Analizar tu Sitio con WPScan

ByJosé Manuel Campos

WPScan no es un herramienta que trata de identificar malware en tu sitio de Wordpress.

WPScan es un herramienta que permite identificar cuales son las vulnerabilidades que tu sitio tiene y poder arreglar cualquiera de los problemas de seguridad que este tenga.

Este sitio te ayuda a ver lo que un hacker querría ver si tu sitio es un objetivo.

WPScan: Aplicación Web

WPScan es un servicio pero tiene un plan gratuito que puedes usar para probar la herramienta.

El Sitio te ayuda a:

  • Detectar la versión de Wordpress para ver si tiene vulnerabilidades.
  • Detectar los plugins de Wordpress y determinar si tienen una vulnerabilidad conocida.
  • Detecta el tema y determina si la versión de este tiene una vulnerabilidad conocida.
  • Detecta si los credenciales de tu sitio coinciden con los usados por los hackers en ataques de fuerza bruta.
  • Detecta los nombres de usuarios que están disponible en el sitio.

En la versión gratuita sólo puedes agregar un sitio y hacer un escaneo por mes.

Este fue el resultado que obtuve con la herramienta:

Porsupuesto que los plugins, temas y wordpress se encuentra actualizado ya que un sitio sencillo raramente encuentra problemas cuando se aplican las actualizaciones.

Yo tengo algo de seguridad por medio de CloudFlare y Reglas en el archivo .htaccess por lo que el escaner solo detectó los plugins que son visibles.

Si deseas estar al tanto de las vulnerabilidad de plugins, temas y Wordpress, puedes hacerlo en esta dirección.

El Plugin WPScan

WPScan cuenta con un plugin que te permite encontrar vulnerabilidades en plugins, temas y Wordpress.

El plugin se encuentra en el repositorio de Wordpress y requiere una cuenta de WPScan Vulnerability Database para funcionar.

Puedes crear una cuenta y escoger el plan gratuito Una vez creada la cuenta, puedes ir al Perfil y copiar le token donde lo solicita el plugin.

Una vez que agregar el token, el plugin comienza a escanear y arroja maś resultados.

En esta ocasión detalla otros plugin usados en el sitio.

Opiniones

Este un servicio y plugin que es para quienes:

  • Usan versiones desactualizadas de un plugin, temas y wordpress.
  • Tienen desactivadas las actualizaciones
  • No implementan reglas de Firewall en su sitios.

Una personas con una implementación básica de seguridad, probablemente salga librado de las vulnerabilidades del dia cero.