Tanya :

Bagaimana Memeriksa Kerentanan (Vulnerability) di Blog WordPress saya ?

Jawab :

Gunaka WPScan sebagaimana yang diberitakan di : https://tanyarezaervani.wordpress.com/2011/06/16/berita-89-perangkat-baru-untuk-memindai-bolong-di-wordpress/

Anda akan memerlukan paket typhoeus dan xml-simple sebelumnya. Di Ubuntu anda dapat lakukan instalasi paket-paket berikut dengan perintah berikut. (Catatan selain paket-paket itu, ada akan memerlukan juga paket dasar seperti rubygem (Silahkan rujuk ke https://tanyarezaervani.wordpress.com/2011/06/17/tanya-199-instalasi-rubygems-di-ubuntu/ dan svn) :

sudo apt-get install libcurl4-gnutls-dev
 sudo gem install typhoeus
 sudo gem install xml-simple

Lalu unduh WPScan di googlecode dengan perintah :

svn checkout http://wpscan.googlecode.com/svn/trunk/ wpscan-read-only

Masuk ke direktori hasil unduhan (wp-scan-read-only) jalankan wpscan.rb dengan perintah-perintah seperti contoh berikut :

ruby wpscan.rb –url tanyarezaervani.wordpress.com

Contoh tampilan keluarannya adalah :


rezaervani@rezaervani-laptop:~/PERANGKATLUNAK/wpscan-read-only$ sudo ruby wpscan.rb --url tanyarezaervani.wordpress.com
[sudo] password for rezaervani:
____________________________________________________
__          _______   _____
\ \        / /  __ \ / ____|
\ \  /\  / /| |__) | (___   ___  __ _ _ __
\ \/  \/ / |  ___/ \___ \ / __|/ _` | '_ \
\  /\  /  | |     ____) | (__| (_| | | | |
\/  \/   |_|    |_____/ \___|\__,_|_||_| v.ALPHA

WordPress Security Scanner by ethicalhack3r.co.uk
_____________________________________________________

# Copyright (C) 2011 Ryan Dewhurst
# This program comes with ABSOLUTELY NO WARRANTY.
# This is free software, and you are welcome to redistribute it
# under certain conditions. See GNU GPLv3.

| URL https://tanyarezaervani.wordpress.com/
| Started on Fri Jun 17 12:53:31 2011

[+] Finished.

Hasil diatas menunjukkan bahwa blog saya masih “aman-aman” saja.

Brute Force

Anda bisa juga melakukan pemeriksaan password dengan perintah seperti contoh berikut :

ruby wpscan.rb –url www.example.com –wordlist darkc0de.lst –threads 50
ruby wpscan.rb –url www.example.com –wordlist darkc0de.lst –username admin

Beberapa catatan :

  1. Dapat dikatakan rentan jika WPScan berhasil menebak username blog anda dengan benar
  2. Segera ganti password anda jika WPScan berhasil menemukannnya hanya dengan dictionary yang sederhana.

Demikian (rezaervani@gmail.com)

Catatan : Mohon Gunakan untuk Kebaikan  !!!