Lompat ke konten Lompat ke sidebar Lompat ke footer

Cara Cek Keamanan WordPress Menggunakan WPScan


Apa itu WPScan ?

WPScan adalah tools yang dirancang khusus untuk meneliti celah-celah keamanan WordPress.

Sampai sejauh ini saya rasa WPScan masih merupakan tool terbaik untuk melakukan audit keamanan pada website yang menggunakan CMS WordPress. Tool ini bisa dipakai untuk langkah awal dalam menangani masalah keamanan di WordPress karena modul scanner di tool ini sudah cukup lengkap. Bahkan pasif scan nya bisa langsung mendeteksi plugin mana yang sudah kadaluarsa dan harus diupdate (jika ada).

Yang tertarik mencoba bisa langsung clone project WPScan di GitHub. Jika kalian pengguna Kali Linux, tool ini sudah tersedia di repository dan bisa diinstall menggunakan perintah

 

sudo apt update && sudo apt install -y wpscan

Selanjutnya update database WPScan dengan perintah

wpscan --update

Untuk melihat perintah apa saya yang bisa digunakan, cek menggunakan command

wpscan -h

Berikut flag yang biasa saya gunakan untuk melakukan scanning.

wpscan --rua -t 10 --force --url https://domain.com

Perintah diatas akan menjalankan wpscan dengan random user agent dengan thread maksimal 10 dan juga flag "--force" disini ditujukan agar wpscan tetap melakukan scan jika indexnya memunculkan error 403 atau forbidden.


Jika ingin mengenumerasi username bisa tambahkan flag "--enumerate u". Contoh

wpscan --rua -t 10 --force --enumerate u --url https://domain.com

Nah, agar data vulnerability terintegrasi dengan API WPScan, kalian juga bisa tambahkan flag token. Untuk tokennya kalian bisa register di WPScan. API nya cek di dashboard.

Pengguna gratis akan mendapatkan jatah sebanyak 25 request per hari. Lumayan lah untuk pemakaian harian.

Nah cara menggunakan tokennya di wpscan tinggal tambahkan flag "--api-token". Contoh:

wpscan --rua -t 10 --force --api-token randomapitokendisini --url https://domain.com

Kalian juga bisa menyimpan tokennya di file ~/.wpscan/scan.yml. Lalu Tambahkan baris berikut:

cli_options:
api_token: YOUR_API_TOKEN

Sesuaikan sendiri dengan API token kalian.


Oke mungkin sekian dulu pembahasan mengenai WPScan. Jika ada yang ingin ditanyakan silahkan komentar. Dan jika dirasa bermanfaat silahkan dibagikan.

Posting Komentar untuk "Cara Cek Keamanan WordPress Menggunakan WPScan "