From 5667ca857c7f008e9188823523ad5f038c14e999 Mon Sep 17 00:00:00 2001 From: Ludovic Poujol Date: Tue, 28 Feb 2017 15:29:34 +0100 Subject: [PATCH] Ajout WPScan dans Howto Wordpress --- HowtoWordpress.md | 30 +++++++++++++++++++++++++++++- 1 file changed, 29 insertions(+), 1 deletion(-) diff --git a/HowtoWordpress.md b/HowtoWordpress.md index 06e9cccc..a0470cc4 100644 --- a/HowtoWordpress.md +++ b/HowtoWordpress.md @@ -138,7 +138,7 @@ $ php $HOME/wp-cli/wp-cli.phar core check-update +---------+-------------+-------------------------------------------------------------+ | 4.6.1 | major | | +---------+-------------+-------------------------------------------------------------+ -~~~ +~~~ Mettre à jour wordpress et la bd @@ -187,3 +187,31 @@ $ php $HOME/wp-cli/wp-cli.phar user list $ php $HOME/wp-cli/wp-cli.phar user delete X ~~~ + + +# Sécurité + +## WPScan + +WPSscan (https://wpscan.org/) est un outil de scan de vulnérabilités en boite noire dédié à WordPress. Il va détecter la version de WordPress, lister d'éventuelles vulénrabilités connues pour cette version, répertorier les thèmes et plugins utilisés avec leur failles et pointer des défauts de configuration de l'installation. + +Pour l'installer, vous pouvez suivre les instructions de [la documentation](https://github.com/wpscanteam/wpscan#install) + +### Utilisation + +#### Mise à jour +Avant la première utilisation, et de manière régulière, il faut mettre à jour WPScan, cela lui permet de récupérer la liste des dernière vulnérabiliés. Vous pouvez le faire avec la commande suivante : + +~~~ +ruby wpscan.rb --update +~~~ + +*Note* : Si votre base de donnée locale des vulnérabilités est trop ancienne, le script vous proposera automatiquement de faire la mise à jour. + +#### Scan d'un site + +L'opération est simple, il suffit juste de donner l'adresse du site à WPScan. Vous optiendrez alors un compte rendu complet de la situation. + +~~~ +ruby wpscan.rb --url example.net +~~~