WPScan là một phần mềm quét lỗ hổng bảo mật cho các trang web sử dụng WordPress. Bài viết này sẽ hướng dẫn các bạn cài đặt WPScan trên windows 10.
Cài đặt WPScan trên windows 10 – WPScan là một phần mềm quét lỗ hổng bảo mật cho các trang web sử dụng WordPress. Nó có thể được sử dụng để phát hiện các vấn đề bảo mật trên website của bạn.
WPScan được viết bằng Ruby và có thể chạy trên mọi hệ điều hành hỗ trợ Ruby, kể cả Windows. Trong bài viết này VINASTAR sẽ hướng dẫn các bạn cài đặt WPScan trên windows 10 và và cách scan lỗ hổng bảo mật WordPress với WPScan.
Cài đặt WPScan trên windows 10
1. Bước 1: Cài đặt Ruby
WPScan được viết bằng Ruby vì vậy việc đầu tiên các bạn cần làm là cài đặt Ruby trên máy tính của các bạn. Trong bài viết này VINASTAR sẽ cài đặt Ruby With Devkit phiên bản 2.6.6.
Để download Ruby hãy truy cập trang download Ruby: https://rubyinstaller.org/downloads/
Sau khi quá trình download hoàn tất, tiến hành cài đặt Ruby
Sau khi quá trình cài đặt hoàn tất, hãy đảm bảo ô Run ‘ridk install’ … đã được tích chọn và bấm Next
Một cửa sổ CMD sẽ được mở ra, hãy nhập 3 và nhấn Enter để cài đặt MSYS2 và MINGW
Sau khi quá trình cài đặt hoàn tất các bạn có thể tắt CMD.
2. Bước 2: Tải cURL lib
WPScan sẽ cần cURL lib để có thể hoạt động. Các bạn có thể tại cURL lib tại địa chỉ sau:https://curl.haxx.se/windows/
Lựa chọn phiên bản 32 bit hoặc 64 bit phù hợp với máy tính của các bạn. Trong bài viết này VINASTAR sử dụng phiên bản 64 bit.
Trong file nén zip các bạn truy cập thư mục bin và giải nén file libcurl-x64.dll vào thư mục bin của Ruby (C:Ruby26-x64bin)
Đổi tên file libcurl-x64.dll vừa giải nén thành libcurl.dll
3. Bước 3: Cài đặt WPScan
Để cài đặt WPScan các bạn mở CMD với quyền admin
Để kiểm tra phiên bản WPScan có thể cài đặt các bạn sử dụng lệnh sau
gem search WPScan
Tại thời điểm viết bài phiên bản WPScan mới nhất có thể cài đặt là 3.8.1
Để cài đặt WPScan các bạn sử dụng lệnh sau
gem install wpscan
Sau khi quá trình cài đặt hoàn tất tiến hành update database cho WPScan bằng lệnh sau
wpscan --update --disable-tls-checks
4. Bước 4: Đăng ký WPVulnDB API
Để kết quả scan lỗ hổng bảo mật được chính xác hơn các bạn có thể đăng ký và sử dụng WPVulnDB API. Đầu tiên các bạn cần đăng ký tài khoản trên WPVulnDB: https://wpvulndb.com/users/sign_up
Sau khi đã đăng ký và kích hoạt tài khoản hãy đăng nhập vào tài khoản của các bạn và chọn gói API free
Với gói free các bạn dược phép scan với API 50 lần/ngày. Như vậy cũng khá đủ để sử dụng. Khi chọn gói xong bạn sẽ được cung cấp API Token để sử dụng
5. Bước 5: Sử dụng WPScan rà soát lỗ hổng bảo mật trên website WordPress
Để rà soát lỗ hổng bảo mật trên website WordPress của mình với WPScan các bạn chạy lệnh với cấu trúc như sau
wpscan --url example.com --random-user-agent --disable-tls-checks --api-token YOUR_TOKEN
Trong đó
- example.com: Là địa chỉ website muốn scan
- YOUR_TOKEN là API Token của WPVulnDB
Lệnh trên sẽ trả về phiên bản wordpress, phiên bản theme, plugins các bạn đang sử dụng và liệt kê các lỗ hổng bảo mật liên quan nếu có. Ngoài ra để biết thêm cách sử dụng WPScan các bạn có thể xem thêm tại trang Document của WPScan.
6. Kết luận
Qua bài viết này VINASTAR đã hướng dẫn các bạn cài đặt WPScan trên windows 10 và cách dùng WPScan để rà soát lỗ hổng bảo mật cho website WordPress. Nếu có bất kỳ ý kiến đóng góp nào các bạn có thể để lại bình luận ở bên dưới. Ngoài ra các bạn có thể xem thêm Hướng dẫn tăng cường bảo mật cho WordPress.
Nguồn bài viết được sưu tầm trên internet
