GNU/Linux >> Linux の 問題 >  >> Ubuntu

Ubuntu20.04LTSにWPScanWordPressセキュリティスキャナーをインストールします

WPscanWordPressセキュリティスキャナーをUbuntu20.04または18.04Linuxdistosにインストールして、プラグインまたはテーマの脆弱性やその他のセキュリティ問題を見つけるコマンド。

WPScan WordPress Security Scannerは、LinuxおよびWindowsシステムにインストールできる無料のツールです。これにより、ユーザーはWordPressがインストールされているブログやWebサイトに関連するセキュリティの問題を確認できます。つまり、ユーザーはWordPressに基づいて任意のWebサイトをスキャンして、コアファイル、プラグイン、テーマの脆弱性などのさまざまな問題を見つけることができます。弱いパスワード、HTTPSが有効かどうか、ヘッダー項目。 debug.logファイル、wp-config.phpバックアップファイル、XML-RPCが有効、コードリポジトリファイル、デフォルトの秘密鍵、エクスポートされたデータベースファイルなどのチェックを含みます。ただし、結果の脆弱性を取得するには、次のことを行う必要があります。無料で利用できるWPscanAPIキーを追加して、毎日25回のスキャンを生成します。

さらに、WpscanはWordPressバックエンドに直接インストールするプラグインとしても利用でき、ユーザーはGUIダッシュボードを介して操作できます。 WPscanプラグインを使用したくない場合は、CLIツールを使用できます。

Ubuntu 20.04 /18.04LTSにWPScanをインストールする手順

このWordPress脆弱性スキャナー(WPscan)をUbuntu、Debian、Kali Linux、Linux Mint、または同様の他のオペレーティングシステムにインストールするためのコマンドを見てみましょう。

1。システムアップデートを実行する

アプリケーションまたはツールをインストールする前に最初に実行する必要があるのは、システム更新コマンドの実行です-

sudo apt update

2。 Ubuntu20.04LTSにRubyをインストールする

WpscanはRubyGemsからインストールできるので、UbuntuにRubyとその他の必要な依存関係をインストールしましょう-

sudo apt install ruby-full

3。 UbuntuにWPScanをインストールするコマンド

最後に、Rubyのgemコマンドを使用して、システムにWPscanパッケージをダウンロードしてインストールします。

sudo gem install wpscan

4。バージョンを確認してください

インストールが完了したら、バージョンを確認しましょう-

wpscan --version

5。 WPscanコマンド

Wpscanで使用できるさまざまなコマンドとフラグについては、ヘルプセクションを開いてください。

wpscan -h
Usage: wpscan [options]
--url            URL The URL of the blog to scan 
                 Allowed Protocols: http, https
                 Default Protocol if none provided: http
                 This option is mandatory unless update or help or hh 
                 or version is/are supplied
-h,              --help Display the simple help and exit
--hh              Display the full help and exit
--version          Display the version and exit
-v,                --verbose Verbose mode
--[no-]banner       Whether or not to display the banner
                   Default: true
-o,                 --output FILE Output to FILE
-f,                 --format FORMAT Output results in the format supplied
                      Available choices: cli-no-colour, cli-no-color, json, cli
--detection-mode      MODE Default: mixed
                      Available choices: mixed, passive, aggressive
--user-agent, --ua               VALUE
--random-user-agent,--rua        Use a random user-agent for each scan
--http-auth login:password
-t, --max-threads                  VALUE The max threads to use
                                Default: 5
--throttle                    MilliSeconds Milliseconds to wait before doing another
                               web request. If used, the max threads will be set to 1.
--request-timeout SECONDS        The request timeout in seconds
                                  Default: 60
--connect-timeout SECONDS         The connection timeout in seconds
                                  Default: 30
--disable-tls-checks Disables SSL/TLS certificate verification, and downgrade to TLS1.0+ (requires cURL 7.66 for the latter)
--proxy protocol://IP:port Supported protocols depend on the cURL installed
--proxy-auth login:password
--cookie-string           COOKIE Cookie string to use in requests, 
....more

6。 WordPressサイトをスキャンする

ここで、このコマンドラインツールを使用してWordPress Webサイトをスキャンし、セキュリティの問題やその他の詳細を見つける場合は、次の構文を実行します-

wpscan --url  http://your-website.com

7。 WPScanトークンAPIキーを取得する

デフォルトでは、このセキュリティツールは結果に脆弱性を提供しません。そのためには、APIキーを生成する必要があります。 公式ウェブサイトにアクセスします 登録する無料プランを選択します。

APIキーをコピーし、次のコマンドで使用します-

wpscan --url  your-website.com --api-token your-api-key

your-api-keyを置き換えます 上記のコマンドのテキストと、生成したテキスト。

8。検出モード

Wpscanは、パッシブ、アグレッシブ、および混合の3つの検出モードを提供します。 パッシブ モードでは、ツールはサーバーにいくつかのリクエストを送信し、スキャンするだけでWebサイトのホームページの一般的なセキュリティ問題を見つけます。サーバーが大量のリクエストを処理できないと思われる場合に使用すると便利です。

アグレッシブモードになります 、この場合、WPscanによって実行される侵入型スキャンはより強力になり、WordPressのすべてのプラグインに脆弱性がある場合はそれを見つけるために、サーバーに何百ものリクエストを送信します。

一方、混合 WPScanツールのデフォルトは、バランスの取れたスキャンを提供するためのアグレッシブモードとパッシブモードの組み合わせです。

したがって、デフォルトの混合を他の2つのいずれかでオーバーライドする場合は、--detection-modeを使用します。 コマンドのオプション-

例: 

wpscan --url  your-website.com --detection-mode aggressive --api-token your-api-key

9。インストールされているすべてのプラグインとテーマを一覧表示し、脆弱性をスキャンします

WordPressのさまざまなアイテムを列挙するには、以下のオプションを-eで使用できます。 フラグ。

vp          ----(Vulnerable plugins)
ap          ----(All plugins)
p           ----(Popular plugins)
vt          ----(Vulnerable themes)
at          ----(All themes)
t           ----(Popular themes)
tt          ----(Timthumbs)
cb          ----(Config backups)
dbe         ----(Db exports)
u           ----(User IDs range. e.g: u1-5)
m           ----(Media IDs range. e.g m1-15)

たとえば、既知の脆弱性を持つすべてのプラグインを一覧表示したい場合は、上記の一覧にあるvpオプションと-eフラグ検出モードを使用します

wpscan --url  your-website.com  -e vp --detection-mode mixed --api-token your-api-key

10WPscanを実行してWAFをバイパスします

スキャンを非表示モードで実行して、WebアプリケーションファイアウォールがWpscanを検出できないようにするには、--random-user-agentを試すことができます。 および--stealthy オプション。

これは、Ubuntu20.04および他の同様のLinuxディストリビューションへのWPscanインストールの簡単なチュートリアルと紹介でした。このツールの詳細については、GitHubページ/ドキュメントをご覧ください。


Ubuntu

  1. Ubuntu20.04LTSにDokuwikiをインストールします

  2. Ubuntu20.04LTSにKarbonをインストールします

  3. Ubuntu 16.04 LtsのRabbitvcs?

  1. Ubuntu20.04にSpiderFootセキュリティスキャナーをインストールする方法

  2. Ubuntu18.04LTSにPython3.7をインストールします

  3. Ubuntu20.04LTSにPython3.9をインストールします

  1. Ubuntu 20.04 LTS/21.04にCMakeをインストールします

  2. LinuxにWPscan(WordPressセキュリティスキャナー)をインストールして使用する

  3. Ubuntu20.04LTSでBitnamiを使用してWordPressをインストールする方法