ស្វែងរកចំនុចខ្សោយសុវត្ថិភាព WordPress ជាមួយនឹង WPScan

WordPress គឺជាកម្មវិធីប្រភេទ Content Management System (CMS) ដ៏ពេញនិយមមួយដែល មានអ្នកប្រើប្រាស់ជាច្រើននៅលើពិភពលោក។ វាអនុញ្ញាត្តិឲ្យអ្នកប្រើប្រាស់អាចបង្កើតនូវគេហទំហ័រយ៉ាងងាយស្រួលដោយមិនបាច់ចំណាយពេលច្រើនក្នុងការសរសេរកូដ ។ WordPress សម្បូរទៅដោយកម្មវិធីតូចៗ (Plugin) និងការរចនា (Theme) ដែលស្ទើរតែអាចបំពេញតម្រូវការអ្នកប្រើប្រាស់បានទាំងស្រុង។ ទន្ទឹមនឹងភាពងាយស្រួលនេះ អ្នកប្រើប្រាស់ក៏មានកង្វល់ផងដែរ អំពីបញ្ហាសុវត្ថិភាព បន្ទាប់ពីពួកគេទាញយកកម្មវិធីទាំងនោះមកប្រើប្រាស់។

អត្ថបទនេះនឹងបង្ហាញពីរបៀបស្វែងរកចំនុចខ្វះខាតផ្នែកសុវត្ថិភាពរបស់ WordPress ដោយប្រើកម្មវិធី WPScan ។

តម្រូវការៈ

  • Ruby >= 2.1.9
  • Curl >= 7.21
  • RubyGems
  • Git

ការតម្លើងៈ

WPScan អាចទាញយក និងតម្លើងប្រើប្រាស់បានដោយសេរីនៅលើ Mac និង Linux ។ ប្រសិនបើអ្នកប្រើប្រាស់ប្រព័ន្ធប្រតិបត្តិការ Windows សូមទាញយក Virtual Box ដើម្បីតម្លើងប្រព័ន្ធប្រតិបត្តិការ Linux ណាមួយ។

Macwp1

Ubuntu ជំនាន់ក្រោម 14.04wp2

Ubuntu ជំនាន់លើ 14.04wp3

Debianwp4

ការប្រើប្រាស់ៈ

អត្ថបទនេះត្រូវបានសរសេរឡើងក្នុងគោលបំណងសិក្សាស្រាវជ្រាវ និងចែករំលែកចំនេះដឹងប៉ុណ្ណោះ។ សូមលោកអ្នកអនុវត្តរាល់បច្ចេកទេសទាំងនេះនៅលើគេហទំព័រ WordPress ផ្ទាល់ខ្លួនរបស់អ្នក។ ប្រសិនបើលោកអ្នកមានបំណងចង់សាកល្បងបច្ចេកទេសទាំងនេះលើគេហទំព័រអ្នកដទៃ សូមស្នើរសុំទៅកាន់ម្ចាស់គេហទំព័រនោះជាមុនសិន។  យើងមិនគាំទ្រឲ្យមានការប្រើប្រាស់បច្ចេកទេសទាំងនេះដើម្បីវាយប្រហារលើអ្នកដទៃនោះទេ។

ដើម្បីធ្វើបច្ចុប្បន្នភាព និងដំណើរការ WPScan សូមប្រើ Command ខាងក្រោម:wp5

  • ការធ្វើ Non-Intrusive Check:

wp6

  • ការស្វែងរកបញ្ហាសុវត្ថិភាពរបស់ Plugin:

wp7

  • ការស្វែងរកបញ្ហាសុវត្ថិភាពរបស់  Theme:

wp8

  • ការស្វែងរកឈ្មោះគណនីៈ

wp9

  • ការស្វែងរកពាក្យសំងាត់របស់អ្នកប្រើប្រាស់ៈ

wp10

  • ការស្វែងរកពាក្យសំងាត់របស់ Admin:

wp11

  • ការបង្ហាញ Debug Output:

wp12

ចំណាំៈ

  • សញ្ញា (!) ពណ៌ក្រហមបញ្ជាក់ថាបញ្ហាសុវត្ថិភាពត្រូវបានរកឃើញ ។
  • ប្រសិនបើ Plugin ឬ Theme ដែលបានរកឃើញថាមានបញ្ហា ពុំមានកំណែជំនាន់ថ្មីទេ សូមផ្អាកដំណើរការ ឬលុបវាដើម្បីបញ្ជៀសពីការវាយប្រហារ។
  • ការស្វែងរកពាក្យសំងាត់ តម្រូវឲ្យមានបញ្ជីពាក្យសំងាត់ (Password Collection) ។