{"id":5835,"date":"2015-07-05T11:21:06","date_gmt":"2015-07-05T09:21:06","guid":{"rendered":"http:\/\/blog.wenzlaff.de\/?p=5835"},"modified":"2024-03-15T09:27:02","modified_gmt":"2024-03-15T08:27:02","slug":"kali-linux-wordpress-security-scanner-wpscan","status":"publish","type":"post","link":"http:\/\/blog.wenzlaff.de\/?p=5835","title":{"rendered":"Kali Linux: WordPress Security Scanner wpscan"},"content":{"rendered":"<p>Wer gerade seinen Raspberry Pi mit Kali laufen hat, kann mal eben seinen WordPress Blog auf Sicherheitsl\u00fccken testen mit dem Ruby wpscan. Bei Kali ist es schon installiert aber auch bei anderen Linux derivaten kann er installiert werden. Was kann der Scanner so:<\/p>\n<ul>\n<li>Alle installierten Plugins listen<\/li>\n<li>Namen des Themas ausgeben<\/li>\n<li>Verzeichnis Listing<\/li>\n<li>Versions ausgabe<\/li>\n<li>Bruce force Usernamen<\/li>\n<li>Sicherheitsl\u00fccken ausgeben<\/li>\n<li>&#8230;<\/li>\n<\/ul>\n<p>Also erst einmal den Scanner (es gibt jetzt auch die Version 2.8) updaten mit:<\/p>\n<pre class=\"lang:default decode:true \" >\r\nwpscan --update\r\n# Scann starten, dauert ein paar Minuten, Domain ersetzen\r\nwpscan --url http:\/\/DOMAIN --random-agent --enumerate\r\n# oder nur die Plugins Listen \r\nwpscan --url www.DOMAIN.de --enumerate\r\n<\/pre>\n<p><a href=\"http:\/\/blog.wenzlaff.de\/wp-content\/uploads\/2015\/06\/Bildschirmfoto-2015-06-28-um-14.19.26.png\"><img loading=\"lazy\" decoding=\"async\" src=\"http:\/\/blog.wenzlaff.de\/wp-content\/uploads\/2015\/06\/Bildschirmfoto-2015-06-28-um-14.19.26.png\" alt=\"Wpscan\" width=\"703\" height=\"428\" class=\"aligncenter size-full wp-image-5836\" srcset=\"http:\/\/blog.wenzlaff.de\/wp-content\/uploads\/2015\/06\/Bildschirmfoto-2015-06-28-um-14.19.26.png 703w, http:\/\/blog.wenzlaff.de\/wp-content\/uploads\/2015\/06\/Bildschirmfoto-2015-06-28-um-14.19.26-300x183.png 300w\" sizes=\"auto, (max-width: 703px) 100vw, 703px\" \/><\/a><\/p>\n<p>Ok, jetzt testen wir mal gegen unseren eigenen WordPress Blog, und nur gegen den, ob das Passwort f\u00fcr admin sicher ist: <\/p>\n<pre class=\"lang:default decode:true \" >\r\n# ein W\u00f6rterbuch laden\r\nwget http:\/\/static.hackersgarage.com\/darkc0de.lst.gz\r\n# ein W\u00f6rterbuch entpacken\r\ngunzip darkc0de.lst.gz\r\n# Scan starten\r\nwpscan --url www.DOMAIN.com --wordlist \/pfad\/zu\/darkc0de.lst --username admin\r\n# und Stunden sp\u00e4ter ...\r\n<\/pre>\n<p>Weitere Beispiele unter <strong>wpscan -help<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Wer gerade seinen Raspberry Pi mit Kali laufen hat, kann mal eben seinen WordPress Blog auf Sicherheitsl\u00fccken testen mit dem Ruby wpscan. Bei Kali ist es schon installiert aber auch bei anderen Linux derivaten kann er installiert werden. Was kann der Scanner so: Alle installierten Plugins listen Namen des Themas ausgeben Verzeichnis Listing Versions ausgabe &hellip; <\/p>\n<p class=\"link-more\"><a href=\"http:\/\/blog.wenzlaff.de\/?p=5835\" class=\"more-link\"><span class=\"screen-reader-text\">\u201eKali Linux: WordPress Security Scanner wpscan\u201c <\/span>weiterlesen<\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_import_markdown_pro_load_document_selector":0,"_import_markdown_pro_submit_text_textarea":"","footnotes":""},"categories":[808,1023,1319],"tags":[2135,2134,230,380,511,176,190,211],"class_list":["post-5835","post","type-post","status-publish","format-standard","hentry","category-linux-2","category-raspberry-pi","category-sicherheit-2","tag-admin","tag-brute-force","tag-linux","tag-passwort","tag-scann","tag-sicherheit","tag-wordpress","tag-wp"],"_links":{"self":[{"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=\/wp\/v2\/posts\/5835","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=5835"}],"version-history":[{"count":0,"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=\/wp\/v2\/posts\/5835\/revisions"}],"wp:attachment":[{"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=5835"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=5835"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=5835"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}