Todos sabemos que Wordpress es por excelencia uno de los CMS mas utilizados a nivel mundial. Su gran aporte a las plataformas web ha sido de gran utilizados para los desarrolladores web. Su gran fama también ha traido consiguo una persistencia en vulnerarlo en múltiples ocasiones, recibiendo actualizaciones de manera muy constante. En esa ocasión trataré de presentar una herramienta la cual puede ser de gran utilidad al momento de querer realizar un análisis a fondo a un sitio web basado en Wordpress.
Plecost es una herramienta que se encargar de extraer información acerca de las versiones de plugins instalados en los sistemas de WordPress. Por otro lado tambien es capaz de analizar una sola dirección URL o realizar un análisis basado en los resultados indexados por el buscador Google.
Por otro lado nos brinda información acerca de los CVE asociados con cada determinado plugin, Esta herramienta nace por la preocupación con respecto a la precaria configuración de las instalaciones de Wordpress, mas aún de los plugins añadidos al sistema sin una restricción previa.
Descargar Plecost : https://github.com/iniqua/plecost
Instalación directa :
Primero es necesario instalar el paquete pip, lo cual se hace con los siguientes líneas de comandos. Para este ejemplo voy a instalar Plecost en Ubuntu 14.04 LTS.
jalil@ubuntu:~$ sudo su
[sudo] password for jalil:
root@ubuntu:/home/jalil# apt-get -y install python3-pip
Nota : Plecost3 funciona solo en python3.
Instalar pip en cualquier distribución Linux.
jalil@ubuntu:~$ sudo su
[sudo] password for jalil:
root@ubuntu:/home/jalil# sudo apt-get install curl
root@ubuntu:/home/jalil# curl https://bootstrap.pypa.io/get-pip.py | sudo python3
root@ubuntu:/home/jalil# sudo pip3 install MODULE_NAME
Finalmente vamos a ejecutar en nuestra terminarl Plecost.
jalil@ubuntu:~$ plecost
Para poder disponer de las actualizaciones es necesario digitar los siguientes comandos. Todo esto con el fin de poder disponer de las nuevas vulnerabilidades que hay en la plataforma wordpress.
jalil@ubuntu:~$ sudo su
[sudo] password for jalil:
root@ubuntu:/home/jalil# plecost --update-cve
root@ubuntu:/home/jalil# plecost --update-plugins
A continuación vamos a observar los plugins que se han agregado con las nuevas vulnerabilidades conocidas.
jalil@ubuntu:$ plecost -nb --show-plugins
En la imagen podemos los primeros resultados de Plecost, los cuales nos muestran que la versión de wordpress que se encuentra en dicho sitio web se encuentra con muchas vulnerabilidades CVE.
De la misma forma podemos solicitar información mas detallada acerca de cada CVE.
jalil@ubuntu:~$ plecost -nb --cve CVE-XXXX-XXXX
Finalmente podemos utilizar los wordlist de los plugins con el fin de saber si dichos plugin se encuentran en su ultima versión.
jalil@ubuntu:~$ plecost -nb -w plugin_list_1000.txt http://dflahertylaw.com/
En la imagen podemos observar que 3 plugin no se encuentran debidamente actualizados, esto puede ser un grave problema de seguridad si se llegara a explotar dicha vulnerabilidad respectivamente en cada uno de ellos.
Bueno hemos llegado al final del post, espero que haya sido de su agrado y también sea de utilidad al momento de querer realizar algunas pruebas de seguridad en sitios wordpress. Bueno me despido y será hasta la próxima.
De que sirve un blog en donde el dueño no responde las preguntas de los que siguen.. y ni se puede contactar...
ResponderEliminarSSN FULLZ AVAILABLE
EliminarFresh & valid spammed USA SSN+Dob Leads with DL available in bulk.
>>1$ each SSN+DOB
>>3$ each with SSN+DOB+DL
>>5$ each for premium fullz (700+ credit score with replacement guarantee)
Prices are negotiable in bulk order
Serious buyer contact me no time wasters please
Bulk order will be preferable
CONTACT
Telegram > @leadsupplier
ICQ > 752822040
Email > leads.sellers1212@gmail.com
OTHER STUFF YOU CAN GET
SSN+DOB Fullz
CC's with CVV's (vbv & non-vbv)
USA Photo ID'S (Front & back)
All type of tutorials available
(Carding, spamming, hacking, scam page, Cash outs, dumps cash outs)
SQL Injector
Premium Accounts (Netflix, Pornhub, etc)
Paypal Logins
Bitcoin Cracker
SMTP Linux Root
DUMPS with pins track 1 and 2
WU & Bank transfers
Socks, rdp's, vpn
Php mailer
Server I.P's
HQ Emails with passwords
All types of tools & tutorials.. & much more
Looking for long term business
For trust full vendor, feel free to contact
CONTACT
Telegram > @leadsupplier
ICQ > 752822040
Email > leads.sellers1212@gmail.com
Te pondria un 10 por los temas y todo.... pero al pareces eres un creido... sin duda te mereces un 6,de nada sirve tener conocimientos si no ayudas a los demas...
ResponderEliminarGracias por la sinceridad de sus palabras. Pero en un post anterior converse sobre porque mi ausencia en el presente blog, del cual puedo decir que el trabajo actual me ocupa mucho tiempo, y sin mencionar que tengo que estar preparándome para mi asistencia a 2 universidades. El poco tiempo que me queda lo dedico al estudio de mis dos ciencias favoritas(Física y Matemática). Realmente me gustaría hacer muchas cosas y compartir muchos temas con mis lectores, pero el tiempo es algo que realmente poco tengo para dedicarlo a mi humilde blog. Actualmente estoy mas conectado por mi cuenta de fb ( https://www.facebook.com/Zer0CooL15 ) a la cual pueden hacer llegar sus dudas e inquietudes con respecto a cualquier post. Agradezco por sus palabras ya que puedo ver la molestias de mis lectores y espero poder tener mas tiempo para poder compartir nuevas cosas entorno a la seguridad informática. Saludos.
EliminarAcupuncture in London - Book your appointment with London's Best Acupuncture Clinic opened by the Prince of Wales in 1988.
ResponderEliminarAcupuncture in London
|London Acupuncture Therapy
|Colonic Irrigation London
|Colon Hydrotherapy
|Hyperbaric Oxygen Therapy London
|Hypnotherapy
SSN FULLZ AVAILABLE
ResponderEliminarFresh & valid spammed USA SSN+Dob Leads with DL available in bulk.
>>1$ each SSN+DOB
>>3$ each with SSN+DOB+DL
>>5$ each for premium fullz (700+ credit score with replacement guarantee)
Prices are negotiable in bulk order
Serious buyer contact me no time wasters please
Bulk order will be preferable
CONTACT
Telegram > @leadsupplier
ICQ > 752822040
Email > leads.sellers1212@gmail.com
OTHER STUFF YOU CAN GET
SSN+DOB Fullz
CC's with CVV's (vbv & non-vbv)
USA Photo ID'S (Front & back)
All type of tutorials available
(Carding, spamming, hacking, scam page, Cash outs, dumps cash outs)
SQL Injector
Premium Accounts (Netflix, Pornhub, etc)
Paypal Logins
Bitcoin Cracker
SMTP Linux Root
DUMPS with pins track 1 and 2
WU & Bank transfers
Socks, rdp's, vpn
Php mailer
Server I.P's
HQ Emails with passwords
All types of tools & tutorials.. & much more
Looking for long term business
For trust full vendor, feel free to contact
CONTACT
Telegram > @leadsupplier
ICQ > 752822040
Email > leads.sellers1212@gmail.com