WPScan là một trình quét lỗ hổng cho các trang web sử dụng WordPress. Bài viết này sẽ hướng dẫn bạn cài đặt WPScan trên Windows 10.
Cài đặt WPScan trên Windows 10 – WPScan là một trình quét lỗ hổng cho các trang web sử dụng WordPress. Nó có thể được sử dụng để phát hiện các vấn đề bảo mật trên trang web của bạn.
WPScan được viết bằng Ruby và có thể chạy trên bất kỳ hệ điều hành nào hỗ trợ Ruby, bao gồm cả Windows. Trong bài này HOSTVN sẽ hướng dẫn bạn cài đặt WPScan trên windows 10 và cách quét lỗ hổng bảo mật của WordPress bằng WPScan.
Cài đặt WPScan trên Windows 10
1. Bước 1: Cài đặt Ruby
WPScan được viết bằng Ruby nên việc đầu tiên bạn cần làm là cài đặt Ruby vào máy tính của mình. Trong bài này HOSTVN sẽ cài đặt Ruby Với Devkit phiên bản 2.6.6.
Để tải xuống Ruby, hãy truy cập trang tải xuống Ruby: https://rubyinstaller.org/downloads/
Sau khi quá trình tải xuống hoàn tất, hãy cài đặt Ruby
Sau khi cài đặt xong, hãy đảm bảo rằng hộp Chạy ‘ridk install’… đã kiểm tra và nhấp vào tiếp theo
Một cửa sổ CMD sẽ được mở, nhập 3 và hãy nhấn đi vào để cài đặt MSYS2 và MINGW
Sau khi cài đặt xong, bạn có thể tắt CMD.
2. Bước 2: Tải xuống cURL lib
WPScan sẽ cần cURL lib để hoạt động. Bạn có thể truy cập lib cURL tại địa chỉ sau: https://curl.haxx.se/windows/
Chọn phiên bản 32 bit hoặc 64 bit phù hợp với máy tính của bạn. Trong bài này HOSTVN sử dụng phiên bản 64 bit.
Trong tệp zip, bạn truy cập vào thư mục thùng rác và giải nén tệp libcurl-x64.dll đi đến thư mục thùng rác bởi Ruby (C: Ruby26-x64bin)
Đổi tên tệp libcurl-x64.dll vừa giải nén libcurl.dll
3. Bước 3: Cài đặt WPScan
Để cài đặt WPScan, bạn mở CMD với quyền quản trị
Để kiểm tra phiên bản WPScan bạn có thể cài đặt, hãy sử dụng lệnh sau
gem search WPScan
Tại thời điểm viết, phiên bản có thể cài đặt WPScan mới nhất là 3.8.1
Để cài đặt WPScan, bạn sử dụng lệnh sau
gem install wpscan
Sau khi cài đặt xong, cập nhật cơ sở dữ liệu cho WPScan bằng lệnh sau
wpscan --update --disable-tls-checks
4. Bước 4: Đăng ký API WPVulnDB
Để có kết quả quét lỗ hổng chính xác hơn, bạn có thể đăng ký và sử dụng API WPVulnDB. Đầu tiên bạn cần đăng ký một tài khoản trên WPVulnDB: https://wpvulndb.com/users/sign_up
Sau khi bạn đã đăng ký và kích hoạt tài khoản của mình, hãy đăng nhập vào tài khoản của bạn và chọn gói API miễn phí
Với gói miễn phí, bạn được phép quét bằng API 50 lần / ngày. Đó là khá đủ để sử dụng. Khi bạn đã chọn gói của mình, bạn sẽ được cung cấp Mã thông báo API sử dụng
5. Bước 5: Sử dụng WPScan để kiểm tra các lỗ hổng bảo mật trên trang web WordPress của bạn
Để kiểm tra các lỗ hổng bảo mật trên trang web WordPress của bạn bằng WPScan, hãy chạy lệnh với cấu trúc sau:
wpscan --url example.com --random-user-agent --disable-tls-checks --api-token YOUR_TOKEN
Trong đó
- example.com: Là địa chỉ trang web bạn muốn quét
- BẠN_TOKEN là API Token của WPVulnDB
Lệnh trên sẽ trả về phiên bản wordpress, phiên bản theme, các plugin bạn đang sử dụng và liệt kê các lỗ hổng bảo mật liên quan nếu có. Ngoài ra, để tìm hiểu thêm về cách sử dụng WPScan, bạn có thể xem thêm tại trang Tài liệu của WPScan.
6. Kết luận
Qua bài đăng này HOSTVN Chúng tôi đã hướng dẫn các bạn cài đặt WPScan trên Windows 10 và cách sử dụng WPScan để kiểm tra lỗ hổng bảo mật cho website WordPress. Nếu có ý kiến đóng góp, bạn có thể để lại bình luận bên dưới. Ngoài ra, bạn có thể xem hướng dẫn tăng bảo mật cho WordPress.
