Tanya 200 : Memeriksa "Bolong" Blog WordPress anda Dengan WPScan

Memeriksa "Bolong" Blog WordPress anda Dengan WPScan

WPScan adalah salah satu perangkat untuk memeriksa kelemahan WordPress kita. Selamat menikmati artikel di Kategori Hacking ini

Tanya :
Bagaimana Memeriksa Kerentanan (Vulnerability) di Blog WordPress saya ?

Jawab :
Gunakan WPScan sebagaimana yang diberitakan di : https://opensource.rezaervani.com/2011/06/16/berita-89-perangkat-baru-untuk-memindai-bolong-di-wordpress/
Anda akan memerlukan paket typhoeus dan xml-simple sebelumnya. Di Ubuntu anda dapat lakukan instalasi paket-paket berikut dengan perintah berikut. (Catatan selain paket-paket itu, ada akan memerlukan juga paket dasar seperti rubygem (Silahkan rujuk ke http://tanyarezaervani.wordpress.com/2011/06/17/tanya-199-instalasi-rubygems-di-ubuntu/ dan svn) :

sudo apt-get install libcurl4-gnutls-dev
 sudo gem install typhoeus
 sudo gem install xml-simple

Lalu unduh WPScan di googlecode dengan perintah :

svn checkout http://wpscan.googlecode.com/svn/trunk/ wpscan-read-only

Masuk ke direktori hasil unduhan (wp-scan-read-only) jalankan wpscan.rb dengan perintah-perintah seperti contoh berikut :

ruby wpscan.rb –url tanyarezaervani.wordpress.com

Contoh tampilan keluarannya adalah :

[sourcecode languange="bash"]
rezaervani@rezaervani-laptop:~/PERANGKATLUNAK/wpscan-read-only$ sudo ruby wpscan.rb --url tanyarezaervani.wordpress.com
[sudo] password for rezaervani:
____________________________________________________
__          _______   _____
\ \        / /  __ \ / ____|
\ \  /\  / /| |__) | (___   ___  __ _ _ __
\ \/  \/ / |  ___/ \___ \ / __|/ _` | '_ \
\  /\  /  | |     ____) | (__| (_| | | | |
\/  \/   |_|    |_____/ \___|\__,_|_| |_| v.ALPHA
WordPress Security Scanner by ethicalhack3r.co.uk
_____________________________________________________
# Copyright (C) 2011 Ryan Dewhurst
# This program comes with ABSOLUTELY NO WARRANTY.
# This is free software, and you are welcome to redistribute it
# under certain conditions. See GNU GPLv3.
| URL http://tanyarezaervani.wordpress.com/
| Started on Fri Jun 17 12:53:31 2011
[+] Finished.
[/sourcecode]

 

Hasil diatas menunjukkan bahwa blog saya masih “aman-aman” saja.

Brute Force

Anda bisa juga melakukan pemeriksaan password dengan perintah seperti contoh berikut :

ruby wpscan.rb –url www.example.com –wordlist darkc0de.lst –threads 50
ruby wpscan.rb –url www.example.com –wordlist darkc0de.lst –username admin

Beberapa catatan :

  1. Dapat dikatakan rentan jika WPScan berhasil menebak username blog anda dengan benar
  2. Segera ganti password anda jika WPScan berhasil menemukannnya hanya dengan dictionary yang sederhana.

Demikian (rezaervani@gmail.com)
Catatan : Mohon Gunakan untuk Kebaikan  !!!

1 Comment

Leave a Reply

Your email address will not be published.


*