WordPress durchleuchten

In den vergangenen Jahren Monaten ist die Vielfalt an Kommandozeilen-Tools für WordPress geradezu explodiert. Sei es wp cli, mit dem ganze WordPress-Installationen über SSH verwaltet und gesteuert werden können oder kleine Helfer, die lokal installiert werden und Aufschluss über den Zustand einer WordPress-Instanz geben.

Schnelle Tests mit wpcheck

Von Sergej Müller – ja dem Sergej Müller – entwickelt, stellt wpcheck ein schlankes Tool für den schnellen WordPress-Sicherheitstest dar. Der Funktionsumfang von wpcheck ist schnell erklärt: einmal installiert lassen sich WordPress-Seiten mit einem einfachen Befehl auf eine ganze Reihe kleiner Unachtsamkeiten hin überprüfen.

Sei es die öffentliche Erreichbarkeit von Konfigurationsdateien, die Anfälligkeit für Full Path Disclosure oder die Möglichkeit für die Anmeldung eine SSL (TLS) Verschlüsselung zu nutzen. Zusätzlich zu diesen vorinstallierten Testregeln können eigene Regeln definiert und ausgeführt werden.

Installation und Nutzung

Für die Installation von wpcheck werden Node.js in Version 6 oder neuer sowie npm vorausgesetzt. Sind diese Voraussetzungen erfüllt, kann wpcheck mit dem folgenden Befehl installiert werden:

npm install --global wpcheckCode-Sprache: Bash (bash)

Nach der erfolgreichen Installation ist wpcheck sofort zum Einsatz bereit:

wpcheck https://krautpress.de/blogCode-Sprache: JavaScript (javascript)

Nun wird die angegebene Seite nach und nach den verschiedenen vordefinierten und selbst hinzugefügten Regeln folgend analysiert.

Ein wichtiger Hinweis zum Schluss: wer bei einer schnellen Analyse gut abgeschnitten hat, sollte sich dennoch nicht in einem falschen Gefühl der Sicherheit wiegen. Sicherheitslücken in Core, Plugins und Themes werden von wpcheck (zumindest aktuell) nicht überprüft.

Hier greifen kompliziertere Tools wie wpscan, die aber ein gewisses Maß an Einarbeitung erfordern.

Was sind eure Kommandozeilen-Helfer für WordPress?