워드프레스 보안 취약점 진단도구 WPScan 사용 방법

WPScan을 사용하여 워드프레스 사이트의 보안을 점검하는 방법에 대해 설명하겠습니다. WPScan은 워드프레스 사이트의 보안 취약점을 찾기 위한 무료 도구로, 명령줄 인터페이스를 통해 작동합니다. 이 도구는 플러그인, 테마 및 워드프레스 코어의 취약점을 검사합니다.

WPScan 설치하기

1. WPScan 설치
   • Linux/Unix 기반 시스템에서는 gem install wpscan 명령어를 사용하여 RubyGems을 통해 WPScan을 설치할 수 있습니다.
   • macOS 사용자는 Homebrew를 사용하여 brew install wpscan 명령어로 설치할 수 있습니다.
   • Windows 사용자는 WSL(Windows Subsystem for Linux)을 통해 WPScan을 사용할 수 있습니다.

WPScan 사용하기

1. API 토큰 설정
   • WPScan은 API 토큰이 필요합니다. 이는 WPScan 웹사이트에서 무료로 등록하여 얻을 수 있습니다.
   • 토큰을 얻은 후 ~/.wpscan/api_token 파일에 저장하거나 명령어에 직접 포함시킬 수 있습니다.
2. 워드프레스 사이트 검사
   • 기본적인 검사를 수행하려면, wpscan --url [워드프레스 사이트 주소] 명령을 사용합니다.
   • 예: wpscan --url https://example.com
3. 플러그인과 테마 검사
   • 플러그인: wpscan --url [워드프레스 사이트 주소] --enumerate p
   • 테마: wpscan --url [워드프레스 사이트 주소] --enumerate t
4. 사용자 계정 열거
   • wpscan --url [워드프레스 사이트 주소] --enumerate u 명령어를 사용하여 사이트의 사용자 계정을 열거할 수 있습니다.
5. 보안 취약점 검사
   • wpscan --url [워드프레스 사이트 주소] --enumerate vp 명령어를 통해 플러그인의 취약점을 검사할 수 있습니다.
   • 테마의 취약점은 wpscan --url [워드프레스 사이트 주소] --enumerate vt 명령어로 검사할 수 있습니다.
6. 추가 옵션과 상세한 정보
   • WPScan은 다양한 추가 옵션을 제공합니다. 이들은 wpscan --help 명령어를 통해 확인할 수 있습니다.
   • 로그 파일을 생성하거나, 프록시를 설정하는 등의 추가 옵션이 있습니다.

주의사항

• WPScan을 사용할 때는 대상 사이트의 허가를 받거나, 법적인 제약을 고려해야 합니다.
• 공격적인 검사는 서버에 부하를 줄 수 있으므로, 적절한 사용이 중요합니다.

 

WPScan을 통해 워드프레스 사이트의 보안 상태를 정기적으로 점검하고, 발견된 취약점은 적시에 해결하여 사이트의 보안을 강화할 수 있습니다.