Wordpress

Mengamankan WordPress dengan WPScan di linux

Mengamankan WordPress dengan WPScan di linux

WordPress adalah sistem manajemen konten (CMS) di dunia yang favorit yang digunakan untuk menjadi kekuatan jutaan website, toko ecommerce, blog dan aplikasi web.

Kemudahan penggunaan dan kemampuan untuk menjalankan website yang indah dengan usaha minimal telah membuat WordPress standar dalam desain modern web, menyalakan hampir 30 persen dari internet. Tapi karena popularitasnya, WordPress juga menjadi target umum untuk hacker.

Mengamankan dan memahami kekurangan dari situs WordPress adalah tugas yang sering diabaikan oleh pemilik website. Namun, dengan alat yang berguna disebut WPScan, pengusaha dan pengembang web dapat dengan mudah mengevaluasi keamanan instalasi mereka dan menjaga website mereka berharga dan lebih aman.

 

Apakah WPScan?

WPScan adalah pemindai kerentanan black box. Ditulis dalam bahasa pemrograman Ruby, WPScan membantu mendeteksi masalah dengan konfigurasi keamanan, tema, plugin, dan hak akses pengguna. Pada Kali, Pentoo, dan Samurai WTF WPScan adalah pra-instal. Tapi aplikasi dapat dengan mudah diinstal pada mesin Linux seperti Ubuntu, Fedora, dan Debian - screenshot.

Sebelum kita mulai mencari contoh-contoh, saya pikir kita harus mendapatkan pemahaman yang lebih baik manfaat dan fitur dari WPScan.

Membuat situs web WordPress modern, dalam kebanyakan kasus, melibatkan mencoba beberapa tema dan menginstal serangkaian plugin untuk meningkatkan fungsionalitas situs web Anda. Setelah Anda mendapatkan menguasainya, itu menjadi sifat dasar kedua dan Anda akan sering menemukan diri Anda dengan tema dan plugin yang lebih dari yang Anda butuhkan. Namun, meng-upload semua perangkat lunak yang dapat meninggalkan website Anda rentan, terutama ketika pembaruan diabaikan, dan ketika perangkat lunak tidak datang dari sumber yang dapat dipercaya untuk mulai.

Ketika WPScan melakukan scan, aplikasi akan membuat daftar semua tema dan plugin, mengevaluasi mereka nomor versi dan kemudian memeriksa apakah ada kerentanan apapun dikenal sekarang.

Selain menyediakan informasi penting tentang versi WordPress, tema, dan plugin, WPScan juga dapat mengkompilasi daftar pengguna. Yang kita kemudian dapat menguji untuk melihat jika ada orang yang menggunakan password yang lemah. Dan keindahan dari aplikasi ini adalah bahwa juga informasi ini dapat diperoleh dari jarak jauh tanpa akses administrator!

 

Baca juga :

Tips untuk menyesuaikan hasil pencarian halaman di WordPress

Cara Optimalkan wordpress untuk kinerja yang lebih baik

Segala sesuatu yang perlu Anda ketahui tentang SEO semantik

 

Setup

Petunjuk tentang menyiapkan WPScan dapat ditemukan di situs web WPScan.

Pertama, kita akan menginstall Git. Git adalah alat yang memungkinkan akses yang mudah untuk instalasi dan update ke repositori kode.

 

apt-get install git

 

Kemudian beberapa prasyarat.

 

sudo apt-get install libcurl4-openssl-dev libxml2 libxml2-dev libxslt1-dev ruby-dev build-essential libgmp-dev zlib1g-dev

 

Sekarang menggunakan git Anda menduplikasi cabang utama dari kode WPScan, ini akan membuat folder pada sistem Anda dengan kode.

 

git clone https://github.com/wpscanteam/wpscan.git cd wpscan sudo gem install bundler && bundle install --without test development

 

Kemudian meluncurkan dengan ruby.

 

ruby wpscan.rb

 

Bekerja dengan WPScan

Untuk menjalankan scan sederhana, gunakan perintah berikut:

 

ruby wpscan.rb --url www.domain.com

 

Anda juga akan ingin mempertimbangkan untuk menggunakan HTTP proxy, Anda tidak ingin penyedia hosting Anda untuk flag IP Anda sebagai hal mencurigakan.

 

ruby wpscan.rb --url www.domain.com --proxy <[protocol://]host:port>

 

Jika scan Anda diblokir, Anda dapat menggunakan aplikasi build in random user-agent feature:

 

ruby wpscan.rb --url www.domain.com -r

 

Sekarang Anda dapat mulai menggali sedikit lebih dalam oleh enumerasi pengguna, tema dan plugin.

Enumeration pengguna

Idenya adalah untuk mengumpulkan daftar nama pengguna yang valid. Setelah kita memiliki daftar nama pengguna, kita dapat menguji untuk melihat apakah ada pengguna yang menggunakan password yang lemah.

WPScan iterates melalui ID pengguna dengan menambahkan mereka ke URL situs Anda.

 

ruby wpscan.rb --url www.domain.com --enumerate u

 

Sekarang telah mengumpulkan daftar username, kita dapat menguji untuk melihat apakah salah satu pengguna menggunakan password yang lemah dengan menjalankan tes brute force:

 

ruby wpscan.rb --url www.domain.com --enumerate u

 

Scan vulnerability tema

Kita bias menggunakan command berikut untuk meng-scan tema wordpress kita

 

ruby wpscan.rb --url www.domain.com --enumerate vt

 

Scan vulnerability plugin

Dengan menjalankan command berikut kita akan memulai scan pada plugin-plugin yang memiliki vulnerable atau celah keamanan.

 

ruby wpscan.rb --url www.domain.com --enumerate vp

 

Dasar penanggulangan

Seperti Anda dapat melihat WPscan adalah alat yang hebat untuk mengevaluasi keamanan secara keseluruhan dari instalasi WordPress dan patch kelemahan keamanan Anda sebelum mereka dimanfaatkan oleh hacker.

Bergerak maju untuk menjaga situs WordPress Anda aman Anda harus mencoba untuk:

  • Tetap up to date.
  • Membuat tema dan plugin yang up to date.
  • Menghapus yang tidak perlu seperti tema dan plugin (terutama jika mereka belum diperbarui dalam beberapa saat).
  • Menghapus default admin user.
  • Tentu saja, menggunakan sandi yang kuat.
  • Mengkonfigurasi plugin keamanan untuk Batasi login attemps dan menggagalkan permintaan berbahaya.
  • Host dengan perusahaan yang dapat diandalkan!

Pada catatan positif, mayoritas penggerebekan di situs yang dibuat oleh bot otomatis. Jadi, dalam banyak kasus, hal ini orang yang memasuki situs Anda dan menghabiskan berjam-jam mencoba untuk memecahkan ini, tetapi sebaliknya, perangkat lunak yang ada adalah berselancar mencari situs-situs yang rentan. Jadi, jika website Anda dengan hati-hati diatur dan juga dikonfigurasi, Anda seharusnya tidak ada masalah!

 

Yang mungkin Anda suka :

Plugin anti spam terbaik untuk mengurangi komentar spam di situs WordPress

5 WordPress Plugin untuk membantu menumbuhkan pembaca blog Anda

5 Sosial Locker plugins & tools untuk meningkatkan Blog Anda

Share This Post

Leave Comment

Get more stuff like this
in your inbox

Subscribe to our mailing list and get interesting stuff and updates to your email inbox.