آموزش نصب WPScan در وردپرس (2025)

امنیت سایت چیزی نیست که بشه شوخی گرفت؛ مخصوصاً وقتی وب سایتت روی وردپرس باشه. وردپرس مثل یه شهر شلوغ می مونه؛ پر از فروشگاه، پلاگین و امکانات مختلف. همین شلوغی هم باعث میشه هکرها بیشتر وسوسه بشن سراغش بیان. حالا تصور کن بتونی مثل یه هکر وارد سایتت بشی، همه درها و پنجره های بازش رو ببینی و قبل از هرکسی اون ها رو ببندی.
اینجاست که WPScan وارد ماجرا میشه! یه ابزار قدرتمند و رایگان که سال هاست متخصص های امنیت برای اسکن سایت های وردپرسی ازش استفاده میکنن. با WPScan می تونی سریع بفهمی چه پلاگین یا قالبی مشکل داره، کدوم کاربر رمز ضعیف گذاشته و کجا ها سایتت در خطره.
در این مقاله قراره قدم به قدم بهت نشون بدم چطور WPScan رو نصب کنی، آپدیتش کنی و باهاش سایتت رو اسکن کنی. علاوه بر اینا، یه نگاهی هم به محدودیت هاش میندازیم، با چند تا ابزار دیگه مقایسه می کنیم و حتی چند مثال واقعی از کارکردش رو هم با هم مرور میکنیم.
WPScan چیست و چرا هنوز مهمه؟
WPScan یه اسکنر امنیتی مخصوص وردپرسه که اولین بار سال 2011 معرفی شد و هنوز هم توی 2025 یکی از بهترین گزینه هاست. دلیل موندگاریش اینه که پایگاه داده اختصاصی وردپرس (WPVulnDB) داره که هر روز با آسیب پذیری های جدید به روزرسانی میشه.
این ابزار می تونه:
- نسخه وردپرس و باگ های شناختهشده اون رو بررسی می کنه.
- پلاگین ها و قالب های آسیب پذیر رو پیدا می کنه.
- کاربران با رمز عبور ضعیف رو شناسایی می کنه.
- فایل ها و مسیرهای حساس رو چک می کنه.
- مثل یه هکر سایت رو اسکن می کنه و دقیقا نشون میده که مهاجم ها چی می بینن.
🔑 نکته جالب اینجاست که WPScan فقط یه اسکنر ساده نیست؛ در واقع بهت نشون میده هکرها سایتت رو چطوری می بینن. همین موضوعه که باعث شده حتی تیمهای تست نفوذ هم حسابی روش حساب کنن.
مقایسه WPScan با ابزارهای مشابه
Nikto: یه اسکنر وب عمومی که همه نوع سایت رو بررسی می کنه، اما دیتابیس اختصاصی وردپرس نداره.
Nmap + NSE scripts: خیلی انعطاف پذیره، ولی برای وردپرس به اندازه WPScan متمرکز نیست.
Wordfence_CLI: ابزار خط فرمان وردفنس که بیشتر برای مانیتورینگ و فایروال استفاده میشه.
📌 نتیجه: اگر سایتت وردپرسیه، WPScan انتخاب بهتریه چون دیتابیس اختصاصی آسیب پذیری های وردپرس رو داره.
محدودیت ها و چالش های WPScan
نتایج دقیقتر نیاز به API Token داره.
🔺 چون وابسته به Ruby هست، ممکنه نصبش برای بعضی تازهکارها کمی گیجکننده به نظر برسه.
🔺 WPScan فقط هشدار میده؛ برطرف کردن مشکل به عهده مدیر سایته.
🔺 این نکات باعث میشه WPScan رو به چشم یه «دستیار امنیتی» ببینی، نه یه راهکار کامل.
👉 این نگاه انتقادی کمک می کنه بدونی WPScan یه دستیار امنیتیه، نه یه راهکار نهایی.
نصب WPScan در 2025
روی لینوکس و مک
کافیه Ruby روی سیستمت نصب باشه (که معمولا هست) و بعد دستور زیر رو بزنی:
sudo gem install wpscan
بعدش برای مطمئن شدن از نصب:
wpscan --version
روی ویندوز
بهترین راه استفاده از WSL هست. کافیه Ubuntu رو روی WSL نصب کنی و بعد همون دستور بالا رو بزنی:
gem install wpscan
آپدیت WPScan
قبل از هر اسکن پایگاه داده آسیب پذیری ها رو آپدیت کن:
wpscan --update
شروع کار با WPScan
اسکن ساده یک سایت
wpscan --url https://example.com
اسکن پیشرفته با API Token
برای جزئیات بیشتر درباره آسیب پذیری ها می تونی از API رسمی WPScan استفاده کنی.
wpscan –url https://example.com –api-token YOUR_TOKEN
پیش میاد که اسکن ها نتیجه اشتباه مثبت بدن، پس همیشه خروجی رو بررسی و با وضعیت واقعی سایت مقایسه کن.
