Ana içeriğe geç
Destek Çevrimiçi
MirrorLooking Glass
RabisuRabisu
Müşteri Paneli
RehberlerBilgi Bankası

WPScan Kurulumu: WordPress Güvenlik Taraması

Bu Rehberde Ne Öğreneceksiniz?

Bu rehberde, WPScan aracıyla WordPress sitenizi saldırgan bakış açısıyla taramayı öğreneceksiniz.
Amaç, zafiyetleri erken tespit ederek riskleri azaltmaktır.

🧠 Teknik Özet

Ana Teknik Konu:
WPScan ile WordPress güvenlik açıklarını tespit etme.

Çözülen Problem:
Zayıf eklenti ve temaların oluşturduğu XSS ve SQL Injection riskleri.

İzlenen Adımlar:

  • Gerekli bağımlılıkların kurulması
  • WPScan indirme ve yapılandırma
  • Eklenti, tema ve kullanıcı taraması
  • Timthumb güvenlik kontrolü

1️⃣ Gerekli Bağımlılıkları Kurun

1. WPScan, Ruby tabanlı bir güvenlik aracıdır.

sudo apt-get update
sudo apt-get install git libcurl4-gnutls-dev libopenssl-ruby libxml2 libxml2-dev libxslt1-dev ruby-dev
  • Bu komut WPScan’in çalışması için gereken sistem ve Ruby bağımlılıklarını kurar.

2️⃣ WPScan İndirme ve Kurulum


git clone https://github.com/wpscanteam/wpscan.git
  • Bu komut WPScan kaynak kodunu GitHub’dan indirir.

cd wpscan
sudo gem install bundler && bundle install --without test development
  • Bu komut gerekli Ruby paketlerini kurarak WPScan’i hazır hale getirir.

3️⃣ Eklenti Güvenlik Taraması


ruby wpscan.rb --url https://rabisu.cloud --enumerate p
  • Bu komut sitedeki tüm WordPress eklentilerini listeler.

ruby wpscan.rb --url https://rabisu.cloud --enumerate vp
  • Bu komut yalnızca zafiyet içeren eklentileri raporlar.

4️⃣ Tema Güvenlik Taraması


ruby wpscan.rb --url https://tr1-node01.rabisu.cloud --enumerate vt
  • Bu komut aktif temadaki bilinen güvenlik açıklarını kontrol eder.

5️⃣ Kullanıcı Keşfi (Enumeration)


ruby wpscan.rb --url https://rabisu.cloud --enumerate u
  • Bu komut WordPress kullanıcı adlarını tespit etmeye çalışır.

6️⃣ Timthumb Güvenlik Kontrolü


ruby wpscan.rb --url https://rabisu.cloud --enumerate tt
  • Bu komut riskli timthumb dosyalarını tarar.

7️⃣ WPScan Güncelleme


ruby wpscan.rb --update
  • Bu komut WPScan veritabanını güncelleyerek yeni açıkları tanımasını sağlar.

❓ Sıkça Sorulan Sorular (SSS)

1. WPScan Windows’ta çalışır mı? Hayır, Linux veya macOS gerektirir.

2. Tarama sonrası açık bulursam ne yapmalıyım? Eklenti veya temayı güncelleyin ya da kaldırın.

3. Yanlış pozitif sonuç olur mu? Evet, sonuçlar manuel doğrulanmalıdır.

4. Canlı sitede tarama güvenli mi? Evet, ancak yoğun saatlerde önerilmez.

🎯 Sonuç

WPScan, WordPress güvenliğini proaktif şekilde test etmek için güçlü bir araçtır. Düzenli tarama ile saldırılara karşı erken önlem alabilirsiniz. Bu güvenlik yaklaşımını Rabisu Bulut altyapısında güvenle uygulayabilirsiniz 🚀