WPScan - ഒരു ബ്ലാക്ക് ബോക്സ് വേർഡ്പ്രസ്സ് വൾനറബിലിറ്റി സ്കാനർ

വേർഡ്പ്രസ്സ് വെബിലുടനീളം ഉണ്ട്; അവിടെയുള്ള ഏറ്റവും ജനപ്രിയവും ഏറ്റവും കൂടുതൽ ഉപയോഗിക്കുന്നതുമായ ഉള്ളടക്ക മാനേജ്മെന്റ് സിസ്റ്റം (CMS) ആണ്. നിങ്ങളുടെ വെബ്uസൈറ്റോ ബ്ലോഗോ വേർഡ്uപ്രസ്സ് നൽകുന്നതാണോ? ക്ഷുദ്രകരമായ ഹാക്കർമാർ എല്ലാ മിനിറ്റിലും വേർഡ്പ്രസ്സ് സൈറ്റുകളെ ആക്രമിക്കുന്നത് നിങ്ങൾക്കറിയാമോ? നിങ്ങൾ ചെയ്തില്ലെങ്കിൽ, ഇപ്പോൾ നിങ്ങൾക്കറിയാം.

നിങ്ങളുടെ വെബ്uസൈറ്റോ ബ്ലോഗോ സുരക്ഷിതമാക്കുന്നതിനുള്ള ആദ്യപടി ഒരു അപകടസാധ്യത വിലയിരുത്തുക എന്നതാണ്. ഇത് നിങ്ങളുടെ സൈറ്റിലോ അതിന്റെ അടിസ്ഥാന വാസ്തുവിദ്യയിലോ ഉള്ള പൊതുവായ സുരക്ഷാ പഴുതുകൾ (പൊതുജനങ്ങൾക്ക് അറിയാവുന്ന) തിരിച്ചറിയാനുള്ള ഒരു പ്രവർത്തനമാണ്.

ഈ ലേഖനത്തിൽ, സുരക്ഷാ പ്രൊഫഷണലുകൾക്കും വെബ്uസൈറ്റ് പരിപാലിക്കുന്നവർക്കും അവരുടെ വെബ്uസൈറ്റുകളുടെ സുരക്ഷ പരിശോധിക്കുന്നതിനായി സൃഷ്ടിച്ച ഒരു സൗജന്യ സ്കാനറായ WPScan എങ്ങനെ ഇൻസ്റ്റാൾ ചെയ്യാമെന്നും ഉപയോഗിക്കാമെന്നും ഞങ്ങൾ നിങ്ങളെ കാണിക്കും.

ലിനക്സ് സിസ്റ്റങ്ങളിൽ WPScan എങ്ങനെ ഇൻസ്റ്റാൾ ചെയ്യാം

WPScan ഇൻസ്റ്റാൾ ചെയ്യുന്നതിനും പ്രവർത്തിപ്പിക്കുന്നതിനുമുള്ള ശുപാർശ ചെയ്യപ്പെടുന്ന മാർഗ്ഗം ഔദ്യോഗിക ഡോക്കർ ഇമേജ് ഉപയോഗിക്കുക എന്നതാണ്, ഇത് ഇൻസ്റ്റാളേഷൻ പ്രശ്നങ്ങൾ (സാധാരണ ഡിപൻഡൻസി പ്രശ്നങ്ങൾ) ഒഴിവാക്കാൻ നിങ്ങളെ സഹായിക്കും.

നിങ്ങളുടെ സിസ്റ്റത്തിലേക്ക് ഡോക്കർ റിപ്പോസിറ്ററി ചേർക്കുകയും ആവശ്യമായ പാക്കേജുകൾ ഇൻസ്റ്റാൾ ചെയ്യുകയും ചെയ്യുന്ന ഒരു ഷെൽ സ്ക്രിപ്റ്റ് ഡൗൺലോഡ് ചെയ്ത് പ്രവർത്തിപ്പിക്കുന്നതിന് നിങ്ങൾക്ക് cURL പ്രോഗ്രാം ഉണ്ടായിരിക്കണം.

$ sudo curl -fsSL https://get.docker.com | sh

ഡോക്കർ വിജയകരമായി ഇൻസ്uറ്റാൾ ചെയ്uതുകഴിഞ്ഞാൽ, സേവനം ആരംഭിക്കുക, സിസ്റ്റം ബൂട്ട് സമയത്ത് അത് സ്വയമേവ ആരംഭിക്കാൻ പ്രാപ്uതമാക്കുക, താഴെപ്പറയുന്ന രീതിയിൽ പ്രവർത്തിക്കുന്നുണ്ടോയെന്ന് പരിശോധിക്കുക.

