WPScan je CLI pomůcka pro Linux, open source, snadno použitelné pro kontrolu webu s WordPressem zvenčí. Prozradí vám verzi WordPressu, http serveru, jaké pluginy jsou instalované, podívá se na uživatelská jméno, umí zkusit brute force na slabá hesla, zkontroluje jestli není dostupný wp-config.php (včetně různých záloh) a zálohy databáze, zda nejsou dostupné logy od pluginů, otestuje přítomnost readme, wp-cron, povolené registrace uživatelů, přístupnost složek a řadu dalších věci.
To vše doplněné o kontrolu na zranitelnosti – tam budete ale potřebovat na WPscan.com vytvořit účet a pořídit si API key (přidává se do parametrů jako –-api-token klíč, nejde to nějak uložit do WPscan).
Využití API je omezeno na 25 volání denně, lze navýšit pořízením placeného přístupu. “Volání” neznamená jedno spuštění WPscan, to totiž může využít několik volání podle toho co se na webu najde.
Mimo Linuxu (gem install wpscan) můžete provozovat v Dockeru (docker pull wpscanteam/wpscan) na Mac OS přidat přes Homebrew (brew install wpscanteam/tap/wpscan).
Nezapomeňte, že jde to CLI, takže výsledek si případně přesměrujte do souboru nebo použijte –output (-o).
Je dobré si prostudovat dokumentaci, minimálně alespoň otázky okolo režimu enumerace. Nápověda ve wpscan –help
Další tipy týkající se WordPressu
-
TIP#039: Nejčtenější články, čtenáři je mají rádi a vám pomohou
Statistiky a analýzy není radno podceňovat. Jednou z nich jsou nejčtenější články (v době sociálních sítí i nejsdílenější či nejvíce lajkované). Vy sami se z nich dozvíte, o co byl největší zájem…
-
TIP#035: Je dobré vědět, odkud k vám přicházejí lidé. Co že je to ten referer?
Dnes je to se zjišťováním toho, odkud (a hlavně proč) na váš web přicházejí lidé těžké. Snadné zjištění toho na jaké fráze vás lidé našli v Google je dnes už podstatně problematičtější.…
-
TIP#013: Štítky (i hashtagy) jsou dobrá cesta k zprostředkování obsahu i dalším věcem
Štítky, nálepky, v novější sociální podobě hashtagy jsou užitečná věc. Osobně je pro blogy a obsahové weby velmi v oblibě, dávám jim i přednost před rubrikami. Byť zpravidla pro obsahový web rubriky…
-
TIP#010: Google Analytics na WordPress.com pořídíte jen v placené (od Premium) podobě. Vědět čísla je vždy užitečné
Je sobota, takže jenom krátce a možná ne až tak velmi užitečně jako v některých předchozích tipech. A taky je čas se tak trochu pochlubit tím, jak to vlastně s @365tipu vypadá.…
-
Co všechno by mělo být na blogu aby dobře fungoval pro čtenáře i autora?
Ve WordPressu tyto věci můžete přidávat pomocí předem hotových modulů- Hledejte v nastaveni Widgets/Widgety – jsou k nalezení v části „Vzhled“.
-
Problémy, problémy a jenom problémy. S fonty ….
„Ahoj, v Chrome OS je nějaký problém s písmem, “ napsal Janek Wagner a s ním ještě pár dalších lidí, včetně těch an Twitteru a Facebooku. Jasně, české znaky se v šabloně…
-
365 tipů. Co jeden den, to jeden tip. A spousta věci k vyzkoušení
Ne že bych neměl co dělat, ale prostě občas chcete něco zkusit. Podívat se jak se vyvinuly některé služby. Vidět je tak jak by je viděl někdo, kdo je nikdy nepoužil a…
