WPScan je CLI pomůcka pro Linux, open source, snadno použitelné pro kontrolu webu s WordPressem zvenčí. Prozradí vám verzi WordPressu, http serveru, jaké pluginy jsou instalované, podívá se na uživatelská jméno, umí zkusit brute force na slabá hesla, zkontroluje jestli není dostupný wp-config.php (včetně různých záloh) a zálohy databáze, zda nejsou dostupné logy od pluginů, otestuje přítomnost readme, wp-cron, povolené registrace uživatelů, přístupnost složek a řadu dalších věci.
To vše doplněné o kontrolu na zranitelnosti – tam budete ale potřebovat na WPscan.com vytvořit účet a pořídit si API key (přidává se do parametrů jako –-api-token klíč, nejde to nějak uložit do WPscan).
Využití API je omezeno na 25 volání denně, lze navýšit pořízením placeného přístupu. “Volání” neznamená jedno spuštění WPscan, to totiž může využít několik volání podle toho co se na webu najde.
Mimo Linuxu (gem install wpscan) můžete provozovat v Dockeru (docker pull wpscanteam/wpscan) na Mac OS přidat přes Homebrew (brew install wpscanteam/tap/wpscan).
Nezapomeňte, že jde to CLI, takže výsledek si případně přesměrujte do souboru nebo použijte –output (-o).
Je dobré si prostudovat dokumentaci, minimálně alespoň otázky okolo režimu enumerace. Nápověda ve wpscan –help
Další tipy týkající se WordPressu
-
TIP#774: Má smysl si na WordPress.com zapínat WordAds?
Pokud používáte WordPress.com (což právě @365tipů dělá), můžete si v placených tarifech zapnout WordAds a na vašich stránkách se budou zobrazovat inzeráty a vy budete dostávat podíl z příjmů. Působí to jako…
-
TIP#772: Jak migrovat web z WordPress.org na WordPress.com? Krok 1: Export
Kdo sledujete @365tipů dlouho víte, že tohle celé je určeno k experimentování, zkoušení a učení se věcí. Jedna z těch nevyzkoušených byl i export a import webu vytvořeného ve WordPressu. Vše založené…
-
Jak na WSL ve Windows 10 dostat WordPress (a tedy Apache, MySQL a tak)
Nenechte se mýlit, WSL (Windows Subsystem for Linux, viz návod jak ho nainstalovat) můžete použít stejně jako třeba VPS někde u providera nebo virtualizovaný Linux. Můžete tam dostat třeba kompletní Apache2, MySQL…
-
TIP#762: Jak si odkládat články na pozdější přečtení?
Než se pustím do odpovědi na otázku z titulku, tak upozorním na Co používat pro odkládání věcí (článků) na pozdější přečtení?. Budete totiž potřebovat nějaký ten software, službu, do které si věci…
-
TIP#754: Mám dávat na web sdílecí prvky ze sociálních sítí? Dává to ještě smysl?
Když v červenci 2015 vyšlo Jaké sdílecí prvky umístit na web? Proč musí být web sociální? byla situace poměrně jednoduchá. Pokud jste na webu neměli tlačítka Like, Tweet či G+, připravovali jste…
-
TIP#742: Co je to linkbuilding? K čemu jsou dobré zpětné odkazy?
Nejvyšší čas se tak trochu vrátit k Co je to backlink, zpětný odkaz? v podobě samostatného povídání o budování zpětných odkazů. Činnosti označované v angličtině (a v SEO) jako linkbuilding. Poměrně nepostradatelné,…
-
TIP#738: Co mám dělat, pokud v SEO testu od SEO Servis nemám 100 procent? Dá se změřit SEO?
Možná jste na to narazili. Na Internetu se dají udělat různorodé „testy“ jak si na tom stojí váš web s ohledem na optimalizaci pro vyhledávače (SEO). Jeden z těch českých, doslova památných,…
-
TIP#734: Jak automaticky dostávat obsah na firemní Stránku na Google+
Už jsme to tu jednou řešili v Jak napojit WordPress Blog na Stránku na Google+?, ale je čas se k tomu ještě vrátit. Zejména proto, že dnes (počátek roku 2017) je Google+…
-
TIP#731: Co vás čeká poté, co vám Facebook zablokoval účet? Peklo nových autorizací
Facebook vám může účet zablokovat z mnoha důvodů, ať už pro ty negativní (protože jste hypoteticky něco provedli) nebo z bezpečnostních důvodů (když se na váš účet přihlásí někdo z druhého konce…
-
TIP#727: Proč je nutné hlídat, jak velké obrázky dáváte na web či do e-mailů?
Nepochybně jste se s tím setkali. Otevřete nějakou webovou stránku a natahuje se strašně dlouho. Dost často to dokonce uvidíte, obrázky se natahují postupně. Něco co dnes prakticky neznáme a co bylo…
-
TIP#695: Krok za krokem (7): Jak řeším obrázky pro (nejenom) @365tipu
Je čas se vrátit k sérii Krok za krokem (poslední díl byl Kolik času zabere @365tipů? S čím počítat, pokud chcete blog? a ty ještě starší najdete na konci tohoto tipu), která…
-
TIP#598: Krok za krokem (6): Kolik času zabere @365tipů? S čím počítat, pokud chcete blog?
Na posledním školení o tom jak zprovoznit web (či blog) na WordPressu se chvíli řešilo i téma, které se dost často objevuje ve spojitosti právě s @365tipů. Kolik času zabere provozovat blog?…
-
TIP#592: Je provoz na neplaceném WordPress.com něčím omezující?
@365tipů vzniklo už před více než rokem a půl, prvního ledna 2015. Impulsivní rozhodnutí, experiment, dost hodně podmíněný i tím, že „to nesmí nic stát, než vlastní čas“. Proto se ocitlo na…
-
TIP#534: Jak napojit WordPress Blog na Stránku na Google+? Opět pomůže IFTTT
Vím, řešit návody týkající se Google+ je v současné době poněkud zvláštní. Postupně umírající platforma určitě není středem zájmu marketérů. Jedno je ale potřeba k návodu jako dostat věci z blogu na…
-
Požírá vám copy/paste do WordPressu odkazy? Možná jste si zapnuli „Paste as text“ a neuvědomili si to.
Tuhle maličkost nemá tu odvahu očíslovat, tak si užijte jeden nečíslovaný, vzniklý čistě prakticky. Jednoho dne, neznám mi proč, vkládané hotové HTML texty přestaly fungovat. Ztrácely se hotové odkazy. Nejdřív jsem si…
