WPScan: web security scanner per WorpPress

(di Alessio Buttitta)
24/01/22

WordPress è un software CMS (Content management system) Open Source, cioè una piattaforma che permette di creare e gestire un sito web e i suoi contenuti in maniera semplice e dinamica. Ad oggi è il metodo più utilizzato per creare siti, si stima che il 40% dei siti web siano fatti con WordPress.

Per questo motivo sono stati creati numerosi software, plugin e tool integrabili o interagibili con questo CMS. Alcuni hanno finalità orientate marketing, alla grafica o ad aggiungere
personalizzazioni al sito altri tool invece hanno funzionalità di analisi come per esempio WPScan che andremo a spiegare nel dettaglio.

WordPress è funzionale per siti web di grandi dimensioni?

Erroneamente, spesso, si associa WordPress a microimprese o ad attività con budget limitati. È invece giusto sottolineare come molti siti web con traffico elevato e rappresentanti aziende
tutt’altro che limitate economicamente utilizzino questa tecnologia.

Ecco un elenco - non esaustivo - di alcuni noti marchi che utilizzano WordPress:

- Spotify
- CNN
- TED
- Microsoft
- Vimeo
- Wikihow
- Il New York Times
- Skype
- NASA
- Sony Playstation
- Walt Disney

E l'elenco potrebbe continuare...

Cos’è WPScan?

WPScan è un CLI tool, ovvero utilizzabile solo da linea di comando, è un prodotto open source infatti spesso è associato a distribuzioni Linux come per esempio Kali Linux.

Si tratta di un web security scanner nato al fine di analizzare la piattaforma WorpPress. Come riporta le documentazione ufficiale, è stato creato per essere utilizzato durante i penetration test. Viene poi impiegato da molti utilizzatori di WordPress per analizzare le conformità del proprio sito web.

WPScan ha come scopo primario cercare falle di sicurezza all’interno della piattaforma, è in grado di testare un sito che adotta un CMS WordPress e controllare la presenza di vulnerabilità.

Come iniziare ad usare WPScan?

Come accade per molti CLI tool, il primo comando da usare per approcciarsi al software è: wpscan -h
L’output che riceveremo sarà di questo tipo:

Vengono elencate e descritte le opzioni delle quali è dotato il tool.

La prima basilare opzione è --url che permette di inserire il link di un ambiente da analizzare.

Il comando sarà quindi: wpscan —url www.nomesito.com

L’output sarà la vera e propria analisi del sito con le evidenze di eventuali vulnerabilità o dati sensibili esposti.

Nel caso in cui il website analizzato non utilizzi WordPress o non sia rilevabile l’operazione terminerà con un messaggio d’errore.

Le funzionalità di questo tool si articolano intorno a questa scansione basilare dell’ambiente.

Alcuni altri paramenti che presenta il WPScan che in base alle nostre necessità possiamo utilizzare e sono i seguenti:
- --force esegue tutti i controlli prestabiliti anche se il sito risulta offline.
- -—follow–redirection per sapere se il sito in questione effettua dei redirect magari
anche ad altri siti o pagine social.
- –-verbose serve per lanciare WPScan con un output maggiormente dettagliato mostrando poi la percentuale di progresso dell’operazione.
- -–enumerate con questa opzione è possibile elencare i plugin,il tema utilizzato, gli utenti e varie altre caratteristiche del sito con le relative problematiche.
Inoltre è possibile poi effettuare analisi in maniera anonima non lasciando alcuna traccia.

In ultimo c’è la possibilità di creare un output personalizzato salvandolo anche in un file. Queste opzioni elencate possono anche essere combinate per avere un risultato più dettagliato.

Qualche dettaglio tecnico riguardo WPScan

Il tool contiene un database che permette di eseguire delle azioni di enumerazione, ovvero di controllare ed elencare le vulnerabilità più comuni. Permette inoltre attacchi di tipo bruteforce,
quindi tentare tutte le possibili combinazioni di una password per accedere al sito.

Il database viene aggiornato molto spesso motivo per il quale a breve distanza temporale l’analisi su uno stesso sito può fornire risultati totalmente diversi.

In conclusione è una buona abitudine restare informati sulle problematiche di sicurezza che possono presentare i software che utilizziamo e non saltare mai gli aggiornamenti che vengono
rilasciati.
Un sito web non è mai completamente al sicuro, ogni giorno vengono scoperte molte vulnerabilità, WordPress è un prodotto molto utilizzato sempre nel mirino dei malintenzionati.

Ricordo che questo articolo è al solo scopo educativo, l’utilizzo non autorizzato del software in questione è considerato come tentativo di accesso abusivo a sistema informatico ed è perseguibile dalla legge.