Cek Celah Vulnerability CMS Wordpress Menggunakan WPScan

WPScan merupakan tools vulnerability scanner untuk CMS Wordpress yang ditulis dengan menggunakan bahasa pemrograman ruby, WPScan mampu mendeteksi kerentanan umum serta daftar semua plugin dan themes yang digunakan oleh sebuah website yang menggunakan CMS Wordpress.

Dibawah ini akan saya berikan beberapa contoh penggunaan tools WPScan

Untuk melihat semua opsi yang dapat digunakan, ketikkan perintah

wpscan -h

Penggunaan "non-intrusif"

Kita tidak menambahkan opsi yang ada, ini hanya memberikan query instalasi WP untuk mengambil informasi dasar dari situs tersebut

wpscan -u (url target)

Selajutnya perintah untuk melihat plugin yang terinstall sekaligus melihat plugin yang terdapat vulnerability

wpscan -u (url target) --enumerate p

Hasil dari scanning

Selanjutnya untuk melihat Informasi themes yang digunakan beserta vulnerability-nya

wpscan -u (url target) --enumerate t

Kemudian untuk melihat Informasi plugin timthumbs yang terinstall

wpscan -u (url target) --enumerate tt

Dari hasil scanning di atas tidak terdeteksi files timthumb

Nah sekarang kita coba untuk mencari username pada website yang menggunakan CMS Wondpress tersebut

wpscan -u (url target) --enumerate u

Hasil dari enumerating username, terdapat 5 username pada situs berbasis wordpress tersebut

Selain dapat digunakan enumerate username dan mencari vulnerability pada pulgin atau themes yang digunakan, WPScan juga dapat melakukan serangan bruteforce password juga. tentunya harus menggunakan wordlist.

Perintah untuk melakukan bruteforce seperti dibawah ini, sesuaikan username admin dengan yang muncul saat enumeration username

wpscan -u (url target) --wordlist darkc0de.lst --username admin

Itulah beberapa contoh dari penggunaan WPScan, artikel ini di buat hanya untuk pembelajaran semata, apabila ada penyalahgunaan dari tutorial ini , itu bukan tangggung jawab dari kami. Terima Kasih