Ryan Dewhurst, étudiant en sécurité anglais, vient de sortir son nouveau projet appelé WPScan, un scanner de sécurité de WordPress.
WordPress est un très bon produit, mais malheureusement il existe des failles de sécurités. Cela peut venir du programme lui-même, du thème que vous utilisez ou encore des plugins que vous avez installés.
Heureusement, il existe plusieurs outils de sécurité pour les administrateurs de WordPress. Aujourd’hui, nous vous proposons un scanner assez simple pour analyser votre installation en y recherchant des failles de sécurité et de vous aider à les fermer : WPScan.
WPScan est un script Ruby avec deux dépendances (typhoeus and xml-simple).
Pour ma part, j’ai fait l’installation sur une Backtrack 5 Gnome 32bit :
sudo apt-get install libcurl4-gnutls-dev
sudo gem install –user-install typhoeus
sudo gem install –user-install xml-simple
Sous Debian/Ubuntu:
sudo apt-get install libcurl4-gnutls-dev
sudo gem install typhoeus
sudo gem install xml-simple
C’est relativement simple. Puis télécharger WPScan ici.
Voici des exemples d’utilisation :
ruby wpscan.rb –url www.example.com
ruby wpscan.rb –url www.example.com –wordlist darkc0de.lst –threads 50
ruby wpscan.rb –url www.example.com –wordlist darkc0de.lst –username admin
et en vidéo :
Vraiment indispensable à tout utilisateur de WordPress.