Lekzoeker
De commandlinetool WPScan controleert een WordPress-installatie aan de hand van een database met bekende lekken op zijn veiligheid.
Het populaire contentmanagementsysteem WordPress is niet waterdicht. Sitebeheerders kunnen met WPScan testen of op hun website is in te breken. De tool onderzoekt de Wordpress-installatie, thema's en plug-ins op bekende lekken. Hiervoor hoef je WPScan alleen maar het adres van de te controleren website door te geven.
Dankzij de methode van black-boxscanner kun je ook zogeheten managedinstallaties controleren. Deze installaties hebben geen directe toegang. Indien nodig tovert WPScan aan de hand van een gemanipuleerde user-agent een browser voor en gebruikt de tool dezelfde cookies als de gebruiker. WPScan kan overigens alleen lekken opsporen die na gebruikersinvoer in de WPScan Vulnerability Database zijn opgenomen.
WPScan controleert met een bruteforce-aanval of een gebruikersaccount een zwak wachtwoord heeft. Daarbij worden woorden uit een door de gebruiker gemaakte lijst uitgeprobeerd – ook tegelijk in meerdere threads.
Je hebt voor WPScan Ruby, Curl en Git nodig. In speciale Linux-distributies als Kali en BlackArch is de tool al standaard geïnstalleerd. Ook is er een Docker-image beschikbaar, waarvan de broncode op GitHub staat. WPScan mag gratis worden gebruikt. Ook bedrijven kunnen er hun eigen website mee checken. Voor commerciële doeleinden moet je wel licentiekosten betalen.