WPScan je CLI pomůcka pro Linux, open source, snadno použitelné pro kontrolu webu s WordPressem zvenčí. Prozradí vám verzi WordPressu, http serveru, jaké pluginy jsou instalované, podívá se na uživatelská jméno, umí zkusit brute force na slabá hesla, zkontroluje jestli není dostupný wp-config.php (včetně různých záloh) a zálohy databáze, zda nejsou dostupné logy od pluginů, otestuje přítomnost readme, wp-cron, povolené registrace uživatelů, přístupnost složek a řadu dalších věci.
To vše doplněné o kontrolu na zranitelnosti – tam budete ale potřebovat na WPscan.com vytvořit účet a pořídit si API key (přidává se do parametrů jako –-api-token klíč, nejde to nějak uložit do WPscan).
Využití API je omezeno na 25 volání denně, lze navýšit pořízením placeného přístupu. “Volání” neznamená jedno spuštění WPscan, to totiž může využít několik volání podle toho co se na webu najde.
Mimo Linuxu (gem install wpscan) můžete provozovat v Dockeru (docker pull wpscanteam/wpscan) na Mac OS přidat přes Homebrew (brew install wpscanteam/tap/wpscan).
Nezapomeňte, že jde to CLI, takže výsledek si případně přesměrujte do souboru nebo použijte –output (-o).
Je dobré si prostudovat dokumentaci, minimálně alespoň otázky okolo režimu enumerace. Nápověda ve wpscan –help
Další tipy týkající se WordPressu
-
TIP#1176: Je WordPress zadarmo? Budu za něco platit?
Když už před pár dny vzniklo Jak na WordPress pro blogování i vytvoření webu, tak je možná čas postupně trochu zapracovat na dalších tipech právě pro WordPress. Sice nebudou hojně vyhledávané, nezajistí…
-
TIP#1136: Prověřujte čas od času 404 chyby na webu či blogu
Chyba 404 je označení chyby „neexistující URL“, objeví se v okamžiku, kdy si vyžádáte nějakou internetovou adresu, která nevede na existující obsah. Může jít o chybu v URL, ale také obsah, který…
-
TIP#1065: Jak je to s „ochranou“ proti kopírování textu na webových stránkách?
Možná jste se s tím již setkali, jste ně nějakém webu, chcete zkopírovat nějaký text do e-mailu nebo na sociální sítě. A k tomu co jste si označili a důvěřivě kopírujete se…
-
TIP#1000: Jak můžete na vlastní web dostat vyhledávání?
V Jak mohu mít vyhledávání od Google na svém webu? Přes Google Custom Search Engine byla řeč o tom, jak můžete využít služby Google pro doplnění vyhledávání přímo na vlastní webové stránky.…
-
TIP#928: Jak se bránit proti komentářovému spamu na blogu/webu?
Pamatujte si, jakmile kamkoliv na Internet pověsíte možnost vkládat nekontrolovaně obsah, tak dříve nebo později se dostaví „komentářový spam“. Nejprve se vám tam objeví něco ručně zadávaného – reklama, odkazy na zavirované…
-
TIP#855: Mám texty pro blog psát přímo na blogu nebo si je připravovat v počítači (mimo blog)?
Tenhle problém je takový zapeklitý, týkající se toho, že máte nějaký blog (ale obecně, jakýkoliv web na který věšíte texty, články) a tvoříte pro něj obsah. A otázka, zásadní, je, zda ty…
-
TIP#835: Co se stane, když 365tipu.wordpress.com přesunete na 365tipu.cz
Možná jste si už všimli, že @365tipu je už do spuštění (což bylo 1. ledna 2015) jeden velký experiment. Slouží k ověření i zjištění řady věcí. Proto také dlouhou dobu tenhle web…
-
TIP#818: Jak z webu jako je @365tipu automaticky plnit různorodé sociální sítě
Pokud dnes cokoliv vydáváte, ať už je to web, noviny, magazín či blog, tak už nestačí jenom mít k webu RSS a možnost přihlásit se k odběru e-mailem. Dnes je velmi vhodné,…
-
TIP#804: Jak migrovat web z WordPress.org na WordPress.com? Krok 7: Co získáte použitím WordPress.com místo vlastního hostingu
Poněkud delší série mimořádných tipů vychází z toho, že se stěhovalo několik webů (www.justit.cz, www.feedit.cz, www.bookz.cz a www.bradbury.cz) z vlastního WordPressu (na virtuálním privátním serveru, VPS) na WordPress.com. Mezitím se tam ještě…
-
TIP#801: Jak zjistit návštěvnost nějakého (cizího) webu
Sice by asi bylo vhodnější začít něčím takovým jako co je to návštěvy/návštěvník, zhlédnutá stránka, uživatel, unikátní uživatel, reálný uživatel a tak podobně, ale začneme troch odzadu a k termínům a způsobům měření návštěvnosti…
-
TIP#798: Jak migrovat web z WordPress.org na WordPress.com? Krok 6: Kontrola a náprava odkazů a obrázků
Pokud jste svůj původní WordPress provozovali „normálně“, tak by po importu měly zůstat zachovány odkazy – čili po zprovoznění na původní doméně by vše mělo být v pořádku. WordPress.com přesměruje i původní…
-
TIP#792: Jak migrovat web z WordPress.org na WordPress.com? Krok 5: Přidání domény
Pokračujeme v migraci webu z vlastního WordPressu na ten co je hostovaný přímo na WordPress.com. V dubnu tohle potkalo čtyři weby (www.feedit.cz, www.justit.cz, www.bradbury.cz a www.bookz.cz) a tato série obsahuje všechny ty…
-
TIP#787: Jak migrovat web z WordPress.org na WordPress.com? Krok 4: Věci, které byste měli změnit v Nastavení
V Nastavení/Settings je řada věcí, které budete tak jako tak muset (nebo byste alespoň měli) změnit. V General si musíte vyplnit Site Title (Název webu) a Site Tagline (Popis webu, to můžete…
-
TIP#781: Jak migrovat web z WordPress.org na WordPress.com? Krok 3: Najít šablonu
Předchozí díly řeší Export starého webu s přípravou a následný import do nově vytvořeného webu na WordPress.com. Nepodceňujte nic, protože při tomhle můžete občas narazit na něco obtížného či nepříjemného. V třetím…
-
TIP#776: Jak migrovat web z WordPress.org na WordPress.com? Krok 2: Import
V prvním díle jste si připravili web provozovaný na vlastním WordPressu (WordPress.org) a vlastním hostingu pro export. Pak jste si na WordPress.com založili nový web, kam budete chtít migrovat – k čemuž…
