Tank · Code Alliance Developers
Termux Arsenalby Tank · Code Alliance
arsenal
WPScan — ilustração
Web

WPScan

Enumera plugins, temas, usuários e identifica vulnerabilidades conhecidas em instalações WordPress.

Mais de 40% da internet roda WordPress, e a maioria dos problemas está em plugins desatualizados. O WPScan identifica a versão do WordPress, lista plugins e temas instalados, enumera usuários e cruza tudo isso com uma base de vulnerabilidades conhecidas.

repositório oficial ↗

Antes de instalar

Atualize os repositórios e libere o armazenamento do Termux:

$ pkg update && pkg upgrade -y
$ termux-setup-storage

Instalação

$ pkg install ruby -y
$ gem install wpscan

Exemplo de uso

$ wpscan --url https://alvo.com

Passo a passo

  1. 1

    Instale o Ruby.

    $ pkg install ruby -y
  2. 2

    Instale o WPScan.

    $ gem install wpscan
  3. 3

    Escaneie um site WordPress.

    $ wpscan --url https://alvo.com
  4. 4

    Enumere plugins vulneráveis.

    $ wpscan --url https://alvo.com --enumerate vp
  5. 5

    Para detectar vulnerabilidades novas, registre token grátis em wpscan.com e use --api-token TOKEN.

    $ wpscan --url https://alvo.com --api-token SEU_TOKEN

Prática segura · WPScan

→ guia do lab

Suba o alvo em Docker/VM antes de apontar WPScan. Nunca rode contra IP/domínio que não seja seu ou autorizado.

alvo sugerido · DVWA local (docker), Juice Shop, testphp.vulnweb.com ou PortSwigger Academy

Nunca aponte para alvo em produção. Se estiver no celular, use proot-distro + Debian para não sujar o Termux principal.

Relacionadas