Qu’est-ce que WPScan ?
Wp-scan, vous connaissez ? C’est un outil open source qu’on garde sous le coude depuis plus de 12 ans. Super pratique pour fouiner dans votre site WordPress et débusquer les failles ou les vulnérabilités qui pourraient s’y cacher. On parle pas seulement de survoler la surface, mais d’une analyse en profondeur, plugins et thèmes inclus, pour repérer des infos qui pourraient être un peu trop sensibles.
Et ce n’est pas tout. Wp-scan, c’est aussi votre espion pour voir ce qui se trame sur votre site. On découvre des choses comme le titre du site, quelle version de WordPress vous utilisez, l’URL d’accès à l’administration, et plein d’autres détails techniques. En gros, c’est comme avoir un tableau de bord complet pour tout ce qui concerne la sécurité et les infos de votre site WordPress.
Il offre également un aperçu du contenu du site Web, par exemple son titre, la version du logiciel WordPress utilisée, l’URL qu’un utilisateur est censé visiter pour se connecter à l’administration et l’affichage de diverses informations techniques sur le site WordPress.
Installation de WPScan sur Windows
Installer Ruby
Qu’est-ce que Ruby ?
Lancé en 1995 par Yukihiro Matsumoto, c’est un langage de programmation qui s’est taillé une place de choix dans le monde du code. Ce qui le rend unique ? Il mixe le meilleur de deux mondes, la simplicité et la flexibilité des langages interprétés comme Perl et Python, avec le contrôle pointu qu’offrent des langages compilés à la Java ou C++. Ruby, c’est la clarté et la concision incarnées, rendant l’apprentissage et l’utilisation un vrai jeu d’enfant.
Mais ce n’est pas tout. Ruby brille aussi par sa collection impressionnante de bibliothèques, les fameuses ‘gemmes’. Ces petites merveilles boostent les fonctionnalités à votre disposition, faisant de Ruby un véritable couteau suisse pour les développeurs cherchant à doper leur productivité. Et avec un écosystème aussi riche et dynamique, Ruby s’inscrit comme un incontournable, un de ces langages qui marquent l’histoire de la programmation et qui ne sont pas près de disparaître.
Télécharger Ruby
Pour télécharger une version de Ruby, vous devez vous rendre sur rubyinstaller.org puis cliquez sur « DOWNLOAD ».
Plusieurs versions apparaissent, choisissez la version en gras, dans mon cas, ce sera la version Ruby+Devkit 3.1.2-1 (x64)
Une fois téléchargé, double cliquez sur le fichier en .exe puis suivez les étapes d’installation.
Installer WPScan
Ouvrez votre terminal Windows puis tapez les commandes suivantes :
Rechercher le paquet WPScan :
gem search WPScan
Installer WPScan
gem install wpscan
Mettre à jour WPScan et désactiver la vérification du certificat SSL:
wpscan --update --disable-tls-checks
Vous pouvez désormais lancer une analyse avec la commande :
wpscan --url https://votresite.com
Corriger le bug libcurl WPScan sur Windows
il est fort possible qu’en lançant la première commande d’analyse, que vous ayez pu voir la fenêtre suivante apparaître.
Pour corriger ce problème, c’est très simple, suivez les étapes suivantes.
Télécharger Libcurl pour Windows
Rendez vous sur curl.se puis télécharger la version adaptée à votre système qui est probablement la version 64 Bits (Si vous ne savez pas quelle version télécharger, suivez les étapes un peu plus bas).
Vous devriez donc avoir en votre possession, un fichier ZIP contenant libcurl.
- ouvrez le puis rendez-vous dans le dossier /bin.
- Renommez le fichier libcurl-x64.dll en libcurl.dll
- Copier ce fichier
- Rendez vous dans le répertoire d’installation de Ruby (C:\Ruby26-x64\bin)
- Collez le fichier libcurl.dll
Vous pouvez relancer une analyse de votre site avec WPScan et tout devrait désormais fonctionner !
Vous pouvez consulter notre article qui vous indiquera comment coupler une analyse WPScan en passant par le Réseau Tor.
Savoir quelle version de Libcurl installer sur Windows
Pour cela, il vous suffit de faire un clic droit sur le menu démarrer et de cliquer sur le menu « Système » comme ceci :
Une fenêtre devrait s’ouvrir et vous devriez voir apparaître les informations sur votre processeur sur la ligne « Type du système » :