WPScan – Sicherheitscheck für WordPress

Aktuell werden bekanntermaßen einige WordPress-Instanzen von einem Botnet angegriffen. Persönlich bin ich davon noch mit keiner meiner Seiten betroffen, natürlich kann es aber jederzeit auch bei mir zuschlagen. Wie kann ich mich davor schützen und woher weiß ich, dass mein WordPress in Gefahr ist?Per Zufall bin ich auf WPScan gestoßen – ein Sicherheitsscanner für WordPress-Instanzen:

WPScan is a black box WordPress vulnerability scanner.

WPScan ist sogar in einigen Linux-Distributionen vorinstalliert:

Installation

Die Installation von WPScan ist in der Readme oder auf der Projektwebsite ausführlich erklärt und schnell durchgeführt. Hier das Beispiel für Debian/Ubuntu:

sudo apt-get install libcurl4-gnutls-dev libopenssl-ruby libxml2 libxml2-dev libxslt1-dev ruby-dev

git clone https://github.com/wpscanteam/wpscan

cd wpscan

sudo gem install bundler && bundle install --without test development

Das war’s. Mehr gibt es nicht zu tun unter Debian.

wpscan_screenshot

Benutzung

Vor der ersten Benutzung von WPScan sollte man die Plugin- und Theme-Datenbank updaten:

ruby wpstools.rb --generate-all

Das Update kann, je nach Leitung, einige Zeit dauern – nicht erschrecken. Nach dem Update ist WPScan einsatzbereit und kann mit Hilfe von

ruby wpscan.rb --url dominicpratt.de

angestoßen werden. Wird ein Plugin oder Theme gefunden, welches Sicherheitslücken aufweist, zeigt WPScan das entsprechende Theme/Plugin an. In diesem Fall wird eine URL zur Hilfe mitgegeben. Weitere Nutzungsmöglichkeiten zeigt WPScan beim Aufruf von wpscan.rb ohne Parameter an.

Fazit

WPScan entbindet nicht von den allgemeinen Sicherheitskonfigurationen, hilft aber, schnell und einfach, eventuell sogar bei Kunden, automatisiert per Cronjob anfällige WordPress-Instanzen zu finden.

WPScan liefert zuverlässig entsprechende Informationen und ist deshalb sehr gut zur Absicherung der WordPress-Instanzen geeignet.

 

 

 

Schreibe einen Kommentar