Kalau infiFriends punya website WordPress, pasti tau dong pentingnya ngejaga keamanan? Nah, salah satu tools yang bisa bantu banget buat cek keamanan WordPress kamu adalah WPScan.
WPScan itu semacam scanner yang fokus buat cari celah atau kerentanan di website WordPress. Mulai dari ngebaca plugin yang rentan, tema yang outdated, sampai ngecek username yang gampang ditebak.
Yang keren, WPScan ini dibuat sama komunitas open-source dan udah lama banget dipakai para tester dan admin server buat audit keamanan WordPress. Jadi, buat infiFriends yang peduli sama website, WPScan ini bisa jadi senjata ampuh buat menjaga keamanan.
Kalau kamu baru dengar WPScan, tenang aja. Artikel ini bakal bantu kamu kenalan, instalasi, sampai praktek kecil-kecilan pake WPScan langsung dari Linux. Yuk, kita mulai!
Apa Itu WPScan?
WPScan adalah tool scanner berbasis command line yang dirancang khusus buat WordPress. Dengan WPScan, infiFriends bisa cek apakah website kamu punya plugin, tema, atau konfigurasi yang berpotensi diserang hacker.
Tool ini bisa cari tahu username yang aktif, plugin yang ketinggalan update, tema yang rawan, sampai ngecek file konfigurasi yang mungkin bocor. WPScan juga terhubung ke database vulnerability WordPress yang sangat up-to-date, jadi hasilnya dapat dikatakan cukup akurat.
Kenapa WPScan Penting?
WordPress itu populer banget, dan saking populernya, dia juga jadi target empuk buat para attacker. Makanya penting banget buat tau celah apa yang mungkin ada di website kamu, infiFriends!
Daripada nunggu website kamu diretas, lebih baik proaktif cari tahu dan perbaiki dari sekarang. WPScan juga ngasih kamu pandangan soal apa aja yang perlu dibenerin sebelum orang lain memanfaatkan kelemahan itu buat nyerang.
Cara Install WPScan di Linux
Oke, sekarang kita masuk ke bagian praktisnya. Install WPScan di Linux sebenernya gampang banget kok.
Pertama-tama, pastiin kamu udah punya Ruby di sistem kamu, karena WPScan berbasis Ruby. Kalau belum, install Ruby dulu:
sudo apt update
sudo apt install ruby-fullKalau Ruby udah ready, lanjut install WPScan pake gem:
sudo gem install wpscanProses ini bakal otomatis download dan install semua dependensi yang dibutuhin WPScan.
Cek Instalasi WPScan
Setelah instalasi selesai, cek apakah WPScan udah bisa jalan dengan perintah ini:
wpscan --versionKalau muncul versinya, berarti WPScan kamu udah siap dipakai!
Cara Dapetin API Key WPScan
Kebanyakan fitur di WPScan butuh API key. Ini penting banget, apalagi kalau kamu mau scan plugin dan tema yang lebih mendalam. Cara dapetin API key gampang kok.
Pertama, buka website resmi mereka di:
https://wpscan.com/register (OPEN IN A NEW TAB)
Terus daftar akun gratis. Setelah verifikasi email, kamu bakal dapetin API key kamu di profile WPScan kamu.
Ingat: free API hanya dapat mengirim 25 requests perhari.
Basic Penggunaan WPScan
Sekarang, kita coba jalankan WPScan ke website kita. Misal kamu mau scan website contoh kayak:
wpscan --url https://contohwebsite.com --api-token 123abcPerhatikan bahwa 123abc di atas adalah contoh API token. Pastikan kamu ganti dengan API token kamu sendiri yang didapat dari WPScan.
WPScan bakal mulai cari-cari informasi soal WordPress di website itu. Ini adalah cara yang cepat buat tahu apakah ada celah di website kamu.
Scanning Active User di WordPress
Selain cari celah keamanan, WPScan juga bisa dipakai buat ngecek daftar user aktif di website WordPress. Ini penting buat ngelihat apakah ada username yang lemah atau gampang ditebak.
wpscan --url https://contohwebsite.com --enumerate u --api-token 123abcOpsi --enumerate u itu maksudnya suruh WPScan buat cari daftar user yang aktif. Ini bisa bantu kamu deteksi akun-akun yang mungkin jadi titik masuk hacker.
Opsi-Opsi Menarik di WPScan
Selain basic scan, WPScan punya banyak opsi keren kayak:
--enumerate p: Buat enumerasi plugin--enumerate t: Buat enumerasi tema--enumerate u: Buat enumerasi username (seperti yang dijelaskan diatas)
Memahami Hasil Scan
Biasanya setelah scan selesai, WPScan bakal ngebagi hasilnya jadi 3:
- Informasi umum: kayak WordPress version, plugin installed
- Warning: item yang mungkin rentan
- Vulnerabilities: item yang confirmed rawan berdasarkan database dari WPScan
Kalau ketemu warning atau vulnerabilities, infiFriends harus cepet-cepet update atau ganti plugin/tema itu.
Troubleshooting Umum WPScan
Kalau pas jalanin WPScan kamu nemu error kayak SSL error atau masalah koneksi, biasanya bisa diakalin dengan nambahin opsi --disable-tls-checks.
Contoh perintahnya:
wpscan --url https://contohwebsite.com --disable-tls-checks --api-token 123abcDengan nambahin --disable-tls-checks, WPScan bakal lanjut scanning tanpa ngecek sertifikat SSL, jadi lebih mulus kalau website target ada masalah di HTTPS-nya.
Kesimpulan
WPScan itu tool wajib buat semua pengguna WordPress yang peduli sama keamanan website mereka. Installnya gampang, pakainya juga simpel, dan hasilnya powerful banget buat deteksi masalah sebelum masalah itu dipakai hacker.
Dengan WPScan, infiFriends bisa lebih tenang dan siap banget buat ngejaga website WordPress kamu dari serangan pihak-pihak yang nggak bertanggung jawab.
Disclaimer
Artikel ini hanya untuk tujuan pembelajaran keamanan. Semua contoh dan teknik yang dijelaskan di sini TIDAK untuk digunakan menyerang website orang lain tanpa izin. Penulis tidak bertanggung jawab atas penyalahgunaan informasi yang ada di artikel ini. Gunakan ilmu ini dengan bijak, bertanggung jawab, dan sesuai hukum yang berlaku!
Next Step
Kalau infiFriends udah mulai nyaman pakai WPScan, sekarang saatnya lanjut ke tahap berikutnya: belajar teknik hardening WordPress (memperkuat keamanan WordPress kamu). Beberapa hal yang bisa kamu lakukan misalnya pakai WAF, batasi jumlah percobaan login, atau matikan fitur XML-RPC. Ingat, keamanan website itu bukan cukup sekali diatur lalu ditinggal, tapi proses yang terus berjalan. WPScan adalah langkah awal buat bikin website kamu jauh lebih aman!
