WPScan을 사용하여 워드프레스 사이트의 보안을 점검하는 방법에 대해 설명하겠습니다. WPScan은 워드프레스 사이트의 보안 취약점을 찾기 위한 무료 도구로, 명령줄 인터페이스를 통해 작동합니다. 이 도구는 플러그인, 테마 및 워드프레스 코어의 취약점을 검사합니다.
WPScan 설치하기
- WPScan 설치
- Linux/Unix 기반 시스템에서는
gem install wpscan
명령어를 사용하여 RubyGems을 통해 WPScan을 설치할 수 있습니다. - macOS 사용자는 Homebrew를 사용하여
brew install wpscan
명령어로 설치할 수 있습니다. - Windows 사용자는 WSL(Windows Subsystem for Linux)을 통해 WPScan을 사용할 수 있습니다.
- Linux/Unix 기반 시스템에서는
WPScan 사용하기
- API 토큰 설정
- WPScan은 API 토큰이 필요합니다. 이는 WPScan 웹사이트에서 무료로 등록하여 얻을 수 있습니다.
- 토큰을 얻은 후
~/.wpscan/api_token
파일에 저장하거나 명령어에 직접 포함시킬 수 있습니다.
- 워드프레스 사이트 검사
- 기본적인 검사를 수행하려면,
wpscan --url [워드프레스 사이트 주소]
명령을 사용합니다. - 예:
wpscan --url https://example.com
- 기본적인 검사를 수행하려면,
- 플러그인과 테마 검사
- 플러그인:
wpscan --url [워드프레스 사이트 주소] --enumerate p
- 테마:
wpscan --url [워드프레스 사이트 주소] --enumerate t
- 플러그인:
- 사용자 계정 열거
wpscan --url [워드프레스 사이트 주소] --enumerate u
명령어를 사용하여 사이트의 사용자 계정을 열거할 수 있습니다.
- 보안 취약점 검사
wpscan --url [워드프레스 사이트 주소] --enumerate vp
명령어를 통해 플러그인의 취약점을 검사할 수 있습니다.- 테마의 취약점은
wpscan --url [워드프레스 사이트 주소] --enumerate vt
명령어로 검사할 수 있습니다.
- 추가 옵션과 상세한 정보
- WPScan은 다양한 추가 옵션을 제공합니다. 이들은
wpscan --help
명령어를 통해 확인할 수 있습니다. - 로그 파일을 생성하거나, 프록시를 설정하는 등의 추가 옵션이 있습니다.
- WPScan은 다양한 추가 옵션을 제공합니다. 이들은
주의사항
- WPScan을 사용할 때는 대상 사이트의 허가를 받거나, 법적인 제약을 고려해야 합니다.
- 공격적인 검사는 서버에 부하를 줄 수 있으므로, 적절한 사용이 중요합니다.
WPScan을 통해 워드프레스 사이트의 보안 상태를 정기적으로 점검하고, 발견된 취약점은 적시에 해결하여 사이트의 보안을 강화할 수 있습니다.
728x90
댓글