Audit Keamanan WordPress Menggunakan WPScan

Senin, 31 Mei 2021

Audit Keamanan WordPress Menggunakan WPScan. Sampai sejauh ini saya rasa WPScan masih merupakan tool terbaik untuk melakukan audit keamanan pada website yang menggunakan CMS WordPress. Tool ini bisa dipakai untuk langkah awal dalam menangani masalah keamanan di WordPress karena modul scanner di tool ini sudah cukup lengkap. Bahkan pasif scan nya bisa langsung mendeteksi plugin mana yang sudah kadaluarsa dan harus diupdate (jika ada).

Yang tertarik mencoba bisa langsung clone project WPScan di GitHub. Jika kalian pengguna Kali Linux, tool ini sudah tersedia di repository dan bisa diinstall menggunakan perintah

sudo apt update && sudo apt install -y wpscan

Selanjutnya update database WPScan dengan perintah

wpscan --update

Untuk melihat perintah apa saya yang bisa digunakan, cek menggunakan command

wpscan -h

Berikut flag yang biasa saya gunakan untuk melakukan scanning.

wpscan --rua -t 10 --force --url https://domain.com

Perintah diatas akan menjalankan wpscan dengan random user agent dengan thread maksimal 10 dan juga flag "--force" disini ditujukan agar wpscan tetap melakukan scan jika indexnya memunculkan error 403 atau forbidden.


Jika ingin mengenumerasi username bisa tambahkan flag "--enumerate u". Contoh

wpscan --rua -t 10 --force --enumerate u --url https://domain.com

Nah, agar data vulnerability terintegrasi dengan API WPScan, kalian juga bisa tambahkan flag token. Untuk tokennya kalian bisa register di WPScan. API nya cek di dashboard.

Pengguna gratis akan mendapatkan jatah sebanyak 25 request per hari. Lumayan lah untuk pemakaian harian.

Nah cara menggunakan tokennya di wpscan tinggal tambahkan flag "--api-token". Contoh:

wpscan --rua -t 10 --force --api-token randomapitokendisini --url https://domain.com

Kalian juga bisa menyimpan tokennya di file ~/.wpscan/scan.yml. Lalu Tambahkan baris berikut:

cli_options:
  api_token: YOUR_API_TOKEN
Sesuaikan sendiri dengan API token kalian.

Oke mungkin sekian dulu pembahasan mengenai WPScan. Jika ada yang ingin ditanyakan silahkan komentar. Dan jika dirasa bermanfaat silahkan dibagikan.

Artikel Terkait Security ,WordPress