امنیت

بررسی وبسایت های وردپرسی با ابزار Wpscan

97/02/05

امروزه بسیاری از وبسایت های مهم دنیا بر پایه سیستم مدیریت محتوا وردپرس می باشند. وردپرس یکی از قدرتمند ترین سیستم مدیریت محتوا در دنیاست که نسبت به سایر سیستم ها از امنیت بهتری برخوردار است. اما یکی از مشکلاتی که معمولا CMS ها با آن مواجه‌اند پلاگین ها و یا افزونه هایی است که سایر افراد تولید و منتشر می کنند. این افزونه ها ممکن است به دلیل نواقص امنیتی که دارند برای سیستم های مدیریت محتوا مشکلاتی را ایجاد نمایند. در این مقاله سعی شده تا با استفاده از ابزار قدرتمند Wpscan یک سایت وردپرسی را بررسی نماییم و همچنین با ویژگی های این ابزار تا حدودی آشنا شویم.

بررسی ویژگی های Wpscan

در ابتدا برای مشاهده ویژگی ها و دستورات کد زیر را وارد می‌کنیم:


wpscan –help

 

wpscan1شکل شماره ۱ _ ویژگی های Wpscan

همانطور که تصویر مشاهده میکنید لیستی از دستورات به همراه توضیحات آنها نمایش داده خواهد شد. یکی از پرکاربردترین دستورات Enumerate می‌باشد که می‌توان به کمک آن تم نصب شده ، پلاگین نصب شده و حتی نام کاربری های موجود در وردپرس را بدست آوریم. بدین منظور کدهای زیر را به ترتیب برای بررسی سایت وارد می‌کنیم:

 


wpscan --url [Website Address] --enumerate u
wpscan --url [Website Address] --enumerate p
wpscan --url [Website Address] --enumerate t

دستور اول لیست کاربران سایت را به همراه اسامی آنان نشان خواهد داد :

woscanusers شکل شماره ۲ _ کاربران سایت

دستور دوم نیز لیستی از پلاگین های استفاده شده در وبسایت را نمایش می‌دهد. درصورتی که پلاگین موجود دارای آسیب پذیری باشد، آدرسی در پایان آن نمایش داده خواهد شد که آسیب پذیری موجود را به صورت کامل توضیح خواهد داد و راهکار های امنیتی آن را هم بررسی می‌کند. در سایت بررسی شده، تعداد ۴ عدد پلاگین نصب شده است :

wpscanpشکل شماره ۳ _ پلاگین های سایت

و در نهایت دستور سوم تم استفاده شده در وبسایت را نمایش خواهد داد :

wpscantheme شکل شماره ۴ _ تم سایت

در پایان نیز باید یادآور شد که برای جلوگیری از سوءاستفاده به وسیله این ابزار راه کارهای امنیتی نیز پیشنهاد شده که می‌توان بوسیله آنها آسیب پذیری سایت را کاهش و از بدست آوردن اطلاعات حساس سایت توسط سایر اشخاص جلوگیری کرد.

 

چکیده سازی در مقابل رمزگذاری

پارسا ادیب

مسئله رمزنگاران خورنده

پارسا ادیب

آشنایی با تهدیدات و حملات در شبکه

معین باباپور