Come utilizzare WPScan per analizzare sito WordPress

Come utilizzare WPScan per violare il tuo sito web WordPress 5.4

Come utilizzare WPScan per violare il tuo sito web?  Iniziamo prima a chiederci cos’è WPScan?

WPScan è un web scanner dedicato creato per analizzare e cercare falle di sicurezza all’interno della piattaforma di blogging (CMS) WordPress. Il tool WPScan è in grado di testare un sito che adotta un CMS WordPress controllare la presenza di vulnerabilità che devono essere sistemate, purtroppo molte volte anche zero day.

Come utilizzare WPScan? Il tool contiene un database e degli algoritmi particolari che permettono di eseguire delle azioni di enumerazione, controlli di vulnerabilità più comuni, attacchi su password a dizionario e tante altre cose ancora.

Questo tool permette di violare siti web WordPress?

Il tool serve per analizzare il tuo sito web e scovare le possibili vulnerabilità in modo che tu possa rendere il tuo sito sicuro. Purtroppo c’è anche chi utilizza il tool per eseguire delle scansioni di altri siti e tentare di sfruttare le vulnerabilità che presenta e tentare un exploit. Quest’ultima procedura non fa il caso nostro, l’intenzione e solo mostrarti come si utilizza WPScan per analisi di sicurezza.

Come installare WPScan

Beh, se utilizzate Kali Linux non avete la necessità di installare il tool se invece utilizzate un’altra distribuzione come Ubuntu dovete installarlo.

Prima di poter installare WordPress Security Scanner (WPScan) su Ubuntu, assicurarsi che siano installate le seguenti dipendenze e che il sistema sia aggiornato.

sudo apt install libcurl4-openssl-dev libxml2 libxml2-dev libxslt1-dev ruby-dev build-essential libgmp-dev zlib1g-dev

Quindi installare lo strumento di controllo versione Git.

sudo apt install git

Clona il repository Github.

git clone https://github.com/wpscanteam/wpscan.git

Ora procedi ad installare WPScan:

cd wpscan
sudo gem install bundler
bundle install --without test development

Avvia WPSCan:

ruby wpscan.rb

Come utilizzare WPScan

Come utilizzare WPScan?La sintassi è veramente semplice, se vuoi imparare ad utilizzare WPScan il primo comando da lanciare dal tuo terminale è:

wpscan --help

visualizzerai una schermata che mostra le possibili combinazioni di scansioni effettuabili con WPScan. Tra le più interessanti ci sono l’enumerazione degli utenti registrati, l’enumerazione dei plugin installati, l’elenco delle cartelle di contenuti e plugin e la possibilità di effettuare una scansione dietro un proxy.

Esempi di scansione WPScan

Ecco alcuni esempi su come eseguire la scansione delle vulnerabilità del blog di WordPress. Assicurati di eseguire gli esempi seguenti sul tuo proprio blog. È illegale scansionare i siti di altre persone!

Il comando base per scansionare l’intero blog è il seguente:

wpscan --url wordpress.example.com

WPScan può eseguire la scansione dei protocolli http e https . Se non specificato, scansionerà http per impostazione predefinita.

Esistono tre modalità di rilevamento in cui wpscan può essere eseguito su un sito WordPress: passive, aggressive, mixed(default).

  1. La modalità passive esegue un rilevamento non intrusivo, ovvero invia alcune richieste al server. Di solito esegue la scansione della home page per individuare eventuali vulnerabilità. È meno probabile che la modalità passiva venga rilevata dalle soluzioni IDS/IPS.
  2. La modalità aggressive invece esegue una scansione più invadente in quanto invia moltissime richieste al server. Prova tutti i plugin possibili anche se il plugin non ha vulnerabilità note ad esso collegate. Ciò può comportare un aumento del carico sul server di destinazione.
  3. La modalità mixed(default) utilizza una combinazione di aggressivo e passivo

Come utilizzare WPScan in modalità non rilevabile

Eseguire wpscan in una modalità invisibile  significa (–random-user-agent –detection-mode passive –plugins-version-detection passive), specificare l’opzione –stealthy.

wpscan --url wordpress.example.com --stealthy

Funzionalità WPScan: Enumerare gli utenti registrati

Passiamo all’azione! Per scoprire gli utenti che possono accedere al sito WordPress utilizziamo il comando:

wpscan --url http://www.urldelsito.com/ --enumerate U

si avvierà una scansione del sito, che terminerà mostrando una tabella con i nomi degli utenti.

Come utilizzare WPScan - Enumerazione Utenti
Come utilizzare WPScan – Enumerazione Utenti

Lanciare l’attacco a dizionario e testare la password

Dopo aver elencato i nomi utente, puoi provare a eseguire un attacco di Brute force sull’utente individuato con il comando:

wpscan --url http://www.urldelsito.com/ --wordlist /path/dizionario/wordlist --username utente

WPScan inizierà a provare tutte le password presenti nel dizionario per il nome utente specificato. Una volta trovata quella giusta si bloccherà indicando il successo dell’operazione e mostrando una tabella con la password affiancata al nome dell’utente. Beh se hai questo risultato non è una bella notizia! Cambia la password impostandone una robusta!

Verificare la presenza di plugin vulnerabili

Per cercare plugin vulnerabili sul tuo blog WordPress, passa l’opzione -e/–enumerate [OPTS] al comando wpscan dove [OPTS]può essere; vp (vulnerable plugins), ap (all plugins), p (plugins). Ad esempio, per cercare tutti i plugin che hanno vulnerabilità ad esso collegate.

wpscan --http://www.urldelsito.com/ -e vp

Verificare la presenza di temi vulnerabili

Proprio come abbiamo usato l’opzione -e/–enumerate [OPTS] per verificare la presenza di plugin vulnerabili, lo stesso può essere fatto quando si controllano i temi vulnerabili; vt (Vulnerable themes), at (All themes), t (Themes). Ad esempio, per cercare temi con vulnerabilità note.

wpscan --url wordpress.example.com -e vt

Conclusioni

Abbiamo visto come utilizzare WPScan. Utilizza il tool in maniera responsabile e non eseguire scansioni su siti altrui! Il tutto è perseguibile dalla legge.

Altre guida su questo blog:

 

 

Autore Bartolomeo

Consulente tecnico con la passione per il web e la tecnologia e tutto quello che le ronza intorno.
Nel tempo libero scrivo articoli per il mio blog su argomenti vari, in particolare su configurazione Windows, Linux e WordPress.

Condividi questo articolo!

2 Commenti

Bartolomeo Rispondi

Ciao Juri,
no puoi stare tranquillo. Sei tu il proprietario del tuo sito e non vai contro a problemi giudiziari. Inoltre, tutti fanno dei scan sul proprio sito per migliorare aspetti della sicurezza del proprio sito.
WPScan è uno strumento messo a disposizione di tutti.
Saluti

Juri Nacciarriti Rispondi

Grazie per l’articolo! Una domanda (forse banale): se uso wpscan su un MIO sito, posso avere problemi giudiziari? (tipo che scoprono che ho fatto lo scan e poi devo dimostrare che ero io che lo stavo provando su un mio sito e non che stavo facendo un attacco a qualcuno)

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Ho letto la policy privacy e accetto il trattamento dei miei dati personali in conformità al D.Lgs. 196/2003