[WordPress Security Scanner]WordPressの脆弱性をスキャン！？WPSekuを使ってみた！

WordPressの脆弱性ってmajide恐ろしいですよね?サーバに詳しくない人が運用するとすぐ乗っ取られましたとか…そもそもWordPressの脆弱性をスキャンしてくれるサービスやOSSってなかなかない！

そこで！！

wpscanは内部からのスキャンだけど、外から叩くタイプのwordpress脆弱性スキャナ TODOhttps://t.co/ukVrOCAxHe

— ちょんまげ (@kotakanbe) October 16, 2018

神戸さんがこんなツイートをシェアしてたので早速試してみました。(はやっ)

---

■WPSeku – WordPress Security Scanner

https://github.com/m4ll0k/WPSeku

WordPress脆弱性スキャナは、プラグイン/ログインパスワード/テーマ/wordpressのコード)を内部や外部で発見することができるOSS。WPSekuはWPScan Vulnerability Databaseを使ってパースしている模様。 言語はPythonでできてるみたい。早速自分のブログをスキャンしてやりました。

---

■Installation

基本ローカルにインストールしてURLでスキャンできますが、テーマやwordpress自体のコードもスキャンしたかったのでサーバ上に今回はインストールしています。

・git clone

---

■Usage

・Generic Scan blog.adachin.me

とりあえず脆弱性はなさそう！！セキュア！
ログインユーザーもわかりますな。(偽装してます)

・Scan plugin,theme and wordpress code

ドキュメントルート配下全てスキャンされました。(長いので省略)
他にもパスワード辞書を使って、Bruteforce Loginチェックもできます。(激アツかよ)

---

■まとめ

非常に面白い！このスキャン結果をslackに通知できるようになったら良さそう。
その前に神戸さんVulsでちゃちゃっと作りそう。
ちなみにBruteforce Login scanはDDoS並みにアタックするので皆さん気をつけましょうｗ
みなさんもお試しあれ！

■関連記事