WPScan - сканер безопасности и уязвимости сайтов на WordPress.

Возможности WPScan

Утилита WPScan входит в состав дистрибутива Kali Linux , и позволяет провести ряд тестов на наличие известных паблику уязвимостей , как в самом движке WordPress , так и в его плагинах и темах . Посмотреть функциональные возможности WPScan можно командой:

wpscan --help
Краткий обзор параметров WPScan:

wpscan --url site.com
Покажет версию WordPress , используемую тему и наличие уязвимых плагинов , а также даст ссылки на веб ресурсы , где подробно описана эксплуатация оных .

wpscan --url site.com --enumerate p
Выводит список всех установленных плагинов .

wpscan --url сайт.ру --enumerate t
Покажет все установленные темы , поэтому не рекомендуется хранить на сервере папки с неиспользуемыми темами .



wpscan --url site.com --enumerate tt
Проверяет сайт на наличие возможных багов timthumb.php  

wpscan --url sites.org --enumerate u
Определяет логины и имена всех пользователей WordPress .

wpscan --url тест.ру --wordlist password .txt --username логин_пользователя
Позволяет подключить текстовый файл и осуществить подбор пароля по словарю . Для защиты от подобных брутфорс атак , админами сайтов, используются плагины ограничивающие количество попыток ввода данных на странице авторизации WordPress.