaan.
Masuk ke mode Agresif, dalam hal ini, pemindaian intrusif yang dijalankan oleh WPscan akan lebih kuat dan akan mengirim ratusan permintaan ke server untuk mengetahui kerentanan, jika ada, di semua plugin WordPress.
Sedangkan, campuran yang menjadi bawaan pada alat WPScan adalah kombinasi mode agresif dan pasif untuk memberikan pemindaian yang seimbang.
Jadi, jika Anda ingin mengganti Mixed default dengan salah satu dari dua lainnya, gunakan opsi –detection-mode di perintah-
Sebagai contoh:
wpscan –url your-website.com –detection-mode agresif –api-token your-api-key
9. Buat daftar semua Plugin & Tema yang diinstal dan pindai kerentanannya
Untuk menghitung berbagai item WordPress, kita dapat menggunakan opsi yang diberikan di bawah ini dengan tanda -e.
vp —- (Plugin rentan) ap —- (Semua plugin) p —- (Plugin populer) vt —- (Tema rentan) di —- (Semua tema) t —- (Tema populer) tt —-(Jempol tim) cb —- (Cadangan konfigurasi) dbe —- (ekspor Db) u —- (Rentang ID Pengguna. mis: u1-5) m — -(Rentang ID Media. mis. m1-15)
Misalnya, kita ingin Mendaftar semua plugin dengan kerentanan yang diketahui, lalu kita menggunakan opsi vp yang diberikan dalam daftar di atas bersama dengan mode deteksi flag -e
wpscan –url your-website.com -e vp –detection-mode mixed –api-token your-api-key
10 Jalankan WPscan untuk melewati WAF
Untuk menjalankan pemindaian dalam mode tersembunyi sehingga firewall aplikasi Web tidak dapat mendeteksi Wpscan, seseorang dapat mencoba opsi –random-user-agent dan –stealthy.
Ini adalah tutorial singkat & pengenalan instalasi WPscan di Ubuntu 20.04 dan distro Linux serupa lainnya. Untuk mengetahui lebih lanjut tentang alat ini, Anda dapat melihat halaman/dokumentasi GitHub -nya.