HackerSecret.it - Il Sito Italiano Più Autorevole sul Mondo dell'Hacking, del Penetration Testing e della CyberSecurity

  • Home
  • Visita il Nostro Shop
  • Scarica l’App gratuita
VISITA IL NOSTRO SHOP ! CLICCA QUI !

WPScan per analizzare le vulnerabilità di un sito WordPress

da Lo Staff di HackerSecret.it / domenica, 09 Giugno 2019 / Pubblicato il Hacking
Share
Tweet
Pin

Kali Linux è una distro di Linux basata su Debian, relativamente recente essendo nata nell’agosto del 2012, e sviluppata per migliorare ed ampliare una distro che per diversi anni è stata il pane quotidiano di moltissimi hacker, BackTrack.
All’interno di Kali Linux possiamo trovare una quantità davvero notevole di tool interessantissimi, tra cui aircrack-ng di cui abbiamo scritto una guida al cracking di una rete wireless suddivisa in quattro parti.

Tra i tanti software installati di default in Kali c’è anche WPScan, un utilissimo tool per verificare la sicurezza di un sito/blog basato su WordPress.
WPScan si basa su un ricco database di vulnerabilità WordPress in continuo aggiornamento.
Grazie a questo potente tool possiamo analizzare non soltanto la versione di WordPress installata, ma anche tutti i plugin presenti nell’installazione, siano essi installati o meno, con tanto di versione e data di ultimo aggiornamento.

WPScan è supportato dagli sviluppatori sia per Linux che per Mac, non c’è un supporto ufficiale per Windows anche se è comunque possibile installarlo su un sistema di Microsoft, seppur con qualche difficoltà in più.
Noi abbiamo utilizzato il tool con Kali Linux, ma per questa breve guida vedremo anche come installarlo su Ubuntu 14.04 lts.

Per prima cosa, se non è presente git all’interno del sistema è necessario installarlo. Pertanto apriamo il terminale e digitiamo

sudo apt-get install git

Installato git, aggiungiamo altri pacchetti necessari con il comando

sudo apt-get install libcurl4-openssl-dev libxml2 libxml2-dev libxslt1-dev ruby-dev build-essential libgmp-dev zlib1g-dev

Una volta finito, scarichiamo WPScan da git nella cartella che vogliamo (di default creerà una cartella wpscan), con il comando

 

git clone https://github.com/wpscanteam/wpscan.git

Una volta terminato il download entriamo nella cartella appena creata e installiamo rubygems

 

cd wpscan

sudo gem install bundler && bundle install –without test

Adesso abbiamo installato tutto il necessario per analizzare il nostro sito WordPress.
Lanciamo dunque una scansione con il comando

 

ruby wpscan.rb –url http://sitowordpressdaanalizzare.it –enumerate vp

 

Il comando –enumerate vp mostrerà le vulnerabilità relative ai plugin, mentre –enumerate vt quelle relative ai temi. E’ possibile utilizzare anche –enumerate u per visualizzare gli utenti.
Conoscendo gli utenti, con una lista di password in formato .txt, WPScan è in grado di compiere un attacco brute force grazie al comando –wordlist.
Se è stato fatto tutto correttamente lo scan è partito ed entro qualche minuto ci mostrerà le vulnerabilità trovate (figura 1).

wpscan

Figura 1: Vulnerability scanning con WPScan

 

Questa breve guida è intesa a scopo didattico e solamente per la scansione dei siti web nei quali avete il permesso di accedere, per testarne eventuali vulnerabilità. Utilizzare WPScan e soprattutto attacchi di tipo brute force su siti web dei quali non abbiate gli accessi è illegale.

L’articolo WPScan per analizzare le vulnerabilità di un sito WordPress proviene da F-Hack.

F-Hack

Share
Tweet
Pin
Taggato in: analizzare, Sito, Vulnerabilità, Wordpress, WPScan

Clicca subito qui per visitare il nostro Shop!

Clicca subito qui per visitare il nostro Shop!

Altri 2300 utenti come te lo hanno già fatto quest'anno!

Dicono di Noi

Francesca M. – Sistemista

Share
Tweet
Pin
 
Samuel D. – Hacker Etico

Share
Tweet
Pin
 
Carola M. – Influencer

Share
Tweet
Pin
 
Renato P. – Investigatore Privato

Share
Tweet
Pin
 
Rosaria S. – Casalinga

Share
Tweet
Pin
 
Paolo V. – Consulente Informatico

Share
Tweet
Pin
 
Matteo C. – Imprenditore

Share
Tweet
Pin
 
Alice B. – Studentessa di Informatica

Share
Tweet
Pin
 
Goffredo B. – Analista IT

Share
Tweet
Pin
 
Roberto C. – Programmatore

Share
Tweet
Pin
 

SCARICATA 1316 VOLTE!

SCARICATA 1316 VOLTE!

Scarica subito Hacker Secret la nostra app Android gratuita.

Cerca nel Sito

Gli ultimi articoli

  • I più famosi hacker italiani

  • Cos’è l’informatica forense?

  • Come capire se ti spiano il cellulare?

  • Il concetto di sicurezza informatica

  • Metasploit tutorial in italiano

Tutte le tecniche, i prodotti e i servizi descritti o contenuti in questo sito si intendono per uso esclusivo di studio e di aggiornamento professionale e per testare la sicurezza della propria rete informatica in accordo alle vigenti normative sull'accesso a sistemi informativi e telematici (cfr. art. 615 ter c.p. e successive modifiche).

TORNA SU
Nuovo Ordine!