WPScan – narzędzie do weryfikacji bezpieczeństwa WordPress

WPScan to narzędzie do skanowania bezpieczeństwa WordPress w trybie black-box. Analizując instalację WordPress z zewnątrz, identyfikuje wersję rdzenia, listę zainstalowanych wtyczek i motywów oraz porównuje je z bazą znanych podatności z WordPress Vulnerability Database. Bez klucza API narzędzie wykrywa komponenty, ale nie wyświetla szczegółowych informacji o podatnościach. Aby uzyskać pełne dane o lukach, należy zarejestrować się na wpscan.com i otrzymać swój API Token. (securecodebox.io)

WPScan jest powszechnie używany przez administratorów i specjalistów ds. bezpieczeństwa do regularnej weryfikacji instalacji WP, zwłaszcza pod kątem znanych, udokumentowanych luk. (securecodebox.io)

Instalacja WPScan

WPScan można zainstalować na kilka sposobów:

• Jako gem Ruby:gem install wpscan
• Jako obraz Docker:docker pull wpscanteam/wpscan
• W dystrybucjach pentestingowych (np. Kali) przez menedżera pakietów.

Po instalacji narzędzie warto zaktualizować, aby mieć najnowsze dane meta:

wpscan --update

Aktualizacja ta dotyczy metadanych (np. listy wersji wtyczek), ale nie pobiera danych o podatnościach — do tego potrzebny jest API Token. (WPScan)

Skanowanie strony WordPress

Podstawowe polecenie skanujące wygląda tak:

wpscan --url https://twojastrona.pl

To polecenie identyfikuje wersję WordPress, obecne wtyczki i motywy oraz podstawowe informacje o instalacji. Aby uzyskać szczegółowe informacje o podatnościach z bazy WPScan Vulnerability Database, trzeba dodać API Token:

wpscan --url https://twojastrona.pl --api-token TWÓJ_TOKEN

Bez tokena narzędzie nadal wykrywa komponenty, ale nie wyświetla szczegółów znanych luk w oprogramowaniu. (securecodebox.io)

Przykład podatności wykrytej przez WPScan

Jednym z przypadków, które narzędzie potrafi wykryć, jest luka w rdzeniu WordPressa opisana jako „WordPress < 6.5.5 — Contributor+ Stored XSS in Template-Part Block”. Ta podatność:

• dotyczy wersji WordPress starszych niż 6.5.5,
• oznacza przechowywany atak typu Cross-Site Scripting (XSS) w bloku Template Part,
• umożliwia wykonanie kodu JavaScript przez atakującego posiadającego rolę Contributor lub wyższą,
• została publicznie udokumentowana i trafiła do WPScan Vulnerability Database. (securecodebox.io)

WPScan wykryje taką lukę, jeśli narzędzie stwierdzi, że wersja rdzenia jest niższa niż 6.5.5 i jeśli podany jest API Token — wówczas wypisze odpowiednią podatność z identyfikatorem oraz opisem. (securecodebox.io)

Praktyczne komendy WPScan

Poniżej znajdują się przykłady gotowych poleceń, które możesz wykorzystać podczas testów bezpieczeństwa WordPressa. Wszystkie są oparte na oficjalnej dokumentacji WPScan i sprawdzonych przewodnikach.

Aktualizacja narzędzia i bazy

Aktualizacja lokalnej bazy metadanych:

wpscan --update

Aktualizacja narzędzia:

gem update wpscan

Skanowanie WordPress

Skan podstawowy z wykrywaniem wersji i komponentów:

wpscan --url https://twojastrona.pl --api-token TWÓJ_TOKEN

Jeśli nie masz tokena, skan nadal wykryje wersje, ale bez szczegółów o podatnościach. (securecodebox.io)

Enumeracja wtyczek i motywów

Skan podatnych wtyczek:

wpscan --url https://twojastrona.pl -e vp --plugins-detection mixed --api-token TWÓJ_TOKEN

To polecenie wypisze tylko te wtyczki, dla których w bazie są znane podatności. (securecodebox.io)

Skan wszystkich wtyczek (może potrwać dłużej):

wpscan --url https://twojastrona.pl -e ap --plugins-detection mixed --api-token TWÓJ_TOKEN

Enumeracja motywów

Skan podatnych motywów:

wpscan --url https://twojastrona.pl -e vt --api-token TWÓJ_TOKEN

Enumeracja użytkowników

To polecenie wypisze zarejestrowanych użytkowników WordPressa:

wpscan --url https://twojastrona.pl --enumerate u

Może być używane do analizy panelu logowania i dopasowania potencjalnych nazw użytkowników. (hackviser.com)

Tryby wykrywania wtyczek

Domyślnie WPScan stosuje mixed (mieszany) tryb wykrywania. Można też wymusić:

wpscan --url https://twojastrona.pl --plugins-detection passive --api-token TWÓJ_TOKEN

lub bardziej agresywny:

wpscan --url https://twojastrona.pl --plugins-detection aggressive --api-token TWÓJ_TOKEN

Tryb agresywny może dawać więcej wyników, ale też potencjalnie generować więcej ruchu na serwerze. (securecodebox.io)

Interpretacja wyników

Po wykonaniu skanowania WPScan wypisze:

• wersję WordPressa i informacje o komponentach,
• listę wykrytych podatności (jeśli podany API Token),
• identyfikatory luk i ich krótki opis z bazy WPScan Vulnerability Database,
• poziom ryzyka i dodatkowe informacje operacyjne. (securecodebox.io)

Wyniki należy analizować ostrożnie — narzędzie wykrywa znane podatności, ale nie zawsze oznacza to, że dana luka jest bezpośrednio wykorzystywalna w konkretnej konfiguracji. Szczegółowa analiza strony i kontekstu zawsze pozostaje konieczna. (securecodebox.io)

Dobre praktyki

• Używaj WPScan tylko do testowania własnych instalacji lub z wyraźną zgodą właściciela — bez takiej zgody skanowanie może być traktowane jako nieautoryzowana działalność.
• Regularne skanowanie instalacji WordPress pomaga w szybkim wykrywaniu i naprawie znanych luk.
• Po wykryciu podatności aktualizuj rdzeń WP, wtyczki i motywy do najnowszych wersji.