بنر وب سایت مجموعه ایوسی
جستجو
ورود / ثبت نام
بنر وب سایت مجموعه ایوسی
ورود / ثبت نام
ورود / ثبت نام
جستجو
این کادر جستجو را ببندید.

هدایای ویژه طراحی سایت

عیدی ما به شما
عیدی ما به شما

چرا و چگونه WPScan را برای امنیت وردپرس نصب کنیم؟

ابزار امنیتی wpscan

اگر این مقاله را دوست دارید، لطفا آن را با دوستان خود به اشتراک بگذارید.

شما هرگز نمی توانید خیلی مراقب امنیت باشید ، به خصوص هنگام طراحی یا توسعه سایت با وردپرس. هکرها زرادخانه ای بهتر از همیشه دارند، با روش های حیله گرانه برای نفوذ و رخنه به سایت های شما. خوشبختانه، ابزارهایی مانند WPScan وجود دارد که به توسعه دهندگان و مالکان کمک می کند تا وب سایت های خود را ایمن نگه دارند.

WPScan آن چیست؟

WPScan یک ابزار رایگان است که متخصصان امنیتی و توسعه دهندگان وب سایت می توانند از آن برای انجام “اسکن جعبه سیاه” برای آزمایش سایت های وردپرس از نظر آسیب پذیری استفاده کنند.

اسکن جعبه سیاه به همان روشی که اکثر هکرها انجام می دهند به یک وب سایت نزدیک می شود. در حالی که آنها اطلاعات داخلی خاصی ندارند، کد شما را بررسی می کنند و نقاط حساس را برای یافتن نقاط ضعف قابل بهره برداری پیدا می کنند.

از آنجایی که وردپرس یکی از برترین سیستم‌های CMS است که برای ساخت وب‌سایت‌ها استفاده می‌شود، بسیاری از این آسیب‌پذیری‌ها در تم‌ها، افزونه‌ها و حتی خود کد اصلی آن به خوبی شناخته شده‌اند.

این کمی شبیه داشتن یک خانه در یک بخش بزرگ است که در آن همه خانه ها دارای پلان، ساخت و ساز و حتی تغییرات مشابهی هستند. هنگامی که یک دزد نقطه ضعف یک خانه را می داند، این ضعف احتمالاً در بسیاری از افراد مورد سوء استفاده قرار می گیرد.

این برای صاحبان سایت هم یک مزیت است و هم یک عیب: این یک اشتباه و خطر است زیرا هکرها برای یافتن و سوء استفاده از آسیب پذیری ها نیازی به ذکاوت خاصی ندارند. اما یک موقعیت حرفه ای است زیرا تمام آن ترفندهای مشابه در جوامع توسعه وردپرس و امنیت شناخته شده است. همچنین می‌تواند منجر به حرکتی سریع‌تر برای شناسایی نقاط ضعف، اجرای اصلاحات و انتشار اخبار شود.

WPScan بخش عظیمی از این دانش را در یک ابزار واحد جمع می کند. و از آنجایی که این رویکرد “جعبه سیاه” را دنبال می کند، می توانید دقیقاً ببینید که سایت شما از نظر هکرها چقدر برای انتخاب آماده است.

پس بله. زیبا، اصولی، بسیار مفید.

مرتبط: API پایگاه داده آسیب پذیری وردپرس

بیایید WPScan را نصب کنیم

همه چیز نسبتاً ساده است.

WPScan روی لینوکس و مک کار می کند. برای کاربران ویندوز، نسخه VMWare نیز وجود دارد.

در اینجا مراحل خط فرمان برای راه اندازی و اجرای آن آمده است:

Git را نصب کنید

WPScan در Github میزبانی می شود، بنابراین باید با Git شروع کنید.

  • دستور Mac/Debian/Ubunto:sudo apt-get install git
  • دستور فدورا:$ yum install git
  • دستور ArchLinux:$ pacman -S git

Dependencies لینوکس را نصب کنید

اگر از لینوکس استفاده می کنید، باید وابستگی ها را بر اساس توزیع خود نیز نصب کنید.

  • دستور اوبونتو ۱۴.۰۴+:sudo apt-get install libcurl4-openssl-dev libxml2 libxml2-dev libxslt1-dev ruby-dev build-essential
  • قبل از دستور اوبونتو ۱۴.۰۴:sudo apt-get install libcurl4-openssl-dev libopenssl-ruby libxml2 libxml2-dev libxslt1-dev ruby-dev
  • دستور دبیان:sudo apt-get install git ruby ruby-dev libcurl4-openssl-dev make
  • دستور فدورا:sudo yum install gcc ruby-devel libxml2 libxml2-devel libxslt libxslt-devel libcurl-devel patch
  • ArchLinux:pacman -Syu ruby

WPScan را نصب کنید

اکنون وقت آن است که با نصب WPScan با استفاده از دستور زیر، وارد آن شوید:

git clone https://github.com/wpscanteam/wpscan.git

بعد، دایرکتوری خود را با استفاده از دستور به جایی که نصب شده است تغییر دهیدcd wpscan

باندلر را نصب کنید

WPScan روی Ruby اجرا می‌شود، بنابراین به «جم» نیاز دارد. برای به روز رسانی وابستگی ها دستورات زیر را بر روی سیستم عامل خود اجرا کنید.

مک:
sudo gem install bundler && sudo bundle install --without test

اوبونتو:

sudo gem install bundler && bundle install --without test

دبیان:

sudo gem install bundler && bundle install --without test

فدورا:

bundle install --without test --path vendor/bundle

آرچ لینوکس (ArchLinux):

sudo gem install bundler && bundle install --without test
gem install typhoeus
gem install nokogiri

صبور باش؛ تکمیل این نصب ها می تواند تا ده دقیقه طول بکشد. پس از تکمیل، شما (تقریبا) آماده شروع اسکن هستید.

همیشه به یاد داشته باشید که WPScan را به روز کنید

قبل از اجرای هر اسکن، همیشه باید WPScan را به روز کنید تا مطمئن شوید که وب سایت خود را با به روزترین لیست آسیب پذیری ها مقایسه می کنید. اگر آخرین اطلاعات را ندارید، ممکن است از بزرگترین چیزهایی که هکرها به دنبال سوء استفاده از آن هستند غافل شده باشید. برای به روز رسانی WPScan، ترمینال را باز کرده و دستورات زیر را وارد کنید:

تغییر دایرکتوری ها:cd wpscan

به روز رسانی WPScan:git pull

ruby wpscan.rb --update

هنگامی که لوگوی WPScan را مشاهده کردید، می دانید که آماده حرکت هستید.

اکنون، اجازه دهید WPScan کاری را که برای انجام آن ساخته شده است انجام دهد

آسیب پذیری ها را بررسی کنید

ابتدا، باید نصب وردپرس و تم خود را برای هر گونه آسیب پذیری آشکار بررسی کنید. دستور زیر را برای اسکن وب سایت خود اجرا کنید:

ruby wpscan.rb --url http://yourwebsite.com

(البته URL واقعی وردپرس خود را جایگزین «http://yourwebsite.com» کنید).

پلاگین ها و تم ها را برای هر درب باز اسکن کنید

برخی از گزینه‌های WPScan شامل اجرای دستورات خاص برای بررسی پلاگین‌ها، تم‌ها یا شمارش کاربران خطرناک هستند. خطرات اینجاست؟ نسخه های وردپرس افشا شده، تزریق SQL و سایر آسیب پذیری های شناخته شده که به طور مرتب توسط هکرها مورد سوء استفاده قرار می گیرند. (اگر مدتی است که به روز رسانی ها را اجرا نکرده اید و مشکل شناخته شده ای وجود دارد، احتمالا در معرض خطر هستید.)

دستور بررسی افزونه های آسیب پذیر به صورت زیر است:

ruby wpscan.rb --url http://yourwebsite.com --enumerate vp

نتایج یک علامت تعجب قرمز را در کنار کسانی که مشکل دارند نشان می دهد. برای کاهش خطر می توانید آنها را جایگزین یا غیرفعال کنید.

برای بررسی تم های ناامن، این دستور را اجرا کنید:

ruby wpscan.rb --url http://yourwebsite.com --enumerate vt

دوباره، علامت تعجب قرمز رنگ را در کنار هر یک از این موارد که شامل مسائل امنیتی است، خواهید دید. اگر به روز رسانی نشد، موضوع را جایگزین کنید تا سایت خود را ایمن کنید.

تست برای شمارش کاربران

هکرها از تکنیک شمارش برای انجام حملات brute force یا پر کردن اعتبار با حدس زدن یا تایید نام کاربری استفاده می کنند. این نام‌های کاربری اغلب از طریق آسیب‌پذیری‌های رایج وب‌سایت در معرض دید قرار می‌گیرند.

بنابراین، همیشه باید سایت وردپرس خود را با استفاده از WPScan و دستور زیر بررسی کنید:

ruby wpscan.rb --url http://yourwebsite.com --enumerate u

یک نتیجه عالی هیچ نام کاربری را نشان نمی دهد. اگر موردی ظاهر شد، بلافاصله آنها و رمزهای عبور مربوطه را تغییر دهید. (توجه داشته باشید که برخی از فایروال های وب سایت ممکن است این دستور را مسدود کنند و با خطا مواجه خواهید شد.)

مرتبط: ۲۸ ابزار امنیت سایبری که می‌توانید در محل کار استفاده کنید (به‌علاوه ویژگی‌های کلیدی)

جمع بندی

کار با وردپرس قدرت زیادی در دستان شما قرار می دهد. با این حال، مثل همیشه، اصل پیتر پارکر اعمال می شود: “با قدرت بزرگ، مسئولیت بزرگی به همراه دارد.”

این تنها بخشی از ایمن سازی خود، مشتریان و بازدیدکنندگان سایت است، اما WPScan یک دید انتقادی از وضعیت امنیت وب سایت شما ارائه می دهد.

به آن تاب بدهید.

اگر این مقاله را دوست دارید، لطفا آن را با دوستان خود به اشتراک بگذارید.

آخرین کتاب‌های ایوسی

یک پاسخ

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

ivsi logo svg
منِ برتر (ایوسی) محلی جهت آمادگی شما در کسب موفقیت‌های فردی است؛ این سایت در پنج حوزه‌ی:

رشد و توسعه فردی،
راه‌‎های ترویج خودتان در جامعه و بهره‌‎برداری از آن،
مدیریت خانواده و نحوه برقراری ارتباط با اعضای آن،
نحوه صحیح ارتباط با فناوری‌های نو برای بهبود زندگی،
و اقتصاد و راه های بهبود شرایط مادی زندگی
 
به شما کمک خواهد کرد
لینک های ما
  • تلفن: 09133957920
  • تلفن: 09213369258
  • تلفن: 09133244731
  • ایمیل: info@ivsi.ir

مطالب وبسایت ایوسی (منِ برتر) با سال‌ها تجربه و مطالعات فراوان ناشرین آن تهیه و تنظیم شده است و استفاده از این مطالب به هر نحو فقط با ذکر منبع مجاز است.  {طراحی و پیاده سازی ivsi.ir}

Rss Facebook-f Twitter Pinterest Dribbble Foursquare Instagram