Technology

Melacak Celah Security WordPress dengan WPSCAN

 

   

Fungsi WPSCAN adalah mengintip versi WordPress sebuah website. Tidak sebatas itu, dia bahkan bisa digunakan untuk melihat celah dari suatu plugin / theme yang digunakan website anda. Manakah yang rentan dan memungkinkan disusupi hacker.

Dari sinilah anda mampu memanfaatkan WPSCAN untuk melakukan tindakan preventif terhadap serangan hacker.

Aplikasi ini hanya bisa diinstall di beberapa distro Linux dan MAC saja. https://github.com/wpscanteam/wpscan. Kali ini saya akan mengulas cara instalasi dan penggunaan WPSCAN di Debian 6.

1. Lakukan secara beruntun perintah di bawah ini:

# apt-get update
# apt-get upgrade
# apt-get install git make libcurl4-openssl-dev libopenssl-ruby libxml2 libxml2-dev libxslt1-dev ruby-dev
# apt-get install curl
# \curl -L https://get.rvm.io | bash -s stable –ruby
# git clone https://github.com/wpscanteam/wpscan.git
# gem install bundler
# cd wpscan
# bundle install –without test development
# find /usr/local/ -name ‘readline’
# cd /usr/local/rvm/src/ruby-1.9.3-p385/ext/readline
# ruby extconf.rb
# make
# make install
# cd wpscan/
# wget http://static.hackersgarage.com/darkc0de.lst.gz
# gunzip darkc0de.lst.gz

2. Setelah semua selesai dilakukan, maka wpscan sudah siap digunakan. Berikut perintah dasar untuk menggunakan wpscan:

–update  (Update to the latest revision)
–url     -u <target url>  (The WordPress URL/domain to scan)
–force   -f (Forces WPScan to not check if the remote site is running WordPress)
–enumerate | -e [option(s)]  Enumeration.

option :
u        (usernames from id 1 to 10)
u[10-20] (usernames from id 10 to 20. you must write [] chars)
p        (plugins)
vp       (only vulnerable plugins)
ap       (all plugins. Can take a long time)
tt       (timthumbs)
t        (themes)
vt       (only vulnerable themes)
at       (all themes. Can take a long time)

3. Berikut adalah contoh penerapan argumen tersebut. Misalnya untuk cek plugin WordPress yang kita gunakan:

/wpscan# ruby wpscan.rb –url www.abc.com –enumerate vp

WPSCAN dalam tahap ini akan membandingkan dengan daftar plugin yang mengandung lubang sekuriti yang dapat diexploitasi. Sehingga blia ditemukan plugin yang sesuai dengan daftar plugin berlubang, sejumlah link akan langsung ditampilkan bersama penjelasan lebih lanjut untuk melakukan exploitasi terhadap plugin tersebut, sekaligus aplikasi apa yang dapat digunakan untuk mengexploitasi lubang tersebut. Berikut saya lampirkan log percobaan saya:

1. https://github.com/wpscanteam/wpscan/issues/128

2. install ruby dan rubygem:
http://naturaljenius.com/learning-rails-installing-rails-part-1-debian/

http://vvv.tobiassjosten.net/ruby-on-rails/fixing-readline-for-the-ruby-on-rails-console/

3. #sudo apt-get install libcurl4-gnutls-dev libopenssl-ruby libxml2 libxml2-dev libxslt1-dev ruby-dev
#git clone https://github.com/wpscanteam/wpscan.git
#cd wpscan
#sudo gem install bundler && bundle install –without test development

Saya harap tutorial ini tidak untuk disalahgunakan. Melainkan sesuai dengan tujuan awal pembuatannya, yaitu mengenalkan anda pada dunia sekuriti agar anda bisa lebih siap untuk menghalau serangan hacker. Terutama jika plugin atau theme WordPress yang anda pasang mengandung kerentanan. Anda tidak akan pernah tahu kecuali: 1. Website anda merasakan serangan hacker lebih dulu atau, 2. Anda mencegah serangan hacker dengan tahu lebih awal.

Nah JagFamily, argumen di atas hanya sebagian kecil saja. Anda masih bisa bereksplorasi ria. Jadi, selamat mencoba ;-)


Artikel Terkait

5 komentar

  • 3 April 2013 - pukul 11:16

    Cara instal WPSCAN itu lwt di komputer atau di dalam wabsite saya mas?
    Mohon penjelasanya

    • 12 April 2013 - pukul 6:26

      Itu tutorialnya bisa diinstall di komputer pak azhar :) , tapi dengan os debian 6 .
      Untuk wpscan tidak bisa diinstall di website, karena wpscan bukan antivirus melainkan aplikasi yang perlu dijalankan secara manual.

  • 17 April 2013 - pukul 11:38

    om di install di Ubuntu bisa tidak?

  • 17 April 2013 - pukul 14:35

    Bisa juga mas virmansyah, disini kalau mau nyoba https://github.com/wpscanteam/wpscan .
    Tapi yang bener bener sudah saya test di Centos 6 :)

  • 9 June 2014 - pukul 13:52

    Keren gan…
    kunjungan tempat ane juga yaa.. :D

Berikan Komentar

Your email address will not be published. Required fields are marked *