# sudo systemctl start docker
# sudo systemctl enable docker
# sudo systemctl status docker

അടുത്തതായി, ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിച്ച് WPScan ഡോക്കർ ഇമേജ് വലിക്കുക.

$ docker pull wpscanteam/wpscan

WPScan ഡോക്കർ ഇമേജ് ഡൗൺലോഡ് ചെയ്തുകഴിഞ്ഞാൽ, താഴെ പറയുന്ന കമാൻഡ് ഉപയോഗിച്ച് നിങ്ങളുടെ സിസ്റ്റത്തിലെ ഡോക്കർ ഇമേജുകൾ ലിസ്റ്റ് ചെയ്യാം.

$ docker images

ഇനിപ്പറയുന്ന സ്uക്രീൻഹോട്ടിൽ നിന്നുള്ള ഔട്ട്uപുട്ട് നോക്കുമ്പോൾ, WPScan റിപ്പോസിറ്ററി ഇമേജ് wpscanteam/wpscan ആണ്, അത് നിങ്ങൾ അടുത്ത വിഭാഗത്തിൽ ഉപയോഗിക്കും.

WPScan ഉപയോഗിച്ച് വേർഡ്പ്രസ്സ് വൾനറബിലിറ്റി സ്കാൻ എങ്ങനെ നടത്താം

WPScan ഉപയോഗിച്ച് ഒരു അപകടസാധ്യത സ്കാൻ ചെയ്യുന്നതിനുള്ള ഏറ്റവും ലളിതമായ മാർഗ്ഗം, കാണിച്ചിരിക്കുന്നതുപോലെ നിങ്ങളുടെ WordPress വെബ്സൈറ്റിന്റെ URL നൽകുക എന്നതാണ് (നിങ്ങളുടെ സൈറ്റിന്റെ URL ഉപയോഗിച്ച് www.example.com മാറ്റിസ്ഥാപിക്കുക).

$ docker run wpscanteam/wpscan --url www.example.com

സെർവർ (വെബ് സെർവർ തരവും പതിപ്പും), X-POWERED-BY (PHP പതിപ്പ്) പോലുള്ള രസകരമായ HTTP തലക്കെട്ടുകൾ കണ്ടെത്താൻ WPScan ശ്രമിക്കും; ഇത് ഏതെങ്കിലും തുറന്നുകാട്ടപ്പെട്ട API-കൾ, RSS ഫീഡ് ലിങ്ക്, ഉപയോക്താക്കൾ എന്നിവയ്ക്കായി നോക്കും.

തുടർന്ന് അത് വേർഡ്പ്രസ്സ് പതിപ്പ് എണ്ണിത്തിട്ടപ്പെടുത്തുകയും അത് കാലികമാണോ അല്ലെങ്കിൽ കണ്ടെത്തിയ പതിപ്പ് നമ്പറുമായി ബന്ധപ്പെട്ട എന്തെങ്കിലും കേടുപാടുകൾ ഉണ്ടോ എന്ന് പരിശോധിക്കുകയും ചെയ്യും. കൂടാതെ, തീമും ഇൻസ്റ്റാൾ ചെയ്ത പ്ലഗിനുകളും കാലികമാണെന്ന് കണ്ടെത്താൻ ഇത് ശ്രമിക്കും.

ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിച്ച് 30 ത്രെഡുകൾ ഉപയോഗിച്ച് എണ്ണപ്പെട്ട ഉപയോക്താക്കളിൽ നിങ്ങൾക്ക് വേഡ്uലിസ്റ്റ് പാസ്uവേഡ് ബ്രൂട്ട് ഫോഴ്uസ് നടത്താൻ കഴിയും. --wordlist, --threads ഫ്ലാഗുകൾ വേഡ്uലിസ്റ്റ് വ്യക്തമാക്കുന്നതിനും ത്രെഡുകളുടെ എണ്ണം സ്വീകാര്യമായി സജ്ജമാക്കുന്നതിനും.

$ docker run wpscanteam/wpscan --url www.example.com --wordlist wordlist_file.txt --threads 30

\അഡ്മിൻ ഉപയോക്തൃനാമത്തിൽ മാത്രം ഒരു വേഡ്uലിസ്റ്റ് പാസ്uവേഡ് ബ്രൂട്ട് ഫോഴ്uസ് നടപ്പിലാക്കുന്നതിന്, ഇനിപ്പറയുന്ന കമാൻഡ് പ്രവർത്തിപ്പിക്കുക.

