Scan vulnerabilities of WordPress
WordPressのスキャン (本体、プラグイン、テーマ)
非商用で使う場合は、WordPressとの連携を無料で使用できます。 商用で使う場合は、WPVulnDBチームにメールしてください。 詳しくは NOTEを見てください。
あなたのソフトウェアが非商用かどうかわからない時や、商用で使用したいときのお問い合わせ
まず、 wpvulndb.com.からユーザ登録をしてプロフィールページからAPIのトークンを取得します。 And then, check whether the wp command is installed on the scan target server. 以下はサンプルの設定です。
- config.toml
[servers.kusanagi]
user = "root"
host = "10.10.10.10"
port = "22"
[servers.kusanagi.wordpress]
cmdPath = "/usr/local/bin/wp"
osUser = "wordpress"
docRoot = "/home/kusanagi/wp/DocumentRoot/"
wpVulnDBToken = "xxxxTokenxxxx"
ignoreInactive = false
- cmdPath : WordPressサーバ上の
wpのパス - osUser : WordPressサーバのOSの
wpのユーザ - docRoot : A path of document root on the wordpress server
- wpVulnDBToken : WPVULNDB APIのトークン
- ignoreInactive : 無効になっているプラグインやテーマを無視する
スキャン
WordPressをスキャンするには、以下のように実行してください。
$ vuls scan kusanagi
Vuls collects WordPress Core version, plugins and themes via wp-cli.
レポート
$ vuls report
VulsはHTTPを用いて WPVulnDB.comにアクセスし、脆弱性を検知します。
- Slack
- TUI
- Full-Text
Tips
- WordPressのサイトが仮想的にある場合
- OSのパッケージは要らなくてWordPressだけのレポートが欲しいとき
ignorePkgsRegexp = [".*"]を使いましょう。 ECOではないですが、ちゃんと動きます(笑)
- The point of config.toml
# for server administrator
[servers.wordpress]
host = "wordpress"
# for WordPress site FOO
[servers.foo]
host = "wordpress"
ignorePkgsRegexp = [".*"]
[servers.foo.wordpress]
docRoot = "/home/foo/wordpress/"
# for WordPress site BAR
[servers.bar]
host = "wordpress"
ignorePkgsRegexp = [".*"]
[servers.bar.wordpress]
docRoot = "/home/bar/wordpress/"