Wer es des öfteren mit dem WordPress CMS treibt, der kann mit dem Open-Source Security-Scanner WPScan schön seine WordPress-Installationen nach Sicherheitslücken und Misskonfigurationen abklopfen.
WPScan ist in Ruby geschrieben, läuft auf Unix-Maschinen, wird über die Kommandozeile (CLI) bedient und checkt Remote und ungeniert die Anfälligkeiten von Themes, Plugins, und Benutzer ab.
Beispiel WordPress Security-Scan über die Console:
wpscan --url https://target.tld/ --enumerate u
Wer kein Bock hat, sich den Sicherheitsscanner inklusive Ruby-Interpreter auf den eigenen Rechner zu installieren, der kann sich den vorgefertigten Docker-Container anwerfen oder über folgende Linux-Live Penetration-Distro reinziehen:
- Kali Linux
- BackBox Linux
- Matriux Linux
- Cyborg Linux
- BlackArch Linux
- Samurai WTF Linux
- Parrot Security OS Linux
Beispiel WordPress Security-Scan über Docker:
docker run -it --rm wpscanteam/wpscan --url https://target.tld/ --enumerate u
PS: Ein weiterer, sehr neuer und sehr modularer WordPress Security-Scanner findet ihr auf iGithub.
