WordPress se mantiene en un puesto privilegiado a la hora de ser el CMS elegido por la mayorÃa de bloggers, por lo que no es de extrañar que un alto número de blogs utilicen esta herramienta. Pues bien, como no era de extrañar y tras los últimos avisos de seguridad he rebuscado a ver si existÃan herramientas que verificasen la seguridad de nuestro blog.
El desarrollador David Kierznowski, autor del blog michaeldaw, e investigador en temas de seguridad de la información ha creado un scanner de vulnerabilidades para wordpress que nos permite la identificación de la versión utilizada en wordpress, chequeo de vulnerabilidades por ataques XSS, enumeración de los plugins instalados (aunque de momento solo reconoce unos cuantos).
Su uso es sencillo,
perl -x wp-scanner.pl http://ejemplo.com/blog/ wp-scanner starting: David Kierznowski (http://michaeldaw.org)Using plugins dir: wp-content/plugins [*] Initial WordPress Enumeration [*] Finding WordPress Major Version [*] Testing WordPress Template for XSS WordPress Basic Results wp-commentsrss2.php => Version Leak: WordPress 2.2 wp-links-opml.php => Version Leak: WordPress 2.2 wp-major-ver => Version 2.2 wp-rdf.php => Version Leak: WordPress 2.2 wp-rss.php => Version Leak: WordPress 2.2 wp-rss2.php => Version Leak: WordPress 2.2 wp-server => Apache/2.0.59 (Win32) PHP/4.4.5 wp-style-dir => http://ejemplo.com/blog/wp-content/themes/default/style.css wp-title =ejemplo.com wp-version => WordPress 2.2 x-Pingback => http://ejemplo.com/blog/xmlrpc.php WordPress Plugins Found wp-plugins[0] => Akismet
Visto lo visto, creo que hay que empezar a esconderse. Puede ser buena práctica modificar manualmente los ficheros que se nombran en el script para securizar un poco nuestro blog mediante ocultamiento de las versiones.
2 comentarios en “[Seguridad] scanner para WordPress”
Muy interesante, habrá que echarle un ojo a este tema.
Gracias por la información
Gracias por la info, la anexare en la web, veamos a ver tal es y les comento…
en la buena