WordPress គឺជាកម្មវិធីប្រភេទ Content Management System (CMS) ដ៏ពេញនិយមមួយដែល មានអ្នកប្រើប្រាស់ជាច្រើននៅលើពិភពលោក។ វាអនុញ្ញាត្តិឲ្យអ្នកប្រើប្រាស់អាចបង្កើតនូវគេហទំហ័រយ៉ាងងាយស្រួលដោយមិនបាច់ចំណាយពេលច្រើនក្នុងការសរសេរកូដ ។ WordPress សម្បូរទៅដោយកម្មវិធីតូចៗ (Plugin) និងការរចនា (Theme) ដែលស្ទើរតែអាចបំពេញតម្រូវការអ្នកប្រើប្រាស់បានទាំងស្រុង។ ទន្ទឹមនឹងភាពងាយស្រួលនេះ អ្នកប្រើប្រាស់ក៏មានកង្វល់ផងដែរ អំពីបញ្ហាសុវត្ថិភាព បន្ទាប់ពីពួកគេទាញយកកម្មវិធីទាំងនោះមកប្រើប្រាស់។
អត្ថបទនេះនឹងបង្ហាញពីរបៀបស្វែងរកចំនុចខ្វះខាតផ្នែកសុវត្ថិភាពរបស់ WordPress ដោយប្រើកម្មវិធី WPScan ។
តម្រូវការៈ
- Ruby >= 2.1.9
- Curl >= 7.21
- RubyGems
- Git
ការតម្លើងៈ
WPScan អាចទាញយក និងតម្លើងប្រើប្រាស់បានដោយសេរីនៅលើ Mac និង Linux ។ ប្រសិនបើអ្នកប្រើប្រាស់ប្រព័ន្ធប្រតិបត្តិការ Windows សូមទាញយក Virtual Box ដើម្បីតម្លើងប្រព័ន្ធប្រតិបត្តិការ Linux ណាមួយ។
Mac
Ubuntu ជំនាន់ក្រោម 14.04
Ubuntu ជំនាន់លើ 14.04
Debian
ការប្រើប្រាស់ៈ
អត្ថបទនេះត្រូវបានសរសេរឡើងក្នុងគោលបំណងសិក្សាស្រាវជ្រាវ និងចែករំលែកចំនេះដឹងប៉ុណ្ណោះ។ សូមលោកអ្នកអនុវត្តរាល់បច្ចេកទេសទាំងនេះនៅលើគេហទំព័រ WordPress ផ្ទាល់ខ្លួនរបស់អ្នក។ ប្រសិនបើលោកអ្នកមានបំណងចង់សាកល្បងបច្ចេកទេសទាំងនេះលើគេហទំព័រអ្នកដទៃ សូមស្នើរសុំទៅកាន់ម្ចាស់គេហទំព័រនោះជាមុនសិន។ យើងមិនគាំទ្រឲ្យមានការប្រើប្រាស់បច្ចេកទេសទាំងនេះដើម្បីវាយប្រហារលើអ្នកដទៃនោះទេ។
ដើម្បីធ្វើបច្ចុប្បន្នភាព និងដំណើរការ WPScan សូមប្រើ Command ខាងក្រោម:
- ការធ្វើ Non-Intrusive Check:
- ការស្វែងរកបញ្ហាសុវត្ថិភាពរបស់ Plugin:
- ការស្វែងរកបញ្ហាសុវត្ថិភាពរបស់ Theme:
- ការស្វែងរកឈ្មោះគណនីៈ
- ការស្វែងរកពាក្យសំងាត់របស់អ្នកប្រើប្រាស់ៈ
- ការស្វែងរកពាក្យសំងាត់របស់ Admin:
- ការបង្ហាញ Debug Output:
ចំណាំៈ
- សញ្ញា (!) ពណ៌ក្រហមបញ្ជាក់ថាបញ្ហាសុវត្ថិភាពត្រូវបានរកឃើញ ។
- ប្រសិនបើ Plugin ឬ Theme ដែលបានរកឃើញថាមានបញ្ហា ពុំមានកំណែជំនាន់ថ្មីទេ សូមផ្អាកដំណើរការ ឬលុបវាដើម្បីបញ្ជៀសពីការវាយប្រហារ។
- ការស្វែងរកពាក្យសំងាត់ តម្រូវឲ្យមានបញ្ជីពាក្យសំងាត់ (Password Collection) ។