セキュリティエンジニアの大橋です。

今回は「WPScan」という脆弱性チェックツールの紹介です。この「WPScan」はサイト
制作で良く使われる「WordPress」に対するチェックツールであり、上手く活用すれば
役に立つことは言うまでもありません。

ただ、動かすまでにはチョット手間がかかります。手っ取り早く使いたい！！という方
にはペネトレーションテスト用のLinuxディストリビューションである「Kali Linux」を
オススメします。既に「WPScan」がインストールされているので、直ぐに利用可能！！

 

 

 

 

使い方はこちら↓↓

 

（その１）単純チェック（一番簡単な使い方で非侵入型（non-intrusive）で実行）
ruby wpscan.rb –url www.example.com

（その２）アカウントチェック（アカウントとパスワードの簡素チェック）
ruby wpscan.rb –url www.example.com –wordlist darkc0de.lst –threads 50

（その３）パスワードチェック（アカウント固定でパスワードの簡素チェック）
ruby wpscan.rb –url www.example.com –wordlist darkc0de.lst –username admin

（その４）プラグインチェック（インストール済のプラグインをチェック）
ruby wpscan.rb –url www.example.com –enumerate p

（その５）アップデート（WPScanをアップデート）
ruby wpscan.rb –update

 

早速、自社サイトをチェックしてみましょう！！ 結果はあとで＜つづく＞