WP Scan jest narzędziem pentesterów, i hakerów do łamania zabezpieczeń popularnego systemu CMS WordPress. Wystarczy, że nie zabezpieczymy naszej strony, to już możemy być pewni, że haker, pentester lub zwykła osoba znająca linux włamie się do naszej strony!
Gdzie jest dostępne narzędzie i skąd można pobrać?
Narzędzie jest przede wszystkim w systemie Kali Linux, ale też możemy zainstalować w dowolnej dystrybucji linuxa. W internecie jest dużo materiałów wideo poświęcony instalacji wpscan w systemie linux. O WP Scan w systemie Kali Linux można przeczytać pod tym linkiem: https://tools.kali.org/web-applications/wpscan.
WP Scan też w Windows 10!
Również narzędzie WP Scan możemy zainstalować w systemie Windows, ale czy tak dobrze działa, tego nie powiem, ale o instalacji w Windows, możemy przeczytać pod poniższym linkiem: https://blog.dewhurstsecurity.com/2017/05/03/installing-wpscan-on-windows-10.html.
WP Scan – wtyczka w CMS WordPress
Jest też wtyczka wp scan dla systemu WordPress i ikona wygląda, jak to pokazuje poniższy zrzut ze strony wordpress.org.
Wtyczka WP Scan
Aby użyć wtyczki WP Scan, trzeba zarejestrować się bezpłatnie.
Co grozi, gdy nie zabezpieczymy się i jak zabezpieczyć się przed złamaniem hasła?
Wytłumaczę na przykładzie, jeżeli mamy słabe drzwi, to złodziej łatwo je wyłamie. Jeżeli mamy słaby zamek, to też złodziej się włamie do naszego mieszkania. Jeżeli mamy solidne, i porządne drzwi z bardzo dobrym zamkiem, i kluczami!, to złodziej będzie miał utrudniony dostęp do naszego mieszkania lub uniemożliwiony. Jak ma się to do naszej strony, która jest oparta na tym systemie, jakim jest WordPress?
Hasło musi być mocne i nie za łatwe!, to po pierwsze. Nawet dysponując mocnym hasłem, wszelkimi firewallami, i tak haker bądź zwykła osoba, może dostać się do systemu, a dlaczego? Wszystko za sprawą niezabezpieczonego połączenia http://! Jeżeli taka strona nie ma certyfikatu SSL, to napastnik włamie się na nasze konto, i może zrobić, co mu się podoba! Dlatego najlepiej i zalecane jest posiadanie certyfikatu SSL, wtedy narzędzie WP Scan nie złamie naszego hasła. I aby osoby, którzy nie wierzą i chcą się o tym przekonać, wystarczy wejść pod poniższy link na youtube i obejrzeć, że mając SSL, WPScan nie złamie hasła. https://www.youtube.com/watch?v=E8SiFknY-6E
Jak widać nie widać żadnej nazwy użytkownika i hasła. Dlatego warto od dziś posiadać certyfikat SSL.
Na koniec napiszę, że WPScan, jak i WPSec są skanerami zabezpieczeń i mogą być wykorzystywane w dobrych, jak i złych celach.