Install WPScan Ubuntu 15.04

Fungsi WPSCAN adalah mengintip versi WordPress sebuah website. Tidak sebatas itu, dia bahkan bisa digunakan untuk melihat celah dari suatu plugin / theme yang digunakan website anda. Manakah yang rentan dan memungkinkan disusupi hacker.

Dari sinilah anda mampu memanfaatkan WPSCAN untuk melakukan tindakan preventif terhadap serangan hacker.

Aplikasi ini hanya bisa diinstall di beberapa distro Linux dan MAC saja. https://github.com/wpscanteam/wpscan. Kali ini saya akan mengulas cara instalasi dan penggunaan WPSCAN di Debian 6.

1. Lakukan secara beruntun perintah di bawah ini:

# sudo apt-get update
# sudo apt-get upgrade
# sudo apt-get install git make libcurl4-openssl-dev libopenssl-ruby libxml2 libxml2-dev libxslt1-dev ruby-dev
# sudo apt-get install curl
# sudo curl -L https://get.rvm.io | bash -s stable –ruby
# sudo git clone https://github.com/wpscanteam/wpscan.git
# sudo gem install bundler
# sudo cd wpscan
# sudo bundle install –without test development
# sudo find /usr/local/ -name ‘readline’
# sudo cd /usr/local/rvm/src/ruby-1.9.3-p385/ext/readline
# sudo ruby extconf.rb
# sudo make
# sudo make install
# sudo cd wpscan/
# sudo wget http://static.hackersgarage.com/darkc0de.lst.gz
# sudo gunzip darkc0de.lst.gz


2. Setelah semua selesai dilakukan, maka wpscan sudah siap digunakan. Berikut perintah dasar untuk menggunakan wpscan:

–update  (Update to the latest revision)

–url     -u  (The WordPress URL/domain to scan)

–force   -f (Forces WPScan to not check if the remote site is running WordPress)

–enumerate | -e [option(s)]  Enumeration.

option :

u        (usernames from id 1 to 10)

u[10-20] (usernames from id 10 to 20. you must write [] chars)

p        (plugins)

vp       (only vulnerable plugins)

ap       (all plugins. Can take a long time)

tt       (timthumbs)

t        (themes)

vt       (only vulnerable themes)

at       (all themes. Can take a long time)

3. Berikut adalah contoh penerapan argumen tersebut. Misalnya untuk cek plugin WordPress yang kita gunakan:

# ruby wpscan.rb –url www.abc.com –enumerate vp

WPSCAN dalam tahap ini akan membandingkan dengan daftar plugin yang mengandung lubang sekuriti yang dapat diexploitasi. Sehingga blia ditemukan plugin yang sesuai dengan daftar plugin berlubang, sejumlah link akan langsung ditampilkan bersama penjelasan lebih lanjut untuk melakukan exploitasi terhadap plugin tersebut, sekaligus aplikasi apa yang dapat digunakan untuk mengexploitasi lubang tersebut. Berikut saya lampirkan log percobaan saya:

1. https://github.com/wpscanteam/wpscan/issues/128

2. install ruby dan rubygem:

http://naturaljenius.com/learning-rails-installing-rails-part-1-debian/

http://vvv.tobiassjosten.net/ruby-on-rails/fixing-readline-for-the-ruby-on-rails-console/

3. #sudo apt-get install libcurl4-gnutls-dev libopenssl-ruby libxml2 libxml2-dev libxslt1-dev ruby-dev

#git clone https://github.com/wpscanteam/wpscan.git

#cd wpscan

#sudo gem install bundler && bundle install –without test development

Saya harap tutorial ini tidak untuk disalahgunakan. Melainkan sesuai dengan tujuan awal pembuatannya, dan bermanfaat sekian dari postingan kali ini, jumpa lagi postingan selanjutnya ^^

Tags: WPScan ubuntu, Tips & Trick