Instantly share code, notes, and snippets.

@sergejmueller sergejmueller/wpcheck.md
Last active Mar 8, 2018

Embed
What would you like to do?
wpcheck – Sicherheitsscanner für WordPress

wpcheck – Sicherheitsscanner für WordPress

Einige von euch haben es bereits mitbekommen: Seit einigen Monaten arbeite ich an einem Sicherheitsscanner für WordPress. Jetzt zu WordCamp Frankfurt 2016 möchte ich die Öffentlichkeit auf die stabile, jedoch keineswegs finale Version des Tools hinweisen:

Nicht final aus dem Grund, weil der Scanner um unendlich viele Funktionen vervollständigt werden kann. Das muss aber nicht unbedingt im Kern der Anwendung geschehen. Dank der modularen Bauweise kann der Funktionsausbau durch Drittentwickler erfolgen.

Ideologie

Noch ein Vulnerability-Scanner für WordPress? Schließlich existieren bereits einige Alternativen zur freien Nutzung, die ebenfalls ausgereift und beliebt sind. Nun, meine Intention war, ist und bleibt, ein einsteigerfreundliches und ausbaufähiges Sicherheitstool zu schaffen. Die Installation von Node.js dürfte die einzige Hürde sein ;(

Zielsetzung

wpcheck ist eine Applikation für die Kommandozeile - will sagen, es gibt hierfür keine Benutzeroberfläche. Die Aufgabe: Analyse einer oder mehreren WordPress-Websites auf Sicherheitslücken und Misskonfiguration. Weitergedacht: Das Tool prüft nicht nur, Lösungsansätze zur Behebung gibt’s passend dazu.

Wie oben bereits erwähnt, liegt die eigentliche Stärke der Applikation in ihrer Modulparität und Erweiterbarkeit. Jeder Anwender, der JavaScript beherrscht, kann mitgelieferte Prüfregeln um eigene Rules erweitern. Der Funktionsumfang wächst mit Ideen ;)

Nachgeschmack

Mir ist durchaus bewußt, wpcheck kann niemals ein Tool für Jedermann sein. Node.js und Kommandozeile als Voraussetzung würden einem oder anderem nicht unbedingt schmecken. Meine Devise: Auch wenn wpcheck nur einem Bruchteil der WordPress-Gemeinde hilft, Schwachstellen aufzudecken und somit WordPress-Installationen abzusichern, geht meine Vision in Erfüllung ;)

Bitte

Use, don't abuse!

@ethicalhack3r

This comment has been minimized.

Copy link

ethicalhack3r commented Sep 2, 2016

Hey! WPScan founder and developer here. Great to see others working in this area!

Is there not a different name you could use rather than 'wpscan' though? Seems like a bad choice knowing that a tool for WordPress security already exists in the same name. Feel free to contact us to discuss if you like at "team at wpscan.org".

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment