WaltiのWPScanを試す

Walti×WPScan

walti_x_wpscan
先日入れたWaltiプラグインがアップデートして、WaltiがWPScanに対応したらしい。
というのを聞いて、早速試してみました。

そもそもWPScanとは

WPScanは、Rubyで書かれたWordPressの脆弱性スキャンで、以下のようなスキャンができるらしい。

  • 侵入を試行しない単純なスキャン
  • ログインユーザ一覧の取得
  • ログインパスワードのブルートフォースアタック
  • インストールされているプラグインとバージョンチェック
  • インストールされているテーマとバージョンチェック

WPScanを試す

ということで、早速試して見ました。

アップデート

まずは、Waltiスキャンプラグインをアップデートします。プラグイン一覧で見るとWaltiプラグインが更新可能になっているので、ここでアップデートすると1.0.1に更新されます。

チェック!

管理画面のWaltiスキャンメニューから、WPScanの横の「いますぐスキャン」を押してしばらく待ちます。
walti_1.0.1
しばらくすると、エラーが出ます。あれー?

修正まち

エラー出たー、とFacebookで報告すると、あっというまにWaltiの(もしくはHeartbeats の)藤崎さんに捕捉されますた。
なにやら、ローカルテストでは出なかった秘孔を突いた(特定文字列があるととエラーになる)らしい。ということで修正町

再度チェック!

修正完了との連絡を受け、再度チェック!今度はうまくいきました。
readme.htmlにバージョン番号が表示されている、というワーニングの1件だけが表示されました。
walti_wpscan

ええ、もうreadme.html を見えないところに移動して対処済みですよ?

セキュリティの確認は実際大事

ということで、みんなもWaltiでカジュアルにセキュリティ確認しましょう。
藤崎さん、素早い対応ありがとうございました!