آذرسیس

WPScan installation tutorial
5/5 - (1 امتیاز)

هنگامی که یک وب سایت هرچه بیشتر گسترش پیدا می کند، مسلمأ کنترل امنیت آن روز به روز سخت تر خواهد بود. به علاوه شما هرگز نمی توانید به طور کامل مراقب امنیت سیستم خود باشید، به خصوص هنگامی که طراحی یا توسعه سایت با وردپرس انجام می دهید.

خوشبختانه ابزارهایی مانند WPScan برای کمک به توسعه‌دهندگان و مالکان برای حفظ امنیت وب‌سایت‌هایشان وجود دارد. که در این آموزش نحوه نصب WPScan به طور کامل بررسی خواهد شد.

WPScan چیست؟

WPScan برای اولین بار در 16 ژوئن 2011 منتشر شد. یک ابزار رایگان و محبوب برای اسکن امنیتی سیستم مدیریت محتوای وردپرس می باشد. و چون وردپرس از برترین سیستم‌های CMS ساخت وب‌سایت‌ است به علاوه از زبان فارسی نیز پشتیبانی می کند، بسیاری از وب سایت های فارسی از آن استفاده می کنند.

آموزش نصب WPScan

متخصصان امنیتی و توسعه دهندگان وب سایت می توانند از WPScan جهت انجام ” Black box scanning ” برای آزمایش سایت از نظر آسیب پذیری استفاده کنند. و از آنجایی که WPScan رویکرد ” Black box scanning ” را دنبال می کند، دقیقاً می توانید ببینید که سایت شما از نظر هکرها چقدر برای انتخاب شدن در خطر است.

WPScan کدام آسیب پذیری ها را بررسی می کند؟

  • پلاگین وردپرس، تم
  • شمارش نام کاربری
  • تخلیه پایگاه داده که ممکن است برای عموم قابل دسترسی باشد
  • نسخه نصب شده وردپرس و هر گونه آسیب پذیری مرتبط
  • اگر لاگ های خطا توسط پلاگین ها فاش شود
  • کاربران با رمزهای عبور ضعیف
  • اگر WP-Cron فعال باشد
  • افشای مسیر کامل
  • آپلود فهرست دایرکتوری
  • فایل های آسیب پذیر Timthumb
  • شمارش فایل رسانه ای
  • اگر ثبت نام کاربر فعال باشد
  • فایل‌های wp-config.php پشتیبان‌گیری شده که در دسترس عموم قرار دارند

نحوه نصب WPScan

WPScan روی لینوکس و مک کار می کند. برای کاربران ویندوز نیز نسخه VMWare آن وجود دارد.

در اینجا مراحل خط فرمان برای راه اندازی و اجرای آن را آورده ایم.

WPScan در Github میزبانی می شود، بنابراین باید با Git شروع کنید. پس Git را طبق دستور زیر نصب کنید:

دستور Mac/Debian/Ubunto: 

sudo apt-get install git

دستور فدورا: 

yum install git

دستور Archlinux: 

pacman -S git

Dependencies لینوکس را نصب کنید. اگر از لینوکس استفاده می کنید، همچنین باید Dependencies را بر اساس توزیع خود نصب کنید.

دستور اوبونتو: 

sudo apt-get install libcurl4-openssl-dev libxml2 libxml2-dev libxslt1-dev ruby-dev build-essential

قبل از دستور اوبونتو 14.04:

sudo apt-get install libcurl4-openssl-dev libopenssl-ruby libxml2 libxml2-dev libxslt1-dev ruby-dev

دستور دبیان: 

sudo apt-get install git ruby ruby-dev libcurl4-openssl-dev make

دستور فدورا: 

sudo yum install gcc ruby-devel libxml2 libxml2-devel libxslt libxslt-devel libcurl-devel patch

Archlinux:

pacman -Syu ruby

اکنون می توانید WPScan را نصب کنید:

WPScan با استفاده از دستور زیر نصب کرده، و وارد آن شوید:

git clone https://github.com/wpscanteam/wpscan.git

سپس دایرکتوری خود را با استفاده از دستور، به جایی که نصب شده است تغییر دهید:

cd wpscan

باندلر را نصب کنید:

WPScan روی Ruby اجرا می‌شود، بنابراین به « GEMS » نیاز دارد. برای به روز رسانی وابستگی ها دستورات زیر را بر روی سیستم عامل خود اجرا کنید.

Mac: 

sudo gem install bundler && sudo bundle install --without test

Ubuntu:

sudo gem install bundler && bundle install --without test

Debian:

sudo gem install bundler && bundle install --without test

Fedora:

bundle install --without test --path vendor/bundle

Archlinux:

sudo gem install bundler && bundle install --without test
gem install typhoeus
gem install nokogiri

تکمیل مراحل نصب می تواند چند دقیقه طول بکشد. صبور باشید زیرا پس از دستور های بالا شما آماده اسکن خواهید بود.

نکته: به یاد داشته باشید همیشه قبل از اجرای هر اسکن WPScan را به روز کنید، تا مطمئن شوید وب سایت خود را با به روزترین لیست آسیب پذیری ها مقایسه می کنید.

برای به روز رسانی WPScan ترمینال را باز کرده و دستورات زیر را وارد کنید:

تغییر دایرکتوری ها: 

cd wpscan

به روز رسانی WPScan: 

git pull
ruby wpscan.rb --update

هنگامی که لوگوی WPScan را مشاهده کردید، می دانید که آماده اسکن هستید.

یک نتیجه عالی هیچ نام کاربری را نشان نمی دهد. اگر موردی ظاهر شد، بلافاصله آن و رمزهای عبور مربوطه را تغییر دهید. و به یاد داشته باشید اگر مدتی است به‌روزرسانی‌ها را اجرا نکرده‌اید و مشکلی وجود دارد، احتمالاً در معرض خطر هستید.

برای اتصالات امن و رمزگذاری شده با ارائه گواهینامه های SSL آذرسیس از وب سایت و بازدیدکنندگان خود محافظت کرده و در رتبه بندی موتورهای جستجوی خود را بهبود بخشید.

نتیجه گیری

WPScan فوق العاده کاربر پسند و ساده است، به خصوص برای سایت های کوچکتر زیرا تنها کاری که باید انجام دهید این است که یک حساب کاربری ایجاد کنید، افزونه را نصب کنید، سپس شما آماده کار هستید. در صورتی که اگر می خواهید از این افزونه ها به صورت رایگان برای سایت های بزرگتر استفاده کنید، باید پلاگین ها و تم هایی را که می خواهید نظارت کنید، انتخاب کنید.

عملیات بالا تنها بخشی از ایمن سازی مشتریان و بازدیدکنندگان است، WPScan یک دید انتقادی از وضعیت امنیت وب سایت شما ارائه می دهد ولی جزئیات آسیب‌پذیری‌ها را نشان نمی‌دهد. ممنون که تا پایان این آموزش نیز همراه آذرسیس بودید، منتظر نظرات شما همراهان هستیم.

کاربرد WPScan چیست؟

WPScan یک اسکنر امنیتی است که برای آزمایش امنیت وب سایت هایی که با استفاده از وردپرس ساخته شده اند طراحی شده است.

محدودیت وردپرس رایگان چقدر است؟

همه وبلاگ های WordPress.com دارای 3 گیگابایت فضا هستند. به علاوه WordPress.com Personal شامل 3 گیگابایت فضای ذخیره اضافی دیگر در مجموع 6 گیگابایت است. WordPress.com Premium شامل 10 گیگابایت فضای ذخیره اضافی که در مجموع 13 گیگابایت می باشد. اما WordPress.com Business فضای ذخیره سازی نامحدود دارد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *