Come utilizzare WPScan per violare il tuo sito web? Iniziamo prima a chiederci cos’è WPScan?
WPScan è un web scanner dedicato creato per analizzare e cercare falle di sicurezza all’interno della piattaforma di blogging (CMS) WordPress. Il tool WPScan è in grado di testare un sito che adotta un CMS WordPress controllare la presenza di vulnerabilità che devono essere sistemate, purtroppo molte volte anche zero day.
Come utilizzare WPScan? Il tool contiene un database e degli algoritmi particolari che permettono di eseguire delle azioni di enumerazione, controlli di vulnerabilità più comuni, attacchi su password a dizionario e tante altre cose ancora.
Questo tool permette di violare siti web WordPress?
Il tool serve per analizzare il tuo sito web e scovare le possibili vulnerabilità in modo che tu possa rendere il tuo sito sicuro. Purtroppo c’è anche chi utilizza il tool per eseguire delle scansioni di altri siti e tentare di sfruttare le vulnerabilità che presenta e tentare un exploit. Quest’ultima procedura non fa il caso nostro, l’intenzione e solo mostrarti come si utilizza WPScan per analisi di sicurezza.
Sommario
Come installare WPScan
Beh, se utilizzate Kali Linux non avete la necessità di installare il tool se invece utilizzate un’altra distribuzione come Ubuntu dovete installarlo.
Prima di poter installare WordPress Security Scanner (WPScan) su Ubuntu, assicurarsi che siano installate le seguenti dipendenze e che il sistema sia aggiornato.
sudo apt install libcurl4-openssl-dev libxml2 libxml2-dev libxslt1-dev ruby-dev build-essential libgmp-dev zlib1g-dev
Quindi installare lo strumento di controllo versione Git.
sudo apt install git
Clona il repository Github.
git clone https://github.com/wpscanteam/wpscan.git
Ora procedi ad installare WPScan:
cd wpscan
sudo gem install bundler
bundle install --without test development
Avvia WPSCan:
ruby wpscan.rb
Come utilizzare WPScan
Come utilizzare WPScan?La sintassi è veramente semplice, se vuoi imparare ad utilizzare WPScan il primo comando da lanciare dal tuo terminale è:
wpscan --help
visualizzerai una schermata che mostra le possibili combinazioni di scansioni effettuabili con WPScan. Tra le più interessanti ci sono l’enumerazione degli utenti registrati, l’enumerazione dei plugin installati, l’elenco delle cartelle di contenuti e plugin e la possibilità di effettuare una scansione dietro un proxy.
Esempi di scansione WPScan
Ecco alcuni esempi su come eseguire la scansione delle vulnerabilità del blog di WordPress. Assicurati di eseguire gli esempi seguenti sul tuo proprio blog. È illegale scansionare i siti di altre persone!
Il comando base per scansionare l’intero blog è il seguente:
wpscan --url wordpress.example.com
WPScan può eseguire la scansione dei protocolli http e https . Se non specificato, scansionerà http per impostazione predefinita.
Esistono tre modalità di rilevamento in cui wpscan può essere eseguito su un sito WordPress: passive, aggressive, mixed(default).
- La modalità passive esegue un rilevamento non intrusivo, ovvero invia alcune richieste al server. Di solito esegue la scansione della home page per individuare eventuali vulnerabilità. È meno probabile che la modalità passiva venga rilevata dalle soluzioni IDS/IPS.
- La modalità aggressive invece esegue una scansione più invadente in quanto invia moltissime richieste al server. Prova tutti i plugin possibili anche se il plugin non ha vulnerabilità note ad esso collegate. Ciò può comportare un aumento del carico sul server di destinazione.
- La modalità mixed(default) utilizza una combinazione di aggressivo e passivo
Come utilizzare WPScan in modalità non rilevabile
Eseguire wpscan in una modalità invisibile significa (–random-user-agent –detection-mode passive –plugins-version-detection passive), specificare l’opzione –stealthy.
wpscan --url wordpress.example.com --stealthy
Funzionalità WPScan: Enumerare gli utenti registrati
Passiamo all’azione! Per scoprire gli utenti che possono accedere al sito WordPress utilizziamo il comando:
wpscan --url http://www.urldelsito.com/ --enumerate U
si avvierà una scansione del sito, che terminerà mostrando una tabella con i nomi degli utenti.

Lanciare l’attacco a dizionario e testare la password
Dopo aver elencato i nomi utente, puoi provare a eseguire un attacco di Brute force sull’utente individuato con il comando:
wpscan --url http://www.urldelsito.com/ --wordlist /path/dizionario/wordlist --username utente
WPScan inizierà a provare tutte le password presenti nel dizionario per il nome utente specificato. Una volta trovata quella giusta si bloccherà indicando il successo dell’operazione e mostrando una tabella con la password affiancata al nome dell’utente. Beh se hai questo risultato non è una bella notizia! Cambia la password impostandone una robusta!
Verificare la presenza di plugin vulnerabili
Per cercare plugin vulnerabili sul tuo blog WordPress, passa l’opzione -e/–enumerate [OPTS] al comando wpscan dove [OPTS]può essere; vp (vulnerable plugins), ap (all plugins), p (plugins). Ad esempio, per cercare tutti i plugin che hanno vulnerabilità ad esso collegate.
wpscan --http://www.urldelsito.com/ -e vp
Verificare la presenza di temi vulnerabili
Proprio come abbiamo usato l’opzione -e/–enumerate [OPTS] per verificare la presenza di plugin vulnerabili, lo stesso può essere fatto quando si controllano i temi vulnerabili; vt (Vulnerable themes), at (All themes), t (Themes). Ad esempio, per cercare temi con vulnerabilità note.
wpscan --url wordpress.example.com -e vt
Conclusioni
Abbiamo visto come utilizzare WPScan. Utilizza il tool in maniera responsabile e non eseguire scansioni su siti altrui! Il tutto è perseguibile dalla legge.
Altre guida su questo blog:
- Deadlock in SQL Server 2019. Come gestirli
- Installare software senza privilegi di amministratore su Windows 11
- Che cos’è lo spoofing IP e a cosa serve?
- Processo boot Linux. Come avviene l’avvio del sistema operativo
- Aggiornare Ubuntu da terminale. Ecco 5 comandi da utilizzare
Ciao Juri,
no puoi stare tranquillo. Sei tu il proprietario del tuo sito e non vai contro a problemi giudiziari. Inoltre, tutti fanno dei scan sul proprio sito per migliorare aspetti della sicurezza del proprio sito.
WPScan è uno strumento messo a disposizione di tutti.
Saluti
Grazie per l’articolo! Una domanda (forse banale): se uso wpscan su un MIO sito, posso avere problemi giudiziari? (tipo che scoprono che ho fatto lo scan e poi devo dimostrare che ero io che lo stavo provando su un mio sito e non che stavo facendo un attacco a qualcuno)