WaltiのWPScanを試す
Walti×WPScan
先日入れたWaltiプラグインがアップデートして、WaltiがWPScanに対応したらしい。
というのを聞いて、早速試してみました。
そもそもWPScanとは
WPScanは、Rubyで書かれたWordPressの脆弱性スキャンで、以下のようなスキャンができるらしい。
- 侵入を試行しない単純なスキャン
- ログインユーザ一覧の取得
- ログインパスワードのブルートフォースアタック
- インストールされているプラグインとバージョンチェック
- インストールされているテーマとバージョンチェック
WPScanを試す
ということで、早速試して見ました。
アップデート
まずは、Waltiスキャンプラグインをアップデートします。プラグイン一覧で見るとWaltiプラグインが更新可能になっているので、ここでアップデートすると1.0.1に更新されます。
チェック!
管理画面のWaltiスキャンメニューから、WPScanの横の「いますぐスキャン」を押してしばらく待ちます。
しばらくすると、エラーが出ます。あれー?
修正まち
エラー出たー、とFacebookで報告すると、あっというまにWaltiの(もしくはHeartbeats の)藤崎さんに捕捉されますた。
なにやら、ローカルテストでは出なかった秘孔を突いた(特定文字列があるととエラーになる)らしい。ということで修正町
再度チェック!
修正完了との連絡を受け、再度チェック!今度はうまくいきました。
readme.htmlにバージョン番号が表示されている、というワーニングの1件だけが表示されました。
ええ、もうreadme.html を見えないところに移動して対処済みですよ?
セキュリティの確認は実際大事
ということで、みんなもWaltiでカジュアルにセキュリティ確認しましょう。
藤崎さん、素早い対応ありがとうございました!
