O que é o WPScan e por que você deve usá-lo para proteger seu site WordPress
Quando falamos em segurança em WordPress, uma das ferramentas mais conhecidas e confiáveis do mercado é o WPScan. Desenvolvido especificamente para escanear vulnerabilidades em sites que utilizam a plataforma WordPress, o WPScan é amplamente utilizado por profissionais de segurança, administradores de sites e entusiastas da área para identificar possíveis brechas de segurança antes que elas sejam exploradas por atacantes.
O WPScan é um scanner de vulnerabilidades baseado em linha de comando, escrito em Ruby, que utiliza uma base de dados constantemente atualizada com falhas conhecidas em temas, plugins e no próprio core do WordPress. Essa base é mantida pela equipe da WPScan e pela comunidade, sendo uma das fontes mais confiáveis para detectar problemas críticos em tempo real.
Para que serve o WPScan?
A principal função do WPScan é realizar uma análise detalhada de segurança em sites WordPress. Entre suas principais funcionalidades, estão:
- Identificação de versões do WordPress (core)
- Detecção de plugins e temas instalados, junto com suas versões
- Verificação de vulnerabilidades conhecidas em plugins, temas e no núcleo do WordPress
- Enumeração de usuários cadastrados no sistema
- Detecção de configurações inseguras ou expostas
- Relatórios de segurança detalhados, facilitando ações corretivas
Essas funções fazem do WPScan uma ferramenta essencial para qualquer auditoria de segurança em WordPress, ajudando a prevenir ataques como injeção de código, execução remota e acesso não autorizado.
Por que usar o WPScan?
Se você administra um site WordPress ou presta serviços de manutenção e segurança, o uso do WPScan é um passo essencial para garantir a integridade e proteção da sua aplicação. Ele permite agir de forma proativa, corrigindo vulnerabilidades antes que elas sejam exploradas por bots ou hackers.
Além disso, o WPScan é uma excelente ferramenta para profissionais de pentest, consultores de segurança e desenvolvedores que desejam manter suas aplicações sempre atualizadas e seguras.
Instalação do WPScan no Ubuntu 24.04 LTS
Atualize o seu sistema:
sudo apt update && sudo apt upgradePrimeiramente, instale o Ruby e suas dependências:
sudo apt install ruby-rubygems ruby-devel ruby-full build-essential libxml2 libxml2-dev libxslt-dev libcurl4-openssl-dev zlib1g-devApós instalado o Ruby, execute a instalação do wpscan
sudo gem install wpscanRode o comando do wpscan para verificar se instalou corretamente
sudo wpscan --helpDeverá ser exibido uma mensagem como a abaixo:
Atualizando o DB do wpscan via API
Crie o arquivo scan.yml no caminho como orientado abaixo.
sudo nano ~/.wpscan/scan.ymlInclua p seu token com o código abaixo.
cli_options:
api_token: YOUR_API_TOKENApós a criação, atualize o banco do wpscan
/usr/bin/gem update wpscan && /usr/local/bin/wpscan --updateCaso queira incluir uma atualização diária, inclua no crontab com os comandos.
sudo crontab -eE coloque no fim do arquivo a linha
@daily /usr/bin/gem update wpscan && /usr/local/bin/wpscan --updateUtilização do WPScan
Atualização:
wpscan --updateEscanear por plugins
wpscan --url http(s)://your-domain.com --enumerate pEscanear plugins vulneráveis
wpscan --url http(s)://your-domain.com --enumerate vpEscanear temas
wpscan --url http(s)://your-domain.com --enumerate tEscanear temas vulneráveis
wpscan --url http(s)://your-domain.com --enumerate vtEscanear contas de usuários
wpscan --url http(s)://your-domain.com --enumerate uEscanear por timthumbs (gerador de miniaturas de imagens)
wpscan --url http(s)://your-domain.com --enumerate ttO WPScan é uma ferramenta muito útil na segurança de sites WordPress.