ສືບເນື່ອງມາຈາກຊ່ວງຫຼັງໆມາມີລູກຄ້າແຈ້ງມາວ່າເວັບໄຊ້ຖືກແຮັກ ແລະ ໃຫ້ເຮົາກວດເບິ່ງວ່າຖືກແຮັກຍ້ອນຫຍັງ ໂດຍສ່ວນໃຫຍ່ 70-80% ໄດ້ໃຊ້ WordPress ແລະ ກໍມີຊ່ອງວ່າງທັງນັ້ນ ສິ່ງທີ່ຈະນໍາມາສະເໜີ້ໃນບົດຄວາມນີ້ເພື່ອເປັນແນວທາງການປ້ອງກັນເບື້ອງຕົ້ນ ບໍ່ໄດ້ມີເຈຕະນາທີ່ຈະນໍາສະເໜີບົດຄວາມເພື່ອໃຫ້ໄປໃຊ້ໃນທາງທີ່ຜິດ ສິ່ງທີ່ນໍາສະເໜີໃນບົດຄວາມນີ້ຄື WPScan ເປັນ Tools ທີ່ລວບລວມຊ່ອງວ່າງ(public exploit) ຂອງ WordPress ມາໄວ້ໃຫ້ຂ້ອນຂ້າງຄົບ ແລະ ມີການອັບເດດຢ່າງສະໝໍ່າສະເໝີ ການເຮັດວຽກໃນການໃຊ້ຊອກຫາຊ່ອງວ່າງທີ່ວ່າຄືຈະໃຊ້ HTTP Requese ໄປທີ່ Path ຕ່າງໆຈາກຖານຂໍ້ມູນຫາກພົບ Plugin ຫຼື Themes ທີ່ມີໃນຖານຂໍ້ມູນວ່າມີຊ່ອງວ່າງກໍຈະສະແດງຜົນລັບແກ່ຜູ້ໃຊ້ ການນໍາໃຊ້ແຕ່ລະຄັ້ງຂະເຮັດໃຫ້ມີ Access Log ຈໍານວນຫຼາຍ ຫາກໄປນໍາໃຊ້ໃນການໂຈມຕີກໍຈະຖືກນໍາຕົວໄດ້ຢ່າງງ່າຍດາຍ ຈຶ່ງບໍ່ແນະນໍາໃຫ້ໄປໃຊ້ກັບເວັບໄຊ້ທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດ ແລະ ຄວາມສາມາດຂອງ Tools ນີ້ຍັງເປັນເຊີງຂອງການໂຈມຕີຂ້ອຍຈະບໍ່ເວົ້າເຖິງ ວິທີການຕິດຕັ້ງເບິ່ງໄດ້ຈາກ ທີ່ນີ້ ຫຼັງຈາກຕິດຕັ້ງແລ້ວ
ທົດລອງຣັນໂປຣແກຣມດ້ວຍຄໍາສັ່ງ wpscan (ຫຼືເອີ້ນ full path ເຊັ່ນ /usr/bin/wpscan)
ກ່ອນອື່ນອັບເດດ WPScan ໃຫ້ເປັນຖານຂໍ້ມູນຫຼ້າສຸດກ່ອນດ້ວຍຄໍາສັ່ງ
wpscan --update
ກວດສອບ Plugin
wpscan --url http(s)://www.yoursiteurl.com --enumerate p
ຫຼື ຄົ້ນຫາສະເພາະ Plugin ທີ່ມີຊ່ອງວ່າງ
wpscan --url http(s)://www.yoursiteurl.com --enumerate vp
ກວດສອບ Themes
wpscan --url http(s)://www.yoursiteurl.com --enumerate t
ຫຼືຄົ້ນຫາສະເພາະ Themes ທີ່ມີຊ່ອງວ່າງ
wpscan --url http(s)://www.yoursiteurl.com --enumerate tt
ຄວນໃຊ້ກວດສອບສະເພາະເວັບໄຊ້ທີ່ໄດ້ຮັບອະນຸຍາດເທົ່ານັ້ນ ແລະ ໜີຄື Access Log ທີ່ Tools ນີ້ຖິ້ມຮ່ອງຮອຍໄວ້ ^
WPScan Online http://www.scanarch.com/wpscan
ສໍາລັບຜູ້ທີ່ສົນໃຈຮຽນ Computer Security ແບບເຈາະເລິກສາມາດເບິ່ງລາຍລະອຽດເພີ່ມເຕີມໄດ້ທີ່
http://mayaseven.com
http://www.stephack.com/course4
Reference http://wpscan.org
