WordPress auf Sicherheitslücken überprüfen mit WPScan auf einem Raspberry PI unter Debian – es muss nicht immer Kali sein und “ I Still Have Faith In You“

Millionen von Websites werden mit WordPress betrieben und belegen mit ca. 62% des Marktanteils in der CMS-Welt die Nummer eins. Vor 6 Jahren hatte ich hier schon mal berichtet, wie WPScan mit Kali Linux genutzt werden kann. Dort ist es schon vorinstalliert. Aber man kann es auch auf einem Debian Linux auf einen Raspberry Pi installieren und laufen lassen.

Hier mal ein Beispiel auf einem Pi Zero. Es gibt kein Package für wpscan. Aber es läuft unter Ruby, und das kann man leicht installieren.

Also wer ein WordPress am laufen hat, könnte seine eigene (und nur die!) Installation auf Lücken überprüfen, und nicht nur das. WPScan ist eine kostenlose Software, mit der die sicherheitsrelevanten Probleme auf einer WordPress-Site identifiziert werden können. WPScan kann ua.:

• Die verwendete WP Version ausgeben
• Alle installierten Plugins listen
• Alle installierten Themen listen
• Verzeichnis Listing
• WP Versions ausgabe
• Bruce force Usernamen, alle User Listen
• Suchen nach vergessene Backups
• DB dumps
• Media Dateien listen
• Sicherheitslücken ausgeben
• …

Die Installation kann in ca. 1 Stunde wie folgt durchgeführt werden:

Ergebnis:

Dann mal ein erster Scann:

wpscan –url http(s)://EIGENE.DOMAINE -e

Das kann dann einige Minuten dauern (in diesem Fall 5 Minuten), bis alle Checks durch sind, hier mal ein paar Auszüge:

Wer nur die Plugins überprüfen will, kann auch schnell (1-2 Minuten) den Parameter -e vp (Vulnerable plugins) aufrufen:

wpscan –url http(s)://EIGENE.DOMAINE -e vp

Weitere Infos in engl. gibt es im Handbuch oder hier und auch eine DB mit Fehlerbeschreibung. Dazu muss ein Api-Key auf erstellt werden. Für 25 Aufrufe ist das kostenlose. Wer es braucht … Und es gibt auch ein WPScan-Plugin. Wer es braucht …