WPScan: أفضل أداة فحص أمان مواقع WordPress

x32x01 · 24 نوفمبر 2023

لو انت صاحب موقع WordPress أو بتحب تختبر المواقع وتتعلم اختبارات الاختراق، يبقى لازم تعرف عن WPScan. الأداة دي قوية جدًا ومخصصة لفحص مواقع WordPress من نواحي كثيرة، وبتساعدك تكشف أي مشاكل أمنية قبل ما حد يستغلها.

WPScan مش بس بتديك لمحة عن الأمان، لكن كمان بتوفرلك تحليلات دقيقة لكل الإضافات (Plugins) والثيمات (Themes) واليوزرات (Users) على الموقع.

مزايا استخدام WPScan

فحص الأدوات والإضافات: تقدر تعرف إذا كانت أي Plugin فيها ثغرات أمنية أو مشاكل ممكن استغلالها.
فحص الثيمات: كل Theme عندك على الموقع ممكن يتحلل عشان تتأكد إنه آمن.
كشف اليوزرات: الأداة بتقدر تستخرج كل أسماء المستخدمين، وده مهم لعملية التخمين (Brute Force) للوحة التحكم.
تحليل النسخ الاحتياطي: تقدر تعرف تفاصيل النسخ الاحتياطي للموقع والملفات المهمة.
سهولة الاستخدام: الأداة بتشتغل على سطر الأوامر (Command Line) ومناسبة للمبتدئين والمحترفين.

أهم أوامر WPScan اللي لازم تعرفها

1. فحص الموقع بشكل عام

الأمر ده بيعمل لك فحص سريع وبيديك لمحة عامة عن الموقع:

Code:

wpscan –url www.example.com

2. فحص الإضافات المنصبة (Plugins)

لو عايز تعرف كل الإضافات اللي عندك وهل فيها مشاكل أمنية:

Code:

wpscan –url www.example.com –enumerate p

3. فحص الثيمات (Themes)

علشان تتأكد أن كل Theme منصب آمن ومافيهوش ثغرات:

Code:

wpscan –url www.example.com –enumerate t

4. استخراج أسماء المستخدمين (Users)

ده مفيد جدًا لعملية التخمين (Brute Force) على لوحة التحكم:

Code:

wpscan –url www.example.com –enumerate u

5. التخمين على لوحة التحكم (Brute Force)

لو عندك مسار لقائمة كلمات المرور واسم مستخدم معين:

Code:

wpscan –url www.example.com –wordlist darkc0de.lst –username admin

6. استخدام بروكسي أثناء الفحص

لو عايز تستخدم بروكسي أثناء الفحص:

Code:

–proxy 127.0.0.1:8118

ملاحظة: تضيف البروكسي للأوامر اللي فوق.

7. تحديث قاعدة بيانات الثغرات

علشان الأداة تجيب أحدث الثغرات الأمنية:

Code:

wpscan –update

خطوات تثبيت WPScan بسرعة

أول حاجة، روح على الموقع الرسمي: https://wpscan.org
اتبع تعليمات التحميل والتثبيت حسب نظام التشغيل (Windows, Linux, MacOS).
بعد التثبيت، افتح Terminal أو Command Prompt وابدأ تجربة الأوامر اللي شرحناها فوق.

نصائح مهمة عند استخدام WPScan

دايمًا استخدم الأداة على مواقع بتاعتك أو موافقة صاحبه.
تابع تحديث قاعدة البيانات باستمرار للحصول على أحدث الثغرات.
جرّب استخدام الأوامر بشكل تدريجي، ومتستعملش كل الأوامر مرة واحدة.
حافظ على سرية أسماء المستخدمين وكلمات المرور أثناء الاختبار.
دمج الأداة مع أدوات تانية للأمن السيبراني ممكن يعطيك حماية كاملة للموقع.

مثال عملي: فحص موقع WordPress كامل

تخيل عندك موقع WordPress اسمه www.mysite.com، وعايز تعمل فحص كامل:

Bash:

# فحص عام للموقع
wpscan –url www.mysite.com

# فحص الإضافات
wpscan –url www.mysite.com –enumerate p

# فحص الثيمات
wpscan –url www.mysite.com –enumerate t

# استخراج اليوزرات
wpscan –url www.mysite.com –enumerate u

# استخدام بروكسي
wpscan –url www.mysite.com –enumerate p –proxy 127.0.0.1:8118

الأوامر دي هتديك تقرير كامل عن أمان الموقع، وتشوف أي إضافات أو ثيمات فيها ثغرات، وكمان أسماء المستخدمين.

الخلاصة

WPScan أداة أساسية لأي حد عايز يتعلم أمن مواقع WordPress أو يعمل اختبارات اختراق قانونية. بتمكنك من:

حماية موقعك من الثغرات
فحص كل الإضافات والثيمات
كشف أسماء المستخدمين وتحليل النسخ الاحتياطي

لو بتسعى تكون خبير WordPress Security، يبقى تعلمك لأداة WPScan خطوة مهمة جدًا.

WPScan: أفضل أداة فحص أمان مواقع WordPress

مزايا استخدام WPScan ​

أهم أوامر WPScan اللي لازم تعرفها ​

1. فحص الموقع بشكل عام​

2. فحص الإضافات المنصبة (Plugins)​

3. فحص الثيمات (Themes)​

4. استخراج أسماء المستخدمين (Users)​

5. التخمين على لوحة التحكم (Brute Force)​

6. استخدام بروكسي أثناء الفحص ​

7. تحديث قاعدة بيانات الثغرات​

خطوات تثبيت WPScan بسرعة ​

نصائح مهمة عند استخدام WPScan ​

مثال عملي: فحص موقع WordPress كامل ​

الخلاصة ​

مزايا استخدام WPScan

أهم أوامر WPScan اللي لازم تعرفها

1. فحص الموقع بشكل عام

2. فحص الإضافات المنصبة (Plugins)

3. فحص الثيمات (Themes)

4. استخراج أسماء المستخدمين (Users)

5. التخمين على لوحة التحكم (Brute Force)

6. استخدام بروكسي أثناء الفحص

7. تحديث قاعدة بيانات الثغرات

خطوات تثبيت WPScan بسرعة

نصائح مهمة عند استخدام WPScan

مثال عملي: فحص موقع WordPress كامل

الخلاصة