WPScan je CLI pomůcka pro Linux, open source, snadno použitelné pro kontrolu webu s WordPressem zvenčí. Prozradí vám verzi WordPressu, http serveru, jaké pluginy jsou instalované, podívá se na uživatelská jméno, umí zkusit brute force na slabá hesla, zkontroluje jestli není dostupný wp-config.php (včetně různých záloh) a zálohy databáze, zda nejsou dostupné logy od pluginů, otestuje přítomnost readme, wp-cron, povolené registrace uživatelů, přístupnost složek a řadu dalších věci.
To vše doplněné o kontrolu na zranitelnosti – tam budete ale potřebovat na WPscan.com vytvořit účet a pořídit si API key (přidává se do parametrů jako –-api-token klíč, nejde to nějak uložit do WPscan).
Využití API je omezeno na 25 volání denně, lze navýšit pořízením placeného přístupu. “Volání” neznamená jedno spuštění WPscan, to totiž může využít několik volání podle toho co se na webu najde.
Mimo Linuxu (gem install wpscan) můžete provozovat v Dockeru (docker pull wpscanteam/wpscan) na Mac OS přidat přes Homebrew (brew install wpscanteam/tap/wpscan).
Nezapomeňte, že jde to CLI, takže výsledek si případně přesměrujte do souboru nebo použijte –output (-o).
Je dobré si prostudovat dokumentaci, minimálně alespoň otázky okolo režimu enumerace. Nápověda ve wpscan –help
Další tipy ve kterých zjistíte jak na WordPress
TIP#2592: Ještě stále máte na webu Google AMP? Je to zlo, rychle s tím pryč
Je to vlastně už docela dlouho, co jsem na všech mých webech zrušil podporu Google AMP. Pak jsem delší dobu chtěl napsat tip tomu věnovaný, ale nějak to zapadlo v záplavě jiných tipů.…
TIP#2554: Potřebujete vyměnit obrázek v médiích na vašem WordPressu? Je nutné mít plugin
Jedna z věcí, kterou (neznámo proč) WordPress neumí přímo. Můžete nahrát média (obrázek, fotku, atd) ale když chcete nahrát upravenou verzi, tak to není možné. Přitom je to dost zásadní věc, kterou budete…
TIP#2548: Jak synchronizovat (zálohovat) web přístupný přes FTP na disk ve Windows?
Taková ta úplně klasická věc. Máte někde webový server (třeba právě jako 365tipu.cz) a je dostupný jen přes FTP (SFTP). Chcete si ho zálohovat na disk ve Windows (ať už lokální nebo místní…
TIP#2533: Jak získat štítky z WordPressu pomocí vlastního PHP
Když už byla řeč o tom jak analyzovat duplicitní štítky, tak je vhodné ještě přidat možnost jak exportovat štítky z WordPressu pomocí PHP. Předpokládá to, že máte přístup k vašemu hostingu a můžete…
TIP#2528: Jak ve WordPressu vyhledat duplicitní štítky? AI a Python pomůže
Štítky ve WordPressu jsou tak trochu peklo. Nejen že je třeba je udržovat tak abyste neměli zbytečné štítky (takové co mají žádné nebo minimum článků), ale velmi snadno vznikají různorodé “duplicity”. Hlavně tak…
TIP#2514: Jak ve WordPressu deaktivovat plugin bez přístupu k WP-Admin
Tohle je snadné, ale musíte mít přístup k vašemu hostingu, tedy většinou FTP/SFTP přístup, ale může to být SSH. Prostě tak, abyste se dostali k souborům. (Pokračování textu…)
TIP#2512: Jak z WordPress blogu udělat sledovatelný ActivityPub feed
Automattic před pár týdny vypustil betu ActivityPub pluginu a na počátku září přišla “ostrá” první verze. Použití je přitom snadné a z vašeho blogu/webu na WordPressu vytvoří ActivityPub feed – ten mohou sledovat…
TIP#2505: Uklízíte v databázi ve vašem WordPressu? Co dělat s oEmbed Cache In Post Meta
Jedna maličkost, kterou nejspíš neznáte – kdykoliv do příspěvků umístíte nějaký ten “embedovaný” obsah, tedy například video na YouTube, tak editor stáhne potřebný kód pro embed a uloží do “oEmbed Cache” pro další…
TIP#2500: Otevírat odkazy v novém okně (záložce) či neotevírat?
Otevření odkazu v novém okně či záložce je běžná praxe na mnoha webových stránkách. Ale je to vždy správný krok? Jaká jsou rizika a výhody obou přístupů? (Pokračování textu…)
TIP#2497: Uklízíte v databázi ve vašem WordPressu? Kolik revizí příspěvků tam máte schovaných?
Typická věc vhodná k úklidu jsou revize. Každá změna v příspěvku/stránce totiž uchovává předchozí verzi. A pokud hodně opravujete, ale třeba i postupně píšete, tak těch revizí může být docela dost a mohou…