Tanya 200 : Memeriksa "Bolong" Blog WordPress anda Dengan WPScan

June 17, 2011 rezaervani Artikel, Hacking, Information Gathering Tools 1

Memeriksa "Bolong" Blog WordPress anda Dengan WPScan

WPScan adalah salah satu perangkat untuk memeriksa kelemahan WordPress kita. Selamat menikmati artikel di Kategori Hacking ini

Tanya :
Bagaimana Memeriksa Kerentanan (Vulnerability) di Blog WordPress saya ?

Jawab :
Gunakan WPScan sebagaimana yang diberitakan di : https://opensource.rezaervani.com/2011/06/16/berita-89-perangkat-baru-untuk-memindai-bolong-di-wordpress/
Anda akan memerlukan paket typhoeus dan xml-simple sebelumnya. Di Ubuntu anda dapat lakukan instalasi paket-paket berikut dengan perintah berikut. (Catatan selain paket-paket itu, ada akan memerlukan juga paket dasar seperti rubygem (Silahkan rujuk ke http://tanyarezaervani.wordpress.com/2011/06/17/tanya-199-instalasi-rubygems-di-ubuntu/ dan svn) :

sudo apt-get install libcurl4-gnutls-dev
 sudo gem install typhoeus
 sudo gem install xml-simple

Lalu unduh WPScan di googlecode dengan perintah :

svn checkout http://wpscan.googlecode.com/svn/trunk/ wpscan-read-only

Masuk ke direktori hasil unduhan (wp-scan-read-only) jalankan wpscan.rb dengan perintah-perintah seperti contoh berikut :

ruby wpscan.rb –url tanyarezaervani.wordpress.com

Contoh tampilan keluarannya adalah :

[sourcecode languange="bash"]
rezaervani@rezaervani-laptop:~/PERANGKATLUNAK/wpscan-read-only$ sudo ruby wpscan.rb --url tanyarezaervani.wordpress.com
[sudo] password for rezaervani:
____________________________________________________
__          _______   _____
\ \        / /  __ \ / ____|
\ \  /\  / /| |__) | (___   ___  __ _ _ __
\ \/  \/ / |  ___/ \___ \ / __|/ _` | '_ \
\  /\  /  | |     ____) | (__| (_| | | | |
\/  \/   |_|    |_____/ \___|\__,_|_| |_| v.ALPHA
WordPress Security Scanner by ethicalhack3r.co.uk
_____________________________________________________
# Copyright (C) 2011 Ryan Dewhurst
# This program comes with ABSOLUTELY NO WARRANTY.
# This is free software, and you are welcome to redistribute it
# under certain conditions. See GNU GPLv3.
| URL http://tanyarezaervani.wordpress.com/
| Started on Fri Jun 17 12:53:31 2011
[+] Finished.
[/sourcecode]

 

Hasil diatas menunjukkan bahwa blog saya masih “aman-aman” saja.

Brute Force

Anda bisa juga melakukan pemeriksaan password dengan perintah seperti contoh berikut :

ruby wpscan.rb –url www.example.com –wordlist darkc0de.lst –threads 50
ruby wpscan.rb –url www.example.com –wordlist darkc0de.lst –username admin

Beberapa catatan :

  1. Dapat dikatakan rentan jika WPScan berhasil menebak username blog anda dengan benar
  2. Segera ganti password anda jika WPScan berhasil menemukannnya hanya dengan dictionary yang sederhana.

Demikian (rezaervani@gmail.com)
Catatan : Mohon Gunakan untuk Kebaikan  !!!

1 Comment

Leave a Reply

Your email address will not be published.


*