$ docker run wpscanteam/wpscan --url www.example.com --wordlist wordlist_file.txt --username admin

പകരമായി, നിങ്ങളുടെ സിസ്റ്റത്തിലെ ഒരു പ്രാദേശിക വേഡ്uലിസ്റ്റ് ഡോക്കർ കണ്ടെയ്uനറിലേക്ക് മൗണ്ട് ചെയ്യാനും ഉപയോക്തൃ അഡ്uമിനിനായി ഒരു ബ്രൂട്ട്uഫോഴ്uസ് ആക്രമണം ആരംഭിക്കാനും കഴിയും.

$ docker run -it --rm -v ~/wordlists:/wordlists wpscanteam/wpscan --url www.example.com --wordlist /wordlists/wordlist_file.txt --username admin

ഇൻസ്റ്റാൾ ചെയ്ത പ്ലഗിനുകൾ കണക്കാക്കാൻ, ഇനിപ്പറയുന്ന കമാൻഡ് പ്രവർത്തിപ്പിക്കുക.

$ docker run wpscanteam/wpscan --url www.example.com --enumerate p

ഇൻസ്റ്റാൾ ചെയ്ത പ്ലഗിനുകൾ എണ്ണിയാൽ മതിയാകുന്നില്ലെങ്കിൽ, കാണിച്ചിരിക്കുന്നതുപോലെ നിങ്ങൾക്ക് എല്ലാ എണ്ണൽ ഉപകരണങ്ങളും പ്രവർത്തിപ്പിക്കാം.

$ docker run wpscanteam/wpscan --url www.example.com --enumerate

ഔട്ട്പുട്ട് ഡീബഗ്ഗിംഗ് പ്രവർത്തനക്ഷമമാക്കാൻ, --debug-output ഫ്ലാഗ് ഉപയോഗിക്കുക, പിന്നീടുള്ള വിശകലനത്തിനായി ഔട്ട്പുട്ട് ഒരു ഫയലിലേക്ക് റീഡയറക്ട് ചെയ്യുക.

$ docker run wpscanteam/wpscan --url www.example.com --debug-output 2>debug.log

അവസാനത്തേത് എന്നാൽ ഏറ്റവും കുറഞ്ഞത്, ഇനിപ്പറയുന്ന കമാൻഡ് എക്സിക്യൂട്ട് ചെയ്യുന്നതിലൂടെ നിങ്ങൾക്ക് WPScan ന്റെ ഡാറ്റാബേസ് ഏറ്റവും പുതിയ പതിപ്പിലേക്ക് അപ്ഡേറ്റ് ചെയ്യാൻ കഴിയും.

$ docker run wpscanteam/wpscan --update

ഈ കമാൻഡുകൾ ഉപയോഗിച്ച് നിങ്ങൾക്ക് ഡോക്കറും WPScan സഹായ സന്ദേശങ്ങളും കാണാൻ കഴിയും.

$ docker -h  
$ docker run wpscanteam/wpscan -h

WPScan Github ശേഖരം: https://github.com/wpscanteam/wpscan

ഇപ്പോഴത്തേക്ക് ഇത്രമാത്രം! നിങ്ങളുടെ വെബ് സെക്യൂരിറ്റി ടൂളുകളുടെ ആയുധപ്പുരയിൽ ഉണ്ടായിരിക്കേണ്ട ശക്തമായ ഒരു ബ്ലാക്ക് ബോക്സ് വേർഡ്പ്രസ്സ് വൾനറബിലിറ്റി സ്കാനറാണ് WPScan. ഈ ഗൈഡിൽ, ചില അടിസ്ഥാന ഉദാഹരണങ്ങൾ ഉപയോഗിച്ച് WPScan എങ്ങനെ ഇൻസ്റ്റാൾ ചെയ്യാമെന്നും ഉപയോഗിക്കാമെന്നും ഞങ്ങൾ കാണിച്ചുതന്നു. എന്തെങ്കിലും ചോദ്യങ്ങൾ ചോദിക്കുക അല്ലെങ്കിൽ അഭിപ്രായങ്ങളിൽ നിങ്ങളുടെ ചിന്തകൾ ഞങ്ങളുമായി പങ്കിടുക.