Tratando de mejorar la seguridad de mi blog WordPress me he encontrado con una pequeña herramienta que hace uno chequeo básico, pero muy útil para comprobar si nuestra instalación de WordPress tiene algún agujero de seguridad.
La herramienta está programada con Python y tiene como dependencia el módulo requests, que podemos instalar fácilmente con Pip. No se trata de una herramienta muy avanzada, pero si comprueba esos fallos tontos y no tan tontos a los que llevan los despistes.
Dentro de los despistes más habituales y peligrosos, está olvidarnos de actualizar los plugins WordPress durante un largo periodo.
La herramienta es de código abierto y está disponible en GitHub. Yo la he probado en Ubuntu y parece que funciona correctamente.
Características de WPSeku.
A pesar de ser un escáner sencillo, permite obtener información bastante interesante de un blog WordPress. Algunas de las características de WPSeku son:
- Comprobar la existencia de sitemaps y archivo robots.txt.
- Comprobar la existencia de archivos que pueden dar información de la versión de WordPress usada. Al mismo tiempo, WPSeku tratará de darnos la versión de WordPress que ha detectado.
- Detectar la ruta de interfaz XML-RPC.
- Enumeración de temas usados en el blog.
- Enumeración de usuarios.
- Enumeración de plugins empleados en el blog.
