WPScan je CLI pomůcka pro Linux, open source, snadno použitelné pro kontrolu webu s WordPressem zvenčí. Prozradí vám verzi WordPressu, http serveru, jaké pluginy jsou instalované, podívá se na uživatelská jméno, umí zkusit brute force na slabá hesla, zkontroluje jestli není dostupný wp-config.php (včetně různých záloh) a zálohy databáze, zda nejsou dostupné logy od pluginů, otestuje přítomnost readme, wp-cron, povolené registrace uživatelů, přístupnost složek a řadu dalších věci.
To vše doplněné o kontrolu na zranitelnosti – tam budete ale potřebovat na WPscan.com vytvořit účet a pořídit si API key (přidává se do parametrů jako –-api-token klíč, nejde to nějak uložit do WPscan).
Využití API je omezeno na 25 volání denně, lze navýšit pořízením placeného přístupu. “Volání” neznamená jedno spuštění WPscan, to totiž může využít několik volání podle toho co se na webu najde.
Mimo Linuxu (gem install wpscan) můžete provozovat v Dockeru (docker pull wpscanteam/wpscan) na Mac OS přidat přes Homebrew (brew install wpscanteam/tap/wpscan).
Nezapomeňte, že jde to CLI, takže výsledek si případně přesměrujte do souboru nebo použijte –output (-o).
Je dobré si prostudovat dokumentaci, minimálně alespoň otázky okolo režimu enumerace. Nápověda ve wpscan –help
Další tipy týkající se WordPressu
-
TIP#451: Jak zjistím zda nějaký web není napadený malware?
Na Internetu najdete řadu online služeb, které vám umožní ověřit, jestli určitá webová adresa je bezpečná na návštěvu nebo zda nějaký web nebyl kompromitován (napaden) a nešíří nějaké to malware či viry.…
-
TIP#324: Jednou za čas si dělejte kontrolu rubrik a štítků. Budete dost překvapení
Psal včera Zoltan Nemeth něco o tom, jestli to „s těmi úmyslnými překlepy nepřeháním“ a ukázal na zmatky ve zdejších rubrikách a štítcích. Má samozřejmě pravdu, už pár týdnů mám v TODO…
-
TIP#204: Kde si mohou založit a psát blog?
Pamětnicí počátků blogování vědí, že to co je k dispozici dnes je nesrovnatelné s tím, jak se s blogy začínalo. A také to, že jakkoliv blogování (a blogosféra) není už tak módní…
-
Změnit adresu blogu na WordPress.com jde, ale není to uplně ono
Jeden z důvodu vzniku @365tipů byl, že bude možné si odzkoušet co to obnáší blogovat a publikovat bez nutnosti vynakládat finanční prostředky. A ověřit řadu věcí, které člověk většinou neřeší, dokud nenastanou.…
-
150 tipů, 1000 sleďů na Twitteru, vlastně takový důvod k oslavě
Někdy včera večer překročil @365tipu tisíc sledujících, zcela jasný důvod k radosti. Dnes vyšel sto padesátý tip, což je také svého druhu důvod k radosti, velmi rychle se totiž blížíme k polovině…
-
TIP#131: K čemu je dobré používat Google Search Console. A jak tam přidat blog na WordPress.com a proč to vlastně chtít
Google Search Console (dříve Google Webmaster Tools, GWT, k přejmenování došlo v polovině května 2015) je hodně užitečná pomůcka pro každého, kdo provozuje web a vůbec není nutné, abyste měli nějaké velmi pokročilé…
-
TIP#058: Doména sem, doména tam aneb potřebujete pro váš projekt doménu?
Jedno z pravidel říká, že pokud se titulek na něco ptá, tak odpověď je vždy jasná. Každopádně, ještě někdy na samém počátku @365tipu napsal Michal Veselý: „Dobry napad, ale preco pre @365tipu…
-
TIP#053: Celé články nebo jenom upoutávky? Obvyklé dilema u blogu. WordPress na tohle má značku
Když jsem začínal s @365tipu, tak jsem nepředpokládal, že bude větší počet „delších“ textů. Skutečnost je samozřejmě taková, že nakonec těch delších textů je víc. Znamená to, že jsem původně vsadil na…
-
TIP#039: Nejčtenější články, čtenáři je mají rádi a vám pomohou
Statistiky a analýzy není radno podceňovat. Jednou z nich jsou nejčtenější články (v době sociálních sítí i nejsdílenější či nejvíce lajkované). Vy sami se z nich dozvíte, o co byl největší zájem…
-
TIP#035: Je dobré vědět, odkud k vám přicházejí lidé. Co že je to ten referer?
Dnes je to se zjišťováním toho, odkud (a hlavně proč) na váš web přicházejí lidé těžké. Snadné zjištění toho na jaké fráze vás lidé našli v Google je dnes už podstatně problematičtější.…
-
TIP#013: Štítky (i hashtagy) jsou dobrá cesta k zprostředkování obsahu i dalším věcem
Štítky, nálepky, v novější sociální podobě hashtagy jsou užitečná věc. Osobně je pro blogy a obsahové weby velmi v oblibě, dávám jim i přednost před rubrikami. Byť zpravidla pro obsahový web rubriky…
-
TIP#010: Google Analytics na WordPress.com pořídíte jen v placené (od Premium) podobě. Vědět čísla je vždy užitečné
Je sobota, takže jenom krátce a možná ne až tak velmi užitečně jako v některých předchozích tipech. A taky je čas se tak trochu pochlubit tím, jak to vlastně s @365tipu vypadá.…
-
Co všechno by mělo být na blogu aby dobře fungoval pro čtenáře i autora?
Ve WordPressu tyto věci můžete přidávat pomocí předem hotových modulů- Hledejte v nastaveni Widgets/Widgety – jsou k nalezení v části „Vzhled“.