Plecost – Escáner de vulnerabilidades wordpress

Plecost es un escáner de vulnerabilidades en wordpress que sirve para que los administradores de sistema puedan comprobar algunas posibles vulnerabilidades y en definitiva para comprobar un poco la seguridad de una web con wordpress.

Esta desarrollado por en python3 por Daniel Garcia y Francisco Jesús Gomez (http://iniqua.com/labs/)

Instalación sencilla de plecost

python3 -m pip install plecost

Al ejecutarlo sin parámetros suelta esto:

plecost

La ayuda con -h.

Actualizando bases de datos necesarias

plecost --update-cve
plecost --update-plugins

plecost2

Es posible hacerlo con –update-all todo al mismo tiempo. Puede tardar un rato.

Obtner información de una web

torify plescost laweb.com

plest

Para opciones más avanzadas mirar más información en el git: https://github.com/iniqua/plecost o usando -h

También para quienes tienen servidores con wordpress en producción es bueno lo siguiente.

Ocultar la versión de PHP

Esto se hace (dependiendo del servidor que uses: apache2, nginx, …) editando php.ini:

Estará por una ruta similar a estas o idéntica:

/etc/php5/apache/php.ini 
/etc/php5/fpm/php.ini

Buscamos la línea expose_php = On y la ponemos a Off.

Ocultar información sobre el servidor que estamos usando (Nginx, apache2, …)

En apache2 se edita este archivo:

/etc/apache2/apache2.conf

Colocando estas 2 directivas:

ServerTokens ProductOnly
ServerSignature Off

Si se usa el server nginx es tocando este archivo:

/etc/nginx/nginx.conf

y colocando esto a off:

server_tokens off;

Leave a Reply

Your email address will not be published. Required fields are marked *

To create code blocks or other preformatted text, indent by four spaces:

    This will be displayed in a monospaced font. The first four 
    spaces will be stripped off, but all other whitespace
    will be preserved.
    
    Markdown is turned off in code blocks:
     [This is not a link](http://example.com)

To create not a block, but an inline code span, use backticks:

Here is some inline `code`.

For more help see http://daringfireball.net/projects/markdown/syntax