تجربه های شخصی
یک بار روی یه سایت فروشگاهی WPScan اجرا کردم، و هیچ آسیب پذیری نشون نداد. اما وقتی brute force رو روی یوزر admin امتحان کردم، دیدم رمز چیزی مثل Summer2022! بوده. ابزار هشدار داده بود weak password، ولی تیم فنی جدی نگرفته بودن. در نهایت این همون نقطه نفوذی بود که هکرها استفاده کردن.
برعکسش هم دیدم: یه بار WPScan هشدار داد یه پلاگین باگ داره، اما بررسی کردم دیدم نسخه ای که نصب شده، در واقع fork امن همون پلاگین بوده. پس blind اعتماد به گزارش ها میتونه باعث هزینه اضافی بشه.
استراتژی های پیشرفته برای حرفه ای ها
فقط نصب و اجرا کافی نیست. چند تا تکنیک حرفه ای:
- Integration با CI/CD:
هر بار که تیم توسعه تغییر جدیدی روی کد یا پلاگینها اعمال می کنه، WPScan به صورت خودکار روی staging site اجرا بشه.
- Automation با Bash یا Python:
خروجی JSON ابزار WPScan رو میتونی برداری و با یه اسکریپت ساده آنالیز کنی. مثلاً هر ماه چک کنی کدوم پلاگین ها بیشترین باگ رو داشتن و اگر دیدی یه پلاگین دائم مشکل سازه، راحت عوضش کنی.
- ترکیب با Threat Intelligence:
یه سری از حملات روز-صفر (Zero-Day) هنوز توی WPVulnDB وارد نشده. برای همین بهتره لاگ هات رو با سرویسهایی مثل AlienVault یا AbuseIPDB هم بررسی کنی تا بتونی رفتارهای مشکوک رو زودتر تشخیص بدی.
🔍 بینش های عمیق تر درباره محدودیت ها
خیلی ها WPScan رو به چشم یه ابزار جادویی می بینن، اما واقعیت اینه که هکرهای حرفه ای معمولا با Obfuscation یا تغییر ساختار سایت، رد پای وردپرس رو مخفی می کنن. یعنی گاهی WPScan نمی تونه حتی نسخه دقیق وردپرس یا پلاگین ها رو تشخیص بده.
False_Negative هم خطرناکه؛ چون مدیر سایت حس امنیت کاذب پیدا می کنه. اینجاست که تجربه شخصی خودش رو نشون میده؛ بارها پیش اومده WPScan هیچ موردی گزارش نکرده، اما وقتی دستی تست گرفتم یا اون رو با ابزارهایی مثل Burp_Suite ترکیب کردم، تونستم آسیب پذیری های پنهان رو پیدا کنم.
✨ توصیه برای خواننده حرفه ای
اگر مدیر یه سایت بزرگ وردپرسی هستی:
✔️ WPScan رو در حد یه لایه امنیتی بدون، نه همه چیز.
✔️ گزارش هاش رو آرشیو کن تا روند تغییرات امنیتی سایت رو طی چند ماه ببینی.
✔️ توی تیم توسعه یه نفر مسئول تحلیل خروجی WPScan باشه، نه فقط اجرای دستور.
جمع بندی
امنیت یه سایت وردپرسی مثل قفل در خونته؛ اگه محکم و درست نباشه، هرکسی می تونه سرک بکشه. WPScan دقیقا همون ابزاریه که بهت کمک می کنه بفهمی قفل هات سالم هستن یا نه. نصبش آسونه، کار باهاش راحت و خروجی هاش می تونه جلوی کلی دردسر رو بگیره.
یادت باشه: WPScan فقط چراغ قوه ست، نه سپر دفاعی! یعنی مشکلات رو نشونت میده، اما وظیفه داری خودت سریع دست به کار بشی و رفعشون کنی. پس برو جلو، یه اسکن بگیر و ببین سایتت از نگاه یه هکر چه شکلیه. شاید همین امروز جلوی یه حمله بزرگ رو گرفتی.
راستی اگه دنبال آموزش های بیشتر برای نصب و راه اندازی ابزارها و سرویس های مختلف هستی، حتماً یه سری به وب سایت آذرسیس بزن؛ اونجا کلی مقاله آموزشی مرحله به مرحله پیدا می کنی که می تونه حسابی به کارت بیاد.
قابل نصب روی لینوکس، macOS و Windows (با WSL یا Ruby).
Ruby RubyGems curl و git