Cara Deface Wordpress Dengan Metode WPScan


(HACKING TUTORIAL)



WordPress adalah open source sistem manajemen konten gratis. Ribuan situs Web menjalankan WordPress, dan itu dianggap sebagai platform blogging terbaik di dunia. Menurut Statistik Penggunaan dan Pangsa Pasar Sistem Manajemen Konten untuk Website (W3Techs. Januari 2015. Diperoleh Januari 2015), 23% dari 10 juta situs web di dunia menggunakan WordPress.

Kami akan menggunakan WPScan untuk menguji instalasi WordPress kita. Ini adalah scanner keamanan yang mencoba untuk menemukan kelemahan keamanan yang dikenal dalam instalasi WordPress. Aplikasi ini tersedia secara gratis di situs wpscan.org, dan penonton yang dimaksud adalah profesional keamanan atau administrator WordPress. WPScan digunakan untuk menentukan postur keamanan instalasi WordPress.

Sintaks untuk memulai dengan WPScan adalah: 
wpscan --url wordpress_url
Hacking WordPress dengan wpscan-1
Catatan: Pertama kali Anda menjalankannya, Anda mungkin menemukan bahwa Anda perlu memperbarui database. 
Hacking WordPress dengan wpscan-2
 
Anda harus dapat dengan cepat menentukan versi WordPress, plugin yang diinstal, dan apa tema yang aktif saat Anda membuka pemindai. 
Hal pertama yang akan kita lakukan adalah mencari baris yang dimulai dengan plus merah (+). Ini adalah kerentanan WordPress dikenal.
  
Hacking WordPress dengan wpscan-3
 
Jika kerentanan benar ada, Anda dapat menghitung daftar pengguna dari WordPress dengan perintah berikut: 
wpscan --url wordpress_url --enumerate u
Hacking WordPress dengan wpscan-4
 
Aku menjalankan perintah, dan Anda dapat melihat WPScan ditemukan username pada sistem ini:
  
Hacking WordPress dengan wpscan-5
Setelah nama pengguna telah dikumpulkan, maka Anda dapat mencoba untuk memaksa hewan crack password yang terkait. Dalam rangka itu, Anda akan memerlukan daftar kata sandi. 

Untuk brute force password yang terkait dengan nama pengguna, gunakan perintah berikut: 
wpscan --url [wordpress_url] --word daftar [daftar path_to_world] --username [username bruteforce] -threads [jumlah thread]


Hacking WordPress dengan wpscan-5
Beberapa instalasi WordPress akan membuat sangat sulit untuk brute force password.
  
Hacking WordPress dengan wpscan-6
 
Jika ini terjadi, kita mungkin perlu memikirkan kembali pendekatan kami. 
Hasil? Jika Anda beruntung, Anda dapat melihat WPScan mampu memecahkan sandi dengan hasil di bawah.
  
Hacking WordPress dengan wpscan-7
 
Harap dicatat bahwa tidak semua versi WordPress rentan, dan banyak penyedia layanan host sekarang menyediakan patch otomatis dan upgrade. Namun, WPScan adalah cara yang bagus untuk menguji lingkungan Anda sendiri dan memastikan itu aman. 


EmoticonEmoticon