Fitur Utama WPSCAN:
- Username enumeration (from the author)
- Multi-threaded, weak password cracking
- Version enumeration (from the generator meta tag)
- Vulnerability enumeration, which is based on the installed version
- Plugin enumeration using the To-Do plugin
- It also includes a variety of other security checks
1.Buka WPSCAN dan masukan target
Buka WPSCAN dan masukan target dengan memasukan syntax pada terminal seperti ini :
" wpscan –-url wordpress_url"
Catatan :
- syntax wordpress_url silahkan di ganti dengan web target.
- Mungkin saat anda baru menggunakan WPSCAN pertama kali anda akan mendapat sebuah update.
2.Lihat apakah ada sebuah tanda palang berwarna merah (+) atau tanda seru berwarna merah [!], jika ada berarti web target memiliki celah atau vulnerbilities.
3.Jika web target telah di pastikan memiliki celah silahkan masukan perintah ini.
" wpscan –-url wordpress_url –-enumerate u "
Jalankan perintahnya, dan lihat WPSCAN menemukan 2 user di webtarget.
3.Saatnya crack password.
Dalam crack password anda harus menyediakan sebuah wordlist, di kali linux wordlist biasanya terletak di /usr/share/wordlists, silahkan anda gunakan wordlist sendiri atau menggunakan bawaan kali linux. Untuk Crack passwor silahkan masukan perintah ini :
" wpscan –-url [wordpress_url] –-word list [path_to_world list] –-username [username to bruteforce] –threads [number of threads] "
beberapa plugin wordpress mungkin akan mempersulit proses brutoforce bahkan gagal.
jika kalian mengalami hal tersebut, silahkan berpikir kembali metode apa yang sedang sebenarnya sedang kita pakai.
4.Hasil
Jika anda beruntung anda akan mendapatkan hasilnya
Selesai, seperti itu lah bagaimana caranya mendeface wordpress menggunakan WPSCAN.
