Di kasus yang saya tangani, saya harus melakukan penetration testing pada website yang menggunakan CMS WordPress. Karena saya cukup malas mencari kelemahan pada WordPress secara manual, saya menggunakan tools bernama WPScrap yang memudahkan proses pengumpulan informasi dasar seperti versi wordpress, username admin, plugins, dan atau tema yang tidak di update.
Kapan Sebaiknya Mengaudit Keamanan WordPress?
Waktu yang tepat untuk mengaudit keamanan website yang menggunakan WordPress adalah setiap dua minggu atau setiap sebulan, umumnya exploit-exploit selalu update setiap minggu bahkan setiap bulan. Audit keamanan pada website yang menggunakan WordPress sangat penting untuk menjaga website dari website defacement atau penyisipan script-script backdoor atau malware. WPScrap adalah salah satu tools yang powerfull dan gratis yang mampu melakukan proses scanning dengan cepat hingga mendapatkan exploit yang relevan pada plugins atau tema yang tidak di update.
Tools ini membantu mendeteksi:
- Versi WordPress, tema, dan plugin yang digunakan.
- Username admin atau penulis.
- Potensi exploit dari plugin atau tema yang belum diperbarui.
Mengapa Memilih WPScrap?
Dalam sebuah kasus penetration testing, saya menggunakan WPScrap karena efisien, cepat, gratis dan tidak dibatasi jumlah penggunaanya, berbeda dengan WPScan yang memerlukan biaya sewa perbulan bahkan pertahun. Tools ini memungkinkan kita untuk:
- Proses scanning tidak butuh proses yang lama.
- Dapat menemukan versi WordPress yang digunakan pada website target.
- Mendapatkan informasi dasar untuk eksploitasi keamanan lebih jauh.
- Mendapatkan link eksploit yang dapat menjadi referensi belajar.
- Selalu ada update sehingga tools ini tetap bisa digunakan kapanpun.
Menurut dokumentasi GitHubnya, WPScrap adalah scanner WordPress yang cepat, tanpa memerlukan API key bahkan tidak ada batasan lainnya. Sudah gratis, cepat, tidak ada batasan apapun.
Cara Install WPScrap
Sebelum install WPScrap sebaiknya teman-teman diwajibkan menggunakan WSL atau Subsystem dari Linux sendiri yang hanya menggunakan terminal Linux.
Requirements
- Python3
- Git
- Pip
- WSL
Jalankan perintah “git clone https://github.com/moloch54/WPscrap“
Lalu masuk ke folder WPscrap dengan “cd WPscrap”
Jalankan perintah “python3 -m pip install -r requirements.txt”
Untuk penggunaan bisa menggunakan:
- python3 WPscrap.py -L listofurls.txt
- python3 WPscrap.py -L http://target.com
WPScrap ini sangat membantu untuk audit keamanan WordPress, terutama bagi yang belum mampu beli tools berbayar tetap menginginkan proses yang cepat. Dengan informasi seperti versi WordPress, tema, dan plugin, Kita jadi bisa memahami bugs pada website, kita bisa memulai perbaikan dan pencegahan berikutnya.
Sebagai penyedia jasa SEO dan pembuatan website, kami dapat membantumu membangun situs web yang menarik, SEO-friendly, dan optimal untuk meningkatkan visibilitas online. Dengan pengalaman dan keahlian kami, Optimaise siap memberikan solusi digital yang sesuai dengan kebutuhanmu. Hubungi Optimaise untuk memulai perjalanan digitalmu!
