Subscribe Us

header ads

WPScan Nedir? Wordpress Açık Nasıl Taratılır?


WPScan Nedir?

WPScan WordPress Sistemlere yönelik basit bir penetrasyon testi yapan bir araçtır.

(Kullanıcı adı belirleme, parola bulma, güvenlik yamaları testi gibi basit testler gerçekleştirir.) WPScan Ruby programlama dili kullanarak geliştirilmiş bir güvenlik tarama yazılımıdır. WPScan kullanarak WordPress siteniz üzerinde ki açıkları tespit edebilirsiniz. Bu yazılımı Kali Linux işletim sistemi Veya Linux dağıtımları İle kullanabilirsiniz.

WPScan Kali Linux 2020 sürümleri içerisinde yüklü olarak gelmektedir. Daha önce Kali Linux kullanmadıysanız sizin için zor olabilir. Çünkü görsel arayüz bulunmamaktadır. 

WordPress Sitenizde Açıklar Nasıl Olur?

WordPress açık kaynaklı olduğundan saldırganların en iyi hedeflerindendir. Kullandığınız eklentiler ve temalar sitenizde açıklar olarak ortaya çıkabilir. Kullandığınız eklenti ve temaları elde ettiğiniz adreslerin ve sitelerin güvenilir olması, eklenti ve temaların lisanslı olmasına kesinlikle dikkat etmelisiniz. Güncel Tema Ve Eklentiler Kullanılmalıdır. WPScan ile sitenize test yapabilirsiniz. 

WPScan Nasıl Kullanırım? 

Kullanmak gayet kolaydır:

 

Aracı:

wpscan -update 

Komutu ile güncelleyebilirsiniz.


Araçta:

wpscan –h

Komutu İle Komut Parametrelerini görebilirsiniz.


Uygulama versiyonu için:

wpscan –version

Komutunu kullanabilirsiniz.


Genel tarama yapmak istersen:

wpscan –url www.hedefsite.com

Bu komut ile genel tarama yapabilirsiniz.


Sitedeki yazarların kullanıcı adını öğrenmek için:

wpscan -url www.target.com -enumerate u

Komutunu kullanabilirsiniz.


Sitenizdeki eklentileri öğrenmek için:

wpscan -url www.target.com -enumerate p

Bu komutu kullanabilirsiniz.


Eklenti açıklarını taramak istiyorsanız:

wpscan –url www.alanadi.com –enumerate ap

Komutunu kullanabilirsiniz.

 

Güvenlik açığı bulunduran eklentileri taramak için
(Hali hazırda açık bulunduran eklentiler)

wpscan –url www.alanadi.com –enumerate vp

Komutunu kullanabilirsiniz.

 

Sitede tema bilgisini öğrenmek isterseniz:

wpscan –url www.alandi.com –enumerate t

Komutunu kullanabilirsiniz.

 

Sitedeki temanın açıklarını taramak için:

wpscan –url www.alanadi.com –enumerate at

Komutunu kullanabilirsiniz.


Sitedeki kullanıcı adını bulduktan sonra Kaba Kuvvet (Brute Force) saldırısı yapabiliriz. Bunu da:

 wpscan –url www.alanadi.com –wordlist wordlist.txt –username user

Komutu ile yapabiliriz.

 

Komut’u kullanmak için wordlist (passwordlist’e) ihtiyacımız vardır. Size bir kıyak geçelim, genelde admin@123 şifresini kullanırlar. Kesinlikle wordlist’inize ekleyiniz.

 

Wordlist Nedir?

 

Wordlist: sitenin admin bilgilerine ulaşmak için yaptığınız brute force saldırısındaki denediğiniz şifrelerdir.

 

WPScan ise:

wpscan –url www.alanadi.com –wordlist wordlist.txt –username user

Komutu ile bulduğunuz user kullanıcısına oluşturduğunuz worldlist’i dener. 

 

Eğer kullanıcı, yazdığınız şifrelerden birini kullanıyorsa size bildirecektir. (site.com/wp-login.php username - password şeklinde verir. Username panele gireceğiniz kullanıcı adı, password ise şifredir.)

 

Şifrelerinizde özel karakter kullanmayı unutmayınız. Şifrelerinizi admin, admin123 gibi basit şifreler yapmayınız. Hatta şifrenizde admin, toor, user, super, root gibi kelimeleri, isminizi, soy isminizi, ... geçirmeyiniz. Sağlıklı günler dileriz.

Yorum Gönderme

0 Yorumlar