Millionen von Websites werden mit WordPress betrieben und belegen mit ca. 62% des Marktanteils in der CMS-Welt die Nummer eins. Vor 6 Jahren hatte ich hier schon mal berichtet, wie WPScan mit Kali Linux genutzt werden kann. Dort ist es schon vorinstalliert. Aber man kann es auch auf einem Debian Linux auf einen Raspberry Pi installieren und laufen lassen.
Hier mal ein Beispiel auf einem Pi Zero. Es gibt kein Package für wpscan. Aber es läuft unter Ruby, und das kann man leicht installieren.
Also wer ein WordPress am laufen hat, könnte seine eigene (und nur die!) Installation auf Lücken überprüfen, und nicht nur das. WPScan ist eine kostenlose Software, mit der die sicherheitsrelevanten Probleme auf einer WordPress-Site identifiziert werden können. WPScan kann ua.:
- Die verwendete WP Version ausgeben
- Alle installierten Plugins listen
- Alle installierten Themen listen
- Verzeichnis Listing
- WP Versions ausgabe
- Bruce force Usernamen, alle User Listen
- Suchen nach vergessene Backups
- DB dumps
- Media Dateien listen
- Sicherheitslücken ausgeben
- …
Die Installation kann in ca. 1 Stunde wie folgt durchgeführt